Linux でのMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング
適用対象:
- Microsoft Defender for Endpoint Server
- サーバーのMicrosoft Defender
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
インストールが成功したことを確認する
インストール時にエラーが発生すると、パッケージ マネージャーによって意味のあるエラー メッセージが表示される場合もあれば、そうでない場合もあります。 インストールが成功したかどうかを確認するには、次を使用してインストール ログを取得してチェックします。
sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
grep 'postinstall end' installation.log
microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216
インストールの日時が正しい前のコマンドからの出力は、成功を示します。
また、クライアント構成をチェックして製品の正常性を確認し、EICAR テキスト ファイルを検出します。
正しいパッケージがあることを確認します
インストールするパッケージがホストのディストリビューションとバージョンと一致することを確認します。
package | 流通 |
---|---|
mdatp-rhel8。Linux.x86_64.rpm | Oracle、RHEL、CentOS 8.x |
mdatp-sles12。Linux.x86_64.rpm | SUSE Linux Enterprise Server 12.x |
mdatp-sles15.Linux.x86_64.rpm | SUSE Linux Enterprise Server 15.x |
mdatp。Linux.x86_64.rpm | Oracle、RHEL、CentOS 7.x |
mdatp。Linux.x86_64.deb | Debian と Ubuntu 16.04、18.04、20.04 |
手動デプロイの場合は、適切なディストリビューションとバージョンが選択されていることを確認します。
注:
MDE Linux には、RHEL 6 用のソリューションが付属しなくなりました。
依存関係エラーが原因でインストールに失敗しました
依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、前提条件の依存関係を手動でダウンロードできます。
mdatp パッケージには、次の外部パッケージの依存関係があります。
- mdatp RPM パッケージには、
glibc >= 2.17
、audit
、policycoreutils
、semanage
、selinux-policy-targeted
、mde-netfilter
- DEBIAN の場合、mdatp パッケージには、
libc6 >= 2.23
、uuid-runtime
、auditd
、mde-netfilter
mde-netfilter パッケージには、次のパッケージの依存関係もあります。
- DEBIAN の場合、mde-netfilter パッケージには
libnetfilter-queue1
が必要です。libglib2.0-0
- RPM の場合、mde-netfilter パッケージには、
libmnl
、libnfnetlink
、libnetfilter_queue
、glib2
インストールに失敗しました
Defender for Endpoint サービスが実行されているかどうかを確認します。
service mdatp status
● mdatp.service - Microsoft Defender for Endpoint
Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
Main PID: 1966 (wdavdaemon)
Tasks: 105 (limit: 4915)
CGroup: /system.slice/mdatp.service
├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
└─1968 /opt/microsoft/mdatp/sbin/wdavdaemon
mdatp サービスが実行されていない場合のトラブルシューティング手順
ユーザーが存在するかどうかを確認
mdatp
。id "mdatp"
出力がない場合は、
sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
次を使用して、サービスを有効にして再起動してみてください。
sudo service mdatp start
sudo service mdatp restart
前のコマンドの実行時に mdatp.service が見つからない場合は、次を実行します。
sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>
ここで、
<systemd_path>
は Ubuntu ディストリビューションと Debian ディストリビューション用に/lib/systemd/system
され、Rhel、CentOS、Oracle、SLES の場合は /usr/lib/systemd/system' です。 次に、手順 2 を再実行します。上記の手順が機能しない場合は、SELinux がインストールされていて、適用モードになっているかどうかをチェックします。 その場合は、許容モード (できれば) または無効モードに設定してみてください。 これは、パラメーター
SELINUX
をpermissive
または/etc/selinux/config
ファイル内のdisabled
に設定し、再起動することで実行できます。 詳細については、selinux の man-page を確認してください。次に、手順 2 を使用して mdatp サービスを再起動してみてください。 構成の変更を試みて再起動した後、セキュリティ上の理由から、構成の変更を直ちに元に戻します。
ディレクトリ
/opt
シンボリック リンクの場合は、/opt/microsoft
のバインド マウントを作成します。デーモンに実行可能アクセス許可があることを確認します。
ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
-rwxr-xr-x 2 root root 15502160 Mar 3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
デーモンに実行可能なアクセス許可がない場合は、次を使用して実行可能にします。
sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
手順 2 を実行して再試行します。
wdavdaemon を含むファイル システムが
noexec
でマウントされていないことを確認します。
Defender for Endpoint サービスが実行されているが、EICAR テキスト ファイルの検出が機能しない場合
次を使用して、ファイル システムの種類を確認します。
findmnt -T <path_of_EICAR_file>
オンアクセス アクティビティで現在サポートされているファイル システムを次に示 します。 これらのファイル システムの外部にあるファイルはスキャンされません。
コマンド ライン ツール mdatp が機能しない
コマンド ライン ツール
mdatp
を実行するとエラーcommand not found
が発生する場合は、次のコマンドを実行します。sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
もう一度やり直してください。
上記の手順で問題が解決しない場合は、診断ログを収集します。
sudo mdatp diagnostic create
Diagnostic file created: <path to file>
ログを含む zip ファイルへのパスが出力として表示されます。 これらのログを使用して、カスタマー サポートにお問い合わせください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。