Solucionar problemas de desempenho do Microsoft Defender para Ponto de Extremidade no LinuxTroubleshoot performance issues for Microsoft Defender for Endpoint on Linux

Aplica-se a:Applies to:

Deseja experimentar o Defender para Ponto de Extremidade?Want to experience Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

Este artigo fornece algumas etapas gerais que podem ser usadas para reduzir os problemas de desempenho relacionados ao Defender para Ponto de Extremidade no Linux.This article provides some general steps that can be used to narrow down performance issues related to Defender for Endpoint on Linux.

A proteção em