Microsoft Defender for Endpoint on Linux のパフォーマンスの問題のトラブルシューティングTroubleshoot performance issues for Microsoft Defender for Endpoint on Linux

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

この記事では、Defender for Endpoint for Linux に関連するパフォーマンスの問題を絞り込む一般的な手順について説明します。This article provides some general steps that can be used to narrow down performance issues related to Defender for Endpoint for Linux.

リアルタイム保護 (RTP) は、デバイスを継続的に監視し、脅威から保護する Defender for Endpoint for Linux の機能です。Real-time protection (RTP) is a feature of Defender for Endpoint for Linux that continuously monitors and protects your device against threats. ファイルとプロセスの監視、その他のヒューリスティックで構成されます。It consists of file and process monitoring and other heuristics.

実行中のアプリケーションとデバイスの特性によっては、Defender for Endpoint for Linux を実行するときに最適でないパフォーマンスが発生する場合があります。Depending on the applications that you are running and your device characteristics, you may experience suboptimal performance when running Defender for Endpoint for Linux. 特に、短時間で多くのリソースにアクセスするアプリケーションまたはシステム プロセスは、Defender for Endpoint for Linux のパフォーマンスの問題につながる可能性があります。In particular, applications or system processes that access many resources over a short timespan can lead to performance issues in Defender for Endpoint for Linux.

開始する前に、 他のセキュリティ製品がデバイスで現在実行されていないか確認してくださいBefore starting, please make sure that other security products are not currently running on the device. 複数のセキュリティ製品が競合し、ホストのパフォーマンスに影響を与える可能性があります。Multiple security products may conflict and impact the host performance.

次の手順を使用して、これらの問題のトラブルシューティングと軽減を行います。The following steps can be used to troubleshoot and mitigate these issues:

  1. 次のいずれかの方法を使用してリアルタイム保護を無効にし、パフォーマンスが向上するかどうかを確認します。Disable real-time protection using one of the following methods and observe whether the performance improves. この方法は、Defender for Endpoint for Linux がパフォーマンスの問題に貢献するかどうかを絞り込むのに役立ちます。This approach helps narrow down whether Defender for Endpoint for Linux is contributing to the performance issues.

    デバイスが組織によって管理されていない場合は、コマンド ラインからリアルタイム保護を無効にすることができます。If your device is not managed by your organization, real-time protection can be disabled from the command line:

    mdatp config real-time-protection --value disabled
    
    Configuration property updated
    

    デバイスが組織によって管理されている場合は 、「Defender for Endpoint for Linuxの設定」の手順に従って、管理者がリアルタイム保護を無効にすることができます。If your device is managed by your organization, real-time protection can be disabled by your administrator using the instructions in Set preferences for Defender for Endpoint for Linux.

    リアルタイム保護がオフの間にパフォーマンスの問題が解決しない場合、問題の発生源はエンドポイント検出および応答コンポーネントである可能性があります。If the performance problem persists while real-time protection is off, the origin of the problem could be the endpoint detection and response component. この場合、詳細な手順と軽減策については、カスタマー サポートにお問い合わせください。In this case please contact customer support for further instructions and mitigation.

  2. 最も多くのスキャンをトリガーしているアプリケーションを見つけるには、Defender for Endpoint for Linux によって収集されたリアルタイム統計を使用できます。To find the applications that are triggering the most scans, you can use real-time statistics gathered by Defender for Endpoint for Linux.

    注意

    この機能は、バージョン 100.90.70 以降で使用できます。This feature is available in version 100.90.70 or newer.

    この機能は、既定で and チャネル Dogfood で有効 InsiderFast になっています。This feature is enabled by default on the Dogfood and InsiderFast channels. 別の更新チャネルを使用している場合は、コマンド ラインからこの機能を有効にできます。If you're using a different update channel, this feature can be enabled from the command line:

    mdatp config real-time-protection-statistics --value enabled
    

    この機能では、リアルタイム保護を有効にする必要があります。This feature requires real-time protection to be enabled. リアルタイム保護の状態を確認するには、次のコマンドを実行します。To check the status of real-time protection, run the following command:

    mdatp health --field real_time_protection_enabled
    

    エントリが real_time_protection_enabled . trueVerify that the real_time_protection_enabled entry is true. それ以外の場合は、次のコマンドを実行して有効にしてください。Otherwise, run the following command to enable it:

    mdatp config real-time-protection --value enabled
    
    Configuration property updated
    

    現在の統計情報を収集するには、次のコマンドを実行します。To collect current statistics, run:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
    

    注意

    使用 --output json (ダブル ダッシュに注意してください) を使用すると、出力形式が解析の準備ができていることを確認します。Using --output json (note the double dash) ensures that the output format is ready for parsing.

    このコマンドの出力には、すべてのプロセスと関連するスキャン アクティビティが表示されます。The output of this command will show all processes and their associated scan activity.

  3. Linux システムで、次のコマンドを使用して python パーサー high_cpu_parser.py の サンプルをダウンロードします。On your Linux system, download the sample Python parser high_cpu_parser.py using the command:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
    

    このコマンドの出力は、次のようになります。The output of this command should be similar to the following:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
    Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
    Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1020 [text/plain]
    Saving to: 'high_cpu_parser.py'
    
    100%[===========================================>] 1,020    --.-K/s   in 0s
    
  4. 次に、次のコマンドを入力します。Next, type the following commands:

    chmod +x high_cpu_parser.py
    
    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
    

    上記の出力は、パフォーマンスの問題に対する上位の投稿者の一覧です。The output of the above is a list of the top contributors to performance issues. 最初の列はプロセス識別子 (PID)、2 番目の列は te プロセス名、最後の列はスキャンされたファイルの数で、影響順に並べ替えます。The first column is the process identifier (PID), the second column is te process name, and the last column is the number of scanned files, sorted by impact. たとえば、コマンドの出力は次のようになります。For example, the output of the command will be something like the below:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
    27432 None 76703
    73467 actool     1249
    73914 xcodebuild 1081
    73873 bash 1050
    27475 None 836
    1    launchd    407
    73468 ibtool     344
    549  telemetryd_v1   325
    4764 None 228
    125  CrashPlanService 164
    

    Defender for Endpoint for Linux のパフォーマンスを向上させるために、行の下に数値が最も高いディフェンダーを見つけて除外 Total files scanned を追加します。To improve the performance of Defender for Endpoint for Linux, locate the one with the highest number under the Total files scanned row and add an exclusion for it. 詳細については、「Defender for Endpoint for Linux の除外の構成と検証 」を参照してくださいFor more information, see Configure and validate exclusions for Defender for Endpoint for Linux.

    注意

    アプリケーションは、統計をメモリに格納し、ファイルのアクティビティが開始され、リアルタイム保護が有効にされた後にのみ追跡します。The application stores statistics in memory and only keeps track of file activity since it was started and real-time protection was enabled. リアルタイム保護がオフの前または期間中に起動されたプロセスはカウントされません。Processes that were launched before or during periods when real time protection was off are not counted. さらに、トリガーされたスキャンがカウントされるイベントのみ。Additionally, only events which triggered scans are counted.

  5. パフォーマンスの問題に寄与するプロセスまたはディスクの場所を除外して、Microsoft Defender ATP for Linux を構成し、リアルタイム保護を再び有効にしてください。Configure Microsoft Defender ATP for Linux with exclusions for the processes or disk locations that contribute to the performance issues and re-enable real-time protection.

    詳細については、「Linux 用 Microsoft Defender ATP の除外の構成と検証 」を参照してくださいFor more information, see Configure and validate exclusions for Microsoft Defender ATP for Linux.