Udostępnij przez

Rozwiązywanie problemów z wydajnością usługi Microsoft Defender dla punktu końcowego w systemie macOS

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ten artykuł zawiera ogólne kroki, których można użyć do zawężenia problemów z wydajnością związanych z usługą Defender for Endpoint w systemie macOS.

W zależności od uruchomionych aplikacji i charakterystyk urządzenia może wystąpić nieoptymalna wydajność podczas uruchamiania usługi Microsoft Defender for Endpoint w systemie macOS. W szczególności aplikacje lub procesy systemowe uzyskujące dostęp do wielu zasobów w krótkim czasie mogą prowadzić do problemów z wydajnością w usłudze Defender for Endpoint w systemie macOS.

Ostrzeżenie

Przed wykonaniem procedur opisanych w tym artykule upewnij się, że inne produkty zabezpieczające nie są obecnie uruchomione na urządzeniu. Wiele produktów zabezpieczeń może powodować konflikty i wpływać na wydajność hosta.

Rozwiązywanie problemów z wydajnością przy użyciu statystyk ochrony w czasie rzeczywistym

Dotyczy:

  • Tylko problemy z wydajnością związane z programem antywirusowym Microsoft Defender (wdavdaemon_unprivileged).

Ochrona w czasie rzeczywistym (RTP) to funkcja usługi Defender for Endpoint w systemie macOS, która stale monitoruje i chroni urządzenie przed zagrożeniami. Składa się z monitorowania plików i procesów oraz innych heurystycznych.

Wymagania wstępne:

  • Microsoft Defender dla wersji punktu końcowego (Aktualizacja platformy) 100.90.70 lub nowszej
  • Jeśli ochrona przed naruszeniami jest włączona w trybie bloku, użyj trybu rozwiązywania problemów , aby przechwycić statystyki ochrony w czasie rzeczywistym. W przeciwnym razie otrzymasz wyniki o wartości null.

Porada

Ogólnie rzecz biorąc, zaleca się zaktualizowanie agenta usługi Microsoft Defender for Endpoint do najnowszej dostępnej wersji i potwierdzenie, że problem nadal występuje przed dalszym badaniem.

Aby rozwiązać i rozwiązać problemy z wydajnością, wykonaj następujące kroki:

  1. Wyłącz ochronę w czasie rzeczywistym przy użyciu jednej z metod w poniższej tabeli, a następnie sprawdź, czy wydajność się poprawia. Takie podejście pomaga zawęzić, czy usługa Microsoft Defender dla punktu końcowego w systemie macOS przyczynia się do problemów z wydajnością.

    Zarządzanie urządzeniami Metoda
    Urządzenie nie jest zarządzane przez organizację Interfejs użytkownika: otwórz usługę Microsoft Defender dla punktu końcowego w systemie macOS i przejdź do pozycji Zarządzaj ustawieniami.
    Urządzenie nie jest zarządzane przez organizację Terminal: W terminalu uruchom następujące polecenie: mdatp config real-time-protection --value disabled
    Urządzenie jest zarządzane przez organizację Zobacz Ustawianie preferencji dla usługi Microsoft Defender dla punktu końcowego w systemie macOS.

    Jeśli problem z wydajnością będzie się powtarzać, gdy ochrona w czasie rzeczywistym jest wyłączona, źródłem problemu może być składnik wykrywania punktów końcowych i reagowania. W takim przypadku skontaktuj się z pomocą techniczną, aby uzyskać dalsze instrukcje i środki zaradcze.

  2. Otwórz aplikację Finder i przejdź doobszaru Narzędziaaplikacji>. Otwórz monitor aktywności i przeanalizuj, które aplikacje używają zasobów w systemie. Typowe przykłady obejmują aktualizacje oprogramowania i kompilatory.

  3. Ta funkcja wymaga włączenia ochrony w czasie rzeczywistym. Aby sprawdzić stan ochrony w czasie rzeczywistym, uruchom następujące polecenie:

    mdatp health --field real_time_protection_enabled

    Sprawdź, czy wpis real_time_protection_enabled ma wartość true. W przeciwnym razie uruchom następujące polecenie, aby go włączyć:

    mdatp config real-time-protection --value enabled

    Configuration property updated

  4. Aby znaleźć aplikacje wyzwalające najwięcej skanów, możesz użyć statystyk w czasie rzeczywistym zebranych przez usługę Defender for Endpoint w systemie macOS. Uruchom następujące polecenie, aby go włączyć:

    mdatp config real-time-protection-statistics --value enabled.

