Prestatieproblemen oplossen voor Microsoft Defender voor Eindpunt op LinuxTroubleshoot performance issues for Microsoft Defender for Endpoint on Linux

Van toepassing op:Applies to:

Wilt u Defender voor Eindpunt ervaren?Want to experience Defender for Endpoint? Meld u aan voor een gratis proefabonnement.Sign up for a free trial.

In dit artikel vindt u enkele algemene stappen die kunnen worden gebruikt om prestatieproblemen met betrekking tot Defender voor Eindpunt op Linux te beperken.This article provides some general steps that can be used to narrow down performance issues related to Defender for Endpoint on Linux.

Realtimebeveiliging (RTP) is een functie van Defender voor Eindpunt op Linux die uw apparaat continu bewaakt en beschermt tegen bedreigingen.Real-time protection (RTP) is a feature of Defender for Endpoint on Linux that continuously monitors and protects your device against threats. Het bestaat uit bestands- en procescontrole en andere heuristieken.It consists of file and process monitoring and other heuristics.

Afhankelijk van de toepassingen die u gebruikt en uw apparaatkenmerken, kunt u suboptimale prestaties ervaren bij het uitvoeren van Defender voor Eindpunt op Linux.Depending on the applications that you are running and your device characteristics, you may experience suboptimal performance when running Defender for Endpoint on Linux. Met name toepassingen of systeemprocessen die over een korte periode toegang hebben tot veel resources, kunnen leiden tot prestatieproblemen in Defender for Endpoint op Linux.In particular, applications or system processes that access many resources over a short timespan can lead to performance issues in Defender for Endpoint on Linux.

Controleer voordat u begint of andere beveiligingsproducten momenteel niet op het apparaat worden uitgevoerd.Before starting, please make sure that other security products are not currently running on the device. Meerdere beveiligingsproducten kunnen conflicteren en van invloed zijn op de prestaties van de host.Multiple security products may conflict and impact the host performance.

De volgende stappen kunnen worden gebruikt om deze problemen op te lossen en te beperken:The following steps can be used to troubleshoot and mitigate these issues:

  1. Schakel realtimebeveiliging uit met behulp van een van de volgende methoden en kijk of de prestaties verbeteren.Disable real-time protection using one of the following methods and observe whether the performance improves. Met deze methode kunt u beperken of Defender voor Eindpunt op Linux bijdraagt aan de prestatieproblemen.This approach helps narrow down whether Defender for Endpoint on Linux is contributing to the performance issues.

    Als uw apparaat niet wordt beheerd door uw organisatie, kan realtimebeveiliging worden uitgeschakeld vanaf de opdrachtregel:If your device is not managed by your organization, real-time protection can be disabled from the command line:

    mdatp config real-time-protection --value disabled
    
    Configuration property updated
    

    Als uw apparaat wordt beheerd door uw organisatie, kan realtimebeveiliging door uw beheerder worden uitgeschakeld met behulp van de instructies in Voorkeuren instellen voor Defender voor Eindpunt op Linux.If your device is managed by your organization, real-time protection can be disabled by your administrator using the instructions in Set preferences for Defender for Endpoint on Linux.

    Als het prestatieprobleem zich blijft voordoen terwijl de realtimebeveiliging is uitgeschakeld, kan de oorzaak van het probleem het eindpuntdetectie en -respons zijn.If the performance problem persists while real-time protection is off, the origin of the problem could be the endpoint detection and response component. Neem in dit geval contact op met de klantondersteuning voor verdere instructies en beperking.In this case please contact customer support for further instructions and mitigation.

  2. Als u de toepassingen wilt vinden die de meeste scans activeren, kunt u realtimestatistieken gebruiken die door Defender voor Eindpunt op Linux zijn verzameld.To find the applications that are triggering the most scans, you can use real-time statistics gathered by Defender for Endpoint on Linux.

    Notitie

    Deze functie is beschikbaar in versie 100.90.70 of hoger.This feature is available in version 100.90.70 or newer.

    Deze functie is standaard ingeschakeld op de Dogfood kanalen InsiderFast en kanalen.This feature is enabled by default on the Dogfood and InsiderFast channels. Als u een ander updatekanaal gebruikt, kan deze functie worden ingeschakeld vanaf de opdrachtregel:If you're using a different update channel, this feature can be enabled from the command line:

    mdatp config real-time-protection-statistics --value enabled
    

    Voor deze functie is realtime beveiliging vereist.This feature requires real-time protection to be enabled. Voer de volgende opdracht uit om de status van realtimebeveiliging te controleren:To check the status of real-time protection, run the following command:

    mdatp health --field real_time_protection_enabled
    

    Controleer of de real_time_protection_enabled vermelding true .Verify that the real_time_protection_enabled entry is true. Voer anders de volgende opdracht uit om deze in te stellen:Otherwise, run the following command to enable it:

    mdatp config real-time-protection --value enabled
    
    Configuration property updated
    

    Als u huidige statistieken wilt verzamelen, gaat u als volgende te werk:To collect current statistics, run:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
    

    Notitie

    Met --output json behulp van (let op het dubbele streepje) zorgt u ervoor dat de uitvoernotatie klaar is voor parsing.Using --output json (note the double dash) ensures that the output format is ready for parsing.

    De uitvoer van deze opdracht toont alle processen en de bijbehorende scanactiviteit.The output of this command will show all processes and their associated scan activity.

  3. Download op uw Linux-systeem de voorbeeld-Python-parser high_cpu_parser.py met de opdracht:On your Linux system, download the sample Python parser high_cpu_parser.py using the command:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
    

    De uitvoer van deze opdracht moet ongeveer hetzelfde zijn:The output of this command should be similar to the following:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
    Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
    Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1020 [text/plain]
    Saving to: 'high_cpu_parser.py'
    
    100%[===========================================>] 1,020    --.-K/s   in 0s
    
  4. Typ vervolgens de volgende opdrachten:Next, type the following commands:

    chmod +x high_cpu_parser.py
    
    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
    

    De uitvoer van het bovenstaande is een lijst met de belangrijkste bijdragers aan prestatieproblemen.The output of the above is a list of the top contributors to performance issues. De eerste kolom is de procesaanduiding (PID), de tweede kolom is de naam van het proces en de laatste kolom is het aantal gescande bestanden, gesorteerd op effect.The first column is the process identifier (PID), the second column is te process name, and the last column is the number of scanned files, sorted by impact. De uitvoer van de opdracht is bijvoorbeeld iets als de volgende:For example, the output of the command will be something like the below:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
    27432 None 76703
    73467 actool     1249
    73914 xcodebuild 1081
    73873 bash 1050
    27475 None 836
    1    launchd    407
    73468 ibtool     344
    549  telemetryd_v1   325
    4764 None 228
    125  CrashPlanService 164
    

    Als u de prestaties van Defender voor Eindpunt op Linux wilt verbeteren, zoekt u de versie met het hoogste getal onder de rij en voegt u een Total files scanned uitsluiting toe.To improve the performance of Defender for Endpoint on Linux, locate the one with the highest number under the Total files scanned row and add an exclusion for it. Zie Uitsluitingen configureren en validerenvoor Defender voor Eindpunt op Linux voor meer informatie.For more information, see Configure and validate exclusions for Defender for Endpoint on Linux.

    Notitie

    De toepassing slaat statistieken op in het geheugen en houdt alleen de bestandsactiviteit bij sinds de toepassing is gestart en realtime beveiliging is ingeschakeld.The application stores statistics in memory and only keeps track of file activity since it was started and real-time protection was enabled. Processen die zijn gestart vóór of tijdens perioden waarin realtimebeveiliging was uitgeschakeld, worden niet meegetelde.Processes that were launched before or during periods when real time protection was off are not counted. Bovendien worden alleen gebeurtenissen geteld die scans hebben geactiveerd.Additionally, only events which triggered scans are counted.

  5. Configureer Microsoft Defender voor Eindpunt op Linux met uitsluitingen voor de processen of schijflocaties die bijdragen aan de prestatieproblemen en realtime beveiliging opnieuw inschakelen.Configure Microsoft Defender for Endpoint on Linux with exclusions for the processes or disk locations that contribute to the performance issues and re-enable real-time protection.

    Zie Uitsluitingen configureren en validerenvoor Microsoft Defender voor Eindpunt op Linux voor meer informatie.For more information, see Configure and validate exclusions for Microsoft Defender for Endpoint on Linux.

Zie ookSee also