確認安裝成功
安裝錯誤可能會導致或可能不會導致套件管理員發出有意義的錯誤訊息。 若要確認安裝是否成功,請使用下列方法取得並檢查安裝記錄:
sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
grep 'postinstall end' installation.log
microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216
前一個指令的輸出具有正確的安裝日期和時間,表示成功。
此外,請檢查 用戶端組態 ,以驗證產品的健全狀況,並偵測 EICAR 文字檔。
確保您有正確的包裹
確認您要安裝的套件符合主機發行版和版本。
| 包 | 分配 |
|---|---|
| mdatp-rhel8 的 U.Linux.x86_64.rpm | Oracle、RHEL 和 CentOS 8.x |
| mdatp-sles12 的 mdatp-sles12 。Linux.x86_64.rpm | SUSE Linux Enterprise Server 12.x |
| mdatp-sles15 的Linux.x86_64.rpm | SUSE Linux 企業伺服器 15.x |
| MDATP的。Linux.x86_64.rpm | Oracle、RHEL 和 CentOS 7.x |
| MDATP的。Linux.x86_64.deb | Debian 和 Ubuntu 16.04、18.04 和 20.04 |
對於 手動部署,請確定已選取正確的發行版和版本。
注意事項
MDE Linux 不再提供 RHEL 6 的解決方案。
由於依賴錯誤,安裝失敗
如果適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗,您可以手動下載必要條件相依性。
mdatp 套件存在下列外部套件相依性:
- mdatp RPM 套件需要
glibc >= 2.17 - 對於 DEBIAN,mdatp 套件需要
libc6 >= 2.23
對於早於
101.25032.0000:
- RPM 套件需求:
mde-netfilter,pcre- DEBIAN 套件需要:
mde-netfilter,libpcre3- 該
mde-netfilter套件還具有以下套件依賴項: - 對於 DEBIAN,mde-netfilter 套件需要libnetfilter-queue1和libglib2.0-0- 對於 RPM,mde-netfilter 套件需要libmnl、libnfnetlink、libnetfilter_queue和glib2從版本101.25042.0003開始,不再需要 uuid-runtime 作為外部依賴項。
安裝失敗
檢查適用於端點的 Defender 服務是否正在執行:
service mdatp status
● mdatp.service - Microsoft Defender for Endpoint
Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
Main PID: 1966 (wdavdaemon)
Tasks: 105 (limit: 4915)
CGroup: /system.slice/mdatp.service
├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
└─1968 /opt/microsoft/mdatp/sbin/wdavdaemon
如果 mdatp 服務未執行,請進行疑難排解的步驟
檢查使用者是否
mdatp存在:id "mdatp"如果沒有輸出,請執行
sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp嘗試使用下列方式啟用並重新啟動服務:
sudo service mdatp startsudo service mdatp restart如果在執行上一個命令時找不到 mdatp.service,請執行:
sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>其中
<systemd_path>是/lib/systemd/systemUbuntu 和 Debian 發行版,/usr/lib/systemd/system' 適用於 Rhel、CentOS、Oracle 和 SLES。 然後重新執行步驟 2。如果上述步驟不起作用,請檢查是否已安裝 SELinux 並處於強制模式。 如果是這樣,請嘗試將其設定為寬鬆 (最好是) 或停用模式。 可以透過將參數
SELINUX設定為permissive或disabledin/etc/selinux/configfile ,然後重新啟動來完成。 查看 selinux 的手冊頁以了解更多詳細資訊。現在嘗試使用步驟 2 重新啟動 mdatp 服務。 不過,出於安全原因,請在嘗試並重新啟動後立即恢復配置更改。
如果目錄是符號鏈結,請
/opt建立 的/opt/microsoft連結掛載。請確定常駐程式具有可執行的許可權。
ls -l /opt/microsoft/mdatp/sbin/wdavdaemon-rwxr-xr-x 2 root root 15502160 Mar 3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon如果常駐程式沒有可執行權限,請使用以下方法將其設為可執行:
sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon並重試執行步驟 2。
請確定包含 wdavdaemon 的檔案系統未使用
noexec掛接。
如果適用於端點的 Defender 服務正在執行,但 EICAR 文字檔偵測無法運作
使用下列方式檢查檔案系統類型:
findmnt -T <path_of_EICAR_file>此處列出目前支援存取時活動的檔案系統。 不會掃描這些檔案系統之外的任何檔案。
命令列工具 mdatp 無法運作
如果執行命令列工具
mdatp時發生錯誤command not found,請執行下列命令:sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp然後再試一次。
如果上述步驟都無濟於事,請收集診斷記錄:
sudo mdatp diagnostic createDiagnostic file created: <path to file>包含日誌的 zip 檔案路徑會顯示為輸出。 使用這些日誌聯絡我們的客戶支援。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。