    Porada

    Przed kontynuowaniem przechwytywania danych upewnij się, że wysokie wykorzystanie procesora CPU występuje w wdavdaemon_unprivileged przez uruchomienie górnej lub otwierającej activity monitor.

  5. Aby uzyskać dane wyjściowe do pliku json, uruchom następujące polecenie:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json

    Uwaga

    Użycie --output json (zwróć uwagę na podwójną kreskę) gwarantuje, że format wyjściowy jest gotowy do analizowania. W danych wyjściowych tego polecenia zostaną wyświetlone wszystkie procesy i skojarzone z nimi działania skanowania.

  6. W systemie Mac pobierz przykładowy analizator high_cpu_parser.py języka Python przy użyciu polecenia:

    curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py

    Dane wyjściowe tego polecenia powinny być podobne do następujących:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1020 [text/plain]
Saving to: 'high_cpu_parser.py'
100%[===========================================>] 1,020    --.-K/s   in
0s

  7. Wpisz następujące polecenia:

    chmod +x high_cpu_parser.py

    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log

    Dane wyjściowe powinny być listą najważniejszych współautorów problemów z wydajnością. Pierwsza kolumna to identyfikator procesu (PID), druga kolumna to nazwa procesu, a ostatnia kolumna to liczba zeskanowanych plików posortowanych według wpływu. Oto przykład:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
27432 None 76703
73467 actool     1249
73914 xcodebuild 1081
73873 bash 1050
27475 None 836
1    launchd    407
73468 ibtool     344
549  telemetryd_v1   325
4764 None 228
125  CrashPlanService 164

  8. Aby zwiększyć wydajność usługi Defender for Endpoint na komputerze Mac, znajdź usługę z największą liczbą w wierszu Zeskanowanych plików, a następnie dodaj dla niego wykluczenie. Aby uzyskać więcej informacji, zobacz Konfigurowanie i weryfikowanie wykluczeń dla usługi Defender dla punktu końcowego w systemie macOS.

    Uwaga

    Aplikacja przechowuje statystyki w pamięci i śledzi tylko aktywność plików od momentu jej uruchomienia i włączono ochronę w czasie rzeczywistym. Procesy, które zostały uruchomione przed lub w okresach, w których ochrona w czasie rzeczywistym była wyłączona, nie są liczone. Ponadto są liczone tylko zdarzenia, które wyzwoliły skanowania.

  9. Skonfiguruj usługę Microsoft Defender dla punktu końcowego w systemie macOS z wykluczeniami dla procesów lub lokalizacji dysków, które przyczyniają się do problemów z wydajnością i ponownie włącz ochronę w czasie rzeczywistym.

    Zobacz Konfigurowanie i weryfikowanie wykluczeń dla usługi Microsoft Defender dla punktu końcowego w systemie macOS.

Rozwiązywanie problemów z wydajnością przy użyciu programu Microsoft Defender for Endpoint Client Analyzer

Narzędzie Microsoft Defender for Endpoint Client Analyzer (MDECA) może zbierać dane śledzenia, dzienniki i informacje diagnostyczne w celu rozwiązywania problemów z wydajnością na dołączonych urządzeniach w systemie macOS.

Aby uruchomić analizator klienta w celu rozwiązywania problemów z wydajnością, zobacz Uruchamianie analizatora klienta w systemach macOS i Linux.

Uwaga

Narzędzie Microsoft Defender for Endpoint Client Analyzer jest regularnie używane przez usługi pomocy technicznej firmy Microsoft (CSS) do zbierania informacji, takich jak (ale nie tylko) adresy IP, nazwy komputerów, które pomogą rozwiązać problemy, które mogą wystąpić w usłudze Microsoft Defender for Endpoint. Aby uzyskać więcej informacji na temat zasad zachowania poufności informacji, zobacz Zasady zachowania poufności informacji firmy Microsoft.