Résoudre les problèmes de performances pour Microsoft Defender pour point de terminaison sur LinuxTroubleshoot performance issues for Microsoft Defender for Endpoint on Linux

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender pour point de terminaison ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Cet article fournit quelques étapes générales qui peuvent être utilisées pour affiner les problèmes de performances liés à Defender pour Endpoint sur Linux.This article provides some general steps that can be used to narrow down performance issues related to Defender for Endpoint on Linux.

La protection en temps réel (RTP) est une fonctionnalité de Defender for Endpoint sur Linux qui surveille et protège en permanence votre appareil contre les menaces.Real-time protection (RTP) is a feature of Defender for Endpoint on Linux that continuously monitors and protects your device against threats. Il se compose de la surveillance des fichiers et des processus et d’autres heuristiques.It consists of file and process monitoring and other heuristics.

Selon les applications que vous exécutez et les caractéristiques de votre appareil, vous pouvez obtenir des performances sous-optimales lors de l’exécution de Defender pour Endpoint sur Linux.Depending on the applications that you are running and your device characteristics, you may experience suboptimal performance when running Defender for Endpoint on Linux. En particulier, les applications ou les processus système qui accèdent à de nombreuses ressources sur un court laps de temps peuvent entraîner des problèmes de performances dans Defender pour Endpoint sur Linux.In particular, applications or system processes that access many resources over a short timespan can lead to performance issues in Defender for Endpoint on Linux.

Avant de commencer, assurez-vous que les autres produits de sécurité ne sont pas en cours d’exécution sur l’appareil.Before starting, please make sure that other security products are not currently running on the device. Plusieurs produits de sécurité peuvent être en conflit et avoir un impact sur les performances de l’hôte.Multiple security products may conflict and impact the host performance.

Les étapes suivantes peuvent être utilisées pour résoudre et atténuer ces problèmes :The following steps can be used to troubleshoot and mitigate these issues:

  1. Désactivez la protection en temps réel à l’aide de l’une des méthodes suivantes et observez si les performances sont améliorées.Disable real-time protection using one of the following methods and observe whether the performance improves. Cette approche permet de déterminer si Defender for Endpoint sur Linux contribue aux problèmes de performances.This approach helps narrow down whether Defender for Endpoint on Linux is contributing to the performance issues.

    Si votre appareil n’est pas géré par votre organisation, la protection en temps réel peut être désactivée à partir de la ligne de commande :If your device is not managed by your organization, real-time protection can be disabled from the command line:

    mdatp config real-time-protection --value disabled
    
    Configuration property updated
    

    Si votre appareil est géré par votre organisation, la protection en temps réel peut être désactivée par votre administrateur à l’aide des instructions dans Définir les préférences pour Defender pour Endpoint sur Linux.If your device is managed by your organization, real-time protection can be disabled by your administrator using the instructions in Set preferences for Defender for Endpoint on Linux.

    Si le problème de performances persiste alors que la protection en temps réel est éteinte, l’origine du problème peut être protection évolutive des points de terminaison composant.If the performance problem persists while real-time protection is off, the origin of the problem could be the endpoint detection and response component. Dans ce cas, contactez le support technique pour obtenir des instructions supplémentaires et des mesures de prévention.In this case please contact customer support for further instructions and mitigation.

  2. Pour rechercher les applications qui déclenchent le plus d’analyses, vous pouvez utiliser des statistiques en temps réel recueillies par Defender pour Endpoint sur Linux.To find the applications that are triggering the most scans, you can use real-time statistics gathered by Defender for Endpoint on Linux.

    Notes

    Cette fonctionnalité est disponible dans la version 100.90.70 ou une version plus récente.This feature is available in version 100.90.70 or newer.

    Cette fonctionnalité est activée par défaut sur les Dogfood canaux et les InsiderFast canaux.This feature is enabled by default on the Dogfood and InsiderFast channels. Si vous utilisez un autre canal de mise à jour, cette fonctionnalité peut être activée à partir de la ligne de commande :If you're using a different update channel, this feature can be enabled from the command line:

    mdatp config real-time-protection-statistics --value enabled
    

    Cette fonctionnalité nécessite une protection en temps réel pour être activée.This feature requires real-time protection to be enabled. Pour vérifier l’état de la protection en temps réel, exécutez la commande suivante :To check the status of real-time protection, run the following command:

    mdatp health --field real_time_protection_enabled
    

    Vérifiez que real_time_protection_enabled l’entrée est true .Verify that the real_time_protection_enabled entry is true. Sinon, exécutez la commande suivante pour l’activer :Otherwise, run the following command to enable it:

    mdatp config real-time-protection --value enabled
    
    Configuration property updated
    

    Pour collecter les statistiques actuelles, exécutez :To collect current statistics, run:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
    

    Notes

    L’utilisation (notez le tiret double) permet de s’assurer que le format de sortie --output json est prêt pour l’utilisation.Using --output json (note the double dash) ensures that the output format is ready for parsing.

    Le résultat de cette commande affiche tous les processus et l’activité d’analyse associée.The output of this command will show all processes and their associated scan activity.

  3. Sur votre système Linux, téléchargez l’exemple d’analyseur Python high_cpu_parser.py à l’aide de la commande :On your Linux system, download the sample Python parser high_cpu_parser.py using the command:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
    

    La sortie de cette commande doit être similaire à celle-ci :The output of this command should be similar to the following:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
    Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
    Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1020 [text/plain]
    Saving to: 'high_cpu_parser.py'
    
    100%[===========================================>] 1,020    --.-K/s   in 0s
    
  4. Ensuite, tapez les commandes suivantes :Next, type the following commands:

    chmod +x high_cpu_parser.py
    
    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
    

    La sortie de ce qui précède est une liste des principaux contributeurs aux problèmes de performances.The output of the above is a list of the top contributors to performance issues. La première colonne est l’identificateur de processus (PID), la deuxième colonne est le nom du processus te et la dernière colonne le nombre de fichiers analysés, triés par impact.The first column is the process identifier (PID), the second column is te process name, and the last column is the number of scanned files, sorted by impact. Par exemple, la sortie de la commande ressemblera à ce qui suit :For example, the output of the command will be something like the below:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
    27432 None 76703
    73467 actool     1249
    73914 xcodebuild 1081
    73873 bash 1050
    27475 None 836
    1    launchd    407
    73468 ibtool     344
    549  telemetryd_v1   325
    4764 None 228
    125  CrashPlanService 164
    

    Pour améliorer les performances de Defender pour Endpoint sur Linux, recherchez celui qui a le plus grand nombre sous la ligne et ajoutez une Total files scanned exclusion pour celui-ci.To improve the performance of Defender for Endpoint on Linux, locate the one with the highest number under the Total files scanned row and add an exclusion for it. Pour plus d’informations, voir Configurer et valider des exclusions pour Defender pour Endpoint sur Linux.For more information, see Configure and validate exclusions for Defender for Endpoint on Linux.

    Notes

    L’application stocke les statistiques en mémoire et suit uniquement l’activité des fichiers depuis son début et que la protection en temps réel a été activée.The application stores statistics in memory and only keeps track of file activity since it was started and real-time protection was enabled. Les processus qui ont été lancés avant ou pendant les périodes où la protection en temps réel était hors programme ne sont pas comptabilisés.Processes that were launched before or during periods when real time protection was off are not counted. En outre, seuls les événements qui ont déclenché des analyses sont comptés.Additionally, only events which triggered scans are counted.

  5. Configurez Microsoft Defender pour endpoint sur Linux avec des exclusions pour les processus ou les emplacements de disque qui contribuent aux problèmes de performances et activez à nouveau la protection en temps réel.Configure Microsoft Defender for Endpoint on Linux with exclusions for the processes or disk locations that contribute to the performance issues and re-enable real-time protection.

    Pour plus d’informations, voir Configurer et valider des exclusions pour Microsoft Defender pour Endpoint sur Linux.For more information, see Configure and validate exclusions for Microsoft Defender for Endpoint on Linux.

Voir aussiSee also