Linux에서 엔드포인트용 Microsoft Defender 성능 문제 해결
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
이 문서에서는 사용 가능한 진단 도구를 사용하여 기존 리소스 부족 및 시스템을 이러한 상황으로 만드는 프로세스를 이해하고 완화할 수 있도록 Linux의 엔드포인트용 Defender와 관련된 성능 문제를 좁히는 방법에 대한 지침을 제공합니다. 성능 문제는 주로 시스템의 리소스 사용률 프로필에 따라 하나 이상의 하드웨어 하위 시스템의 병목 현상으로 인해 발생합니다. 경우에 따라 애플리케이션은 디스크 I/O 리소스에 민감하고 더 많은 CPU 용량이 필요할 수 있으며 일부 구성이 지속 가능하지 않을 수 있으며 너무 많은 새 프로세스를 트리거하고 너무 많은 파일 설명자를 열 수 있습니다.
실행 중인 애플리케이션 및 디바이스 특성에 따라 Linux에서 엔드포인트용 Defender를 실행할 때 최적이 아닐 수 있습니다. 특히 짧은 시간 동안 CPU, 디스크 및 메모리와 같은 많은 리소스에 액세스하는 애플리케이션 또는 시스템 프로세스는 Linux의 엔드포인트용 Defender에서 성능 문제를 야기할 수 있습니다.
경고
시작하기 전에 다른 보안 제품이 현재 디바이스에서 실행되고 있지 않은지 확인하세요. 여러 보안 제품이 충돌하여 호스트 성능에 영향을 미칠 수 있습니다.
실시간 보호 통계를 사용하여 성능 문제 해결
적용 대상:
- AV와 관련된 성능 문제만
RTP(실시간 보호)는 위협으로부터 디바이스를 지속적으로 모니터링하고 보호하는 Linux의 엔드포인트용 Defender 기능입니다. 파일 및 프로세스 모니터링 및 기타 추론으로 구성됩니다.
다음 단계를 사용하여 이러한 문제를 해결하고 완화할 수 있습니다.
다음 방법 중 하나를 사용하여 실시간 보호를 사용하지 않도록 설정하고 성능이 향상되는지 여부를 확인합니다. 이 방법은 Linux의 엔드포인트용 Defender가 성능 문제에 기여하는지 여부를 좁히는 데 도움이 됩니다.
조직에서 디바이스를 관리하지 않는 경우 명령줄에서 실시간 보호를 사용하지 않도록 설정할 수 있습니다.
mdatp config real-time-protection --value disabledConfiguration property updated조직에서 디바이스를 관리하는 경우 Linux의 엔드포인트용 Defender에 대한 설정 기본 설정의 지침을 사용하여 관리자가 실시간 보호를 사용하지 않도록 설정할 수 있습니다.
참고
실시간 보호가 꺼져 있는 동안 성능 문제가 지속되면 문제의 원본은 엔드포인트 감지 및 응답(EDR) 구성 요소일 수 있습니다. 이 경우 이 문서의 엔드포인트용 Microsoft Defender Client Analyzer 섹션을 사용하여 성능 문제 해결 의 단계를 수행하세요.
가장 많은 검사를 트리거하는 애플리케이션을 찾으려면 Linux의 엔드포인트용 Defender에서 수집한 실시간 통계를 사용할 수 있습니다.
참고
이 기능은 버전 100.90.70 이상에서 사용할 수 있습니다.
이 기능은 기본적으로 채널 및
InsiderFast채널에서Dogfood사용하도록 설정됩니다. 다른 업데이트 채널을 사용하는 경우 명령줄에서 이 기능을 사용하도록 설정할 수 있습니다.mdatp config real-time-protection-statistics --value enabled이 기능을 사용하려면 실시간 보호가 필요합니다. 실시간 보호 상태를 확인하려면 다음 명령을 실행합니다.
mdatp health --field real_time_protection_enabled항목이
real_time_protection_enabled.인지 확인합니다true. 그렇지 않으면 다음 명령을 실행하여 사용하도록 설정합니다.mdatp config real-time-protection --value enabledConfiguration property updated현재 통계를 수집하려면 다음을 실행합니다.
mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json참고
이중 대시를 사용하면
--output json출력 형식이 구문 분석할 준비가 되었는지 확인합니다.이 명령의 출력에는 모든 프로세스 및 관련 검사 작업이 표시됩니다.
Linux 시스템에서 다음 명령을 사용하여 샘플 Python 파서 high_cpu_parser.py 를 다운로드합니다.
wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py이 명령의 출력은 다음과 유사해야 합니다.
--2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected. HTTP request sent, awaiting response... 200 OK Length: 1020 [text/plain] Saving to: 'high_cpu_parser.py' 100%[===========================================>] 1,020 --.-K/s in 0s다음으로 다음 명령을 입력합니다.
chmod +x high_cpu_parser.pycat real_time_protection.json | python high_cpu_parser.py > real_time_protection.log위의 출력은 성능 문제에 대한 상위 기여자 목록입니다. 첫 번째 열은 PID(프로세스 식별자)이고, 두 번째 열은 프로세스 이름이며, 마지막 열은 영향별로 정렬된 검사된 파일의 수입니다. 예를 들어 명령의 출력은 아래와 같습니다.
... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10 27432 None 76703 73467 actool 1249 73914 xcodebuild 1081 73873 bash 1050 27475 None 836 1 launchd 407 73468 ibtool 344 549 telemetryd_v1 325 4764 None 228 125 CrashPlanService 164Linux에서 엔드포인트용 Defender의 성능을 향상시키려면 행 아래에 가장 많은 수의 엔드포인트를
Total files scanned찾아 제외를 추가합니다. 자세한 내용은 Linux의 엔드포인트용 Defender에 대한 제외 구성 및 유효성 검사를 참조하세요.참고
애플리케이션은 통계를 메모리에 저장하고 파일 작업이 시작되고 실시간 보호가 활성화된 이후의 파일 작업만 추적합니다. 실시간 보호가 해제된 이전 또는 기간 동안 시작된 프로세스는 계산되지 않습니다. 또한 검사를 트리거한 이벤트만 계산됩니다.
성능 문제에 기여하고 실시간 보호를 다시 사용하도록 설정하는 프로세스 또는 디스크 위치에 대한 제외를 사용하여 Linux에서 엔드포인트용 Microsoft Defender 구성합니다.
자세한 내용은 Linux의 엔드포인트용 Microsoft Defender에 대한 제외 구성 및 유효성 검사를 참조하세요.
엔드포인트용 Microsoft Defender Client Analyzer를 사용하여 성능 문제 해결
적용 대상:
- AV 및 EDR 같은 사용 가능한 모든 엔드포인트용 Defender 구성 요소의 성능 문제
MDECA(엔드포인트용 Microsoft Defender Client Analyzer)는 Linux에서 온보딩된 디바이스의 성능 문제를 해결하기 위해 추적, 로그 및 진단 정보를 수집할 수 있습니다.
참고
엔드포인트용 Microsoft Defender 클라이언트 분석기 도구는 MICROSOFT CSS(고객 지원 서비스)에서 IP 주소, 엔드포인트용 MICROSOFT DEFENDER 발생할 수 있는 문제를 해결하는 데 도움이 되는 PC 이름과 같은 정보를 수집하는 데 정기적으로 사용됩니다. 개인정보처리방침에 대한 자세한 내용은 Microsoft 개인정보처리방침을 참조하세요.
요구 사항
- 클라이언트 분석기는 엔드포인트용 Microsoft Defender 온보딩 전이나 후에 Linux의 지원되는 배포판에서 실행할 수 있습니다.
- 여기에서 다운로드할 수 있는 최신 미리 보기 버전에서 Linux용 클라이언트 분석기를 다운로드합니다. https://aka.ms/XMDEClientAnalyzer
- 디바이스가 프록시 뒤에 있는 경우 프록시 서버를 환경 변수로 mde_support_tool.sh 스크립트에 전달할 수 있습니다. 예:
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Linux에서 클라이언트 분석기 실행
터미널 또는 SSH를 관련 컴퓨터로 열고 다음 명령을 실행합니다.
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzerunzip -q XMDEClientAnalyzer.zipcd XMDEClientAnalyzerchmod +x mde_support_tool.sh루트가 아닌 용도로 실행하여 다음 구성 요소를 설치하는 데 필요한 pip 및 lxml을 설치합니다.
./mde_support_tool.sh실제 진단 패키지를 수집하고 결과 보관 파일을 생성하려면 루트로 다시 실행합니다. 예제:
./mde_support_tool.sh -d
참고
분석기에서 결과 출력을 생성하려면 'lxml'이 필요합니다. 설치되지 않은 경우 분석기는 아래의 Python 패키지에 대한 공식 리포지토리에서 가져오려고 시도합니다. https://pypi.org/search/?q=lxml
또한 이 도구는 현재 Python 버전 3 이상을 설치해야 합니다.
Python 3을 사용할 수 없거나 lxml 구성 요소를 가져올 수 없는 컴퓨터에서 실행하는 경우 요구 사항이 없는 분석기의 이진 기반 버전을 다운로드할 수 있습니다. XMDE 클라이언트 분석기 이진
추가 구문 도움말:
-h # 도움말
# 도움말 메시지 표시
성능 # 성능
# 주문형으로 재현할 수 있는 성능 문제를 분석하기 위한 광범위한 추적을 수집합니다. 벤치마크 기간을 지정하는 데 사용됩니다 --length=<seconds> .
-o # 출력
# 결과 파일의 대상 경로 지정
-nz # No-Zip
# 설정된 경우 결과 보관 파일 대신 디렉터리가 만들어집니다.
-f # 강제로
# 대상 경로에 출력이 이미 있는 경우 덮어쓰기
결과 패키지 콘텐츠
report.html
설명: 컴퓨터에서 실행되는 분석기 스크립트가 생성할 수 있는 결과 및 지침을 포함하는 기본 HTML 출력 파일입니다.
mde_diagnostic.zip
설명: Linux에서 mdatp 진단 만들기 를 실행할 때 생성되는 것과 동일한 진단 출력
mde.xml
설명: 실행하는 동안 생성되고 html 보고서 파일을 빌드하는 데 사용되는 XML 출력입니다.
Processes_information.txt
설명: 시스템에서 실행 중인 엔드포인트용 Microsoft Defender 관련 프로세스의 세부 정보를 포함합니다.
Log.txt
설명: 데이터 수집 중에 화면에 기록된 것과 동일한 로그 메시지를 포함합니다.
Health.txt
설명: mdatp 상태 명령을 실행할 때 표시되는 것과 동일한 기본 상태 출력입니다.
Events.xml
설명: HTML 보고서를 작성할 때 분석기에서 사용하는 추가 XML 파일입니다.
Audited_info.txt
설명: Linux OS에 대한 감사된 서비스 및 관련 구성 요소에 대한 세부 정보
perf_benchmark.tar.gz
설명: 성능 테스트 보고서입니다. 성능 매개 변수를 사용하는 경우에만 표시됩니다.
참고
위의 단계를 수행한 후 성능 문제가 지속되는 경우 추가 지침 및 완화를 위해 고객 지원에 문의하세요.