Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux

Überprüfen, ob die Installation erfolgreich war

Ein Fehler bei der Installation kann zu einer aussagekräftigen Fehlermeldung des Paket-Managers führen. Um zu überprüfen, ob die Installation erfolgreich war, rufen Sie die Installationsprotokolle ab, und überprüfen Sie sie mit:

sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

grep 'postinstall end' installation.log

microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Eine Ausgabe des vorherigen Befehls mit dem richtigen Datum und der richtigen Uhrzeit der Installation zeigt den Erfolg an.

Überprüfen Sie auch die Clientkonfiguration , um die Integrität des Produkts zu überprüfen und die EICAR-Textdatei zu erkennen.

Stellen Sie sicher, dass Sie über das richtige Paket verfügen.

Vergewissern Sie sich, dass das Paket, das Sie installieren, der Hostverteilung und -version entspricht.

Stellen Sie für die manuelle Bereitstellung sicher, dass die richtige Distribution und Version ausgewählt sind.

Fehler bei der Installation aufgrund eines Abhängigkeitsfehlers

Wenn die Microsoft Defender for Endpoint Installation aufgrund fehlender Abhängigkeitsfehler fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen.

Die folgenden externen Paketabhängigkeiten sind für das mdatp-Paket vorhanden:

• Das mdatp-RPM-Paket erfordert glibc >= 2.17
• Für DEBIAN erfordert das mdatp-Paket libc6 >= 2.23

Für version älter als 101.25032.0000:

• RPM-Paketanforderungen: mde-netfilter, pcre
• Debian-Paket benötigt: mde-netfilter, libpcre3
• Das mde-netfilter Paket verfügt auch über die folgenden Paketabhängigkeiten: - Für DEBIAN erfordert libnetfilter-queue1 das Paket mde-netfilter und libglib2.0-0 : Für RPM erfordert libmnldas mde-netfilter-Paket , libnfnetlinklibnetfilter_queue, und glib2 ab Version 101.25042.0003ist uuid-runtime nicht mehr als externe Abhängigkeit erforderlich.

Fehler bei der Installation

Überprüfen Sie, ob der Defender für Endpunkt-Dienst ausgeführt wird:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Schritte zur Problembehandlung, wenn der mdatp-Dienst nicht ausgeführt wird

1. Überprüfen Sie, ob mdatp ein Benutzer vorhanden ist:

   id "mdatp"
   

   Wenn keine Ausgabe vorhanden ist, führen Sie aus.

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. Versuchen Sie, den Dienst mithilfe von zu aktivieren und neu zu starten:

   sudo service mdatp start
   

   sudo service mdatp restart
   

3. Wenn mdatp.service beim Ausführen des vorherigen Befehls nicht gefunden wird, führen Sie Folgendes aus:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
   

   wobei <systemd_path> für Ubuntu- und Debian-Distributionen und /usr/lib/systemd/system' für Rhel, CentOS, Oracle und SLES steht /lib/systemd/system . Führen Sie dann Schritt 2 erneut aus.

4. Wenn die oben genannten Schritte nicht funktionieren, überprüfen Sie, ob SELinux installiert ist und sich im Erzwingungsmodus befindet. Wenn ja, versuchen Sie, den Modus auf "Permissive" (vorzugsweise) oder "deaktiviert" festzulegen. Dazu können Sie den Parameter SELINUX auf permissive oder disabled in /etc/selinux/config der Datei festlegen, gefolgt von einem Neustart. Weitere Informationen finden Sie auf der Manpage von selinux.

   Versuchen Sie nun, den mdatp-Dienst mithilfe von Schritt 2 neu zu starten. Setzen Sie die Konfigurationsänderung jedoch aus Sicherheitsgründen sofort zurück, nachdem Sie sie ausprobiert und neu gestartet haben.

5. Wenn /opt das Verzeichnis eine symbolische Verknüpfung ist, erstellen Sie eine Bindungsbereitstellung für /opt/microsoft.

6. Stellen Sie sicher, dass der Daemon über die Berechtigung für ausführbare Dateien verfügt.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   Wenn der Daemon nicht über ausführbare Berechtigungen verfügt, legen Sie ihn mit folgendem Befehl als ausführbare Datei fest:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   und wiederholen Sie die Ausführung von Schritt 2.

7. Stellen Sie sicher, dass das Dateisystem, das wdavdaemon enthält, nicht mit noexeceingebunden ist.

Wenn der Defender für Endpunkt-Dienst ausgeführt wird, die EICAR-Textdateierkennung jedoch nicht funktioniert

1. Überprüfen Sie den Dateisystemtyp mit:

   findmnt -T <path_of_EICAR_file>
   

   Derzeit unterstützte Dateisysteme für Zugriffsaktivitäten sind hier aufgeführt. Dateien außerhalb dieser Dateisysteme werden nicht gescannt.

Das Befehlszeilentool mdatp funktioniert nicht

1. Wenn beim Ausführen des Befehlszeilentools mdatp ein Fehler command not foundausgegeben wird, führen Sie den folgenden Befehl aus:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   und versuchen Sie es erneut.

   Wenn keiner der oben genannten Schritte hilfreich ist, sammeln Sie die Diagnoseprotokolle:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   Der Pfad zu einer ZIP-Datei, die die Protokolle enthält, wird als Ausgabe angezeigt. Wenden Sie sich mit diesen Protokollen an unseren Kundensupport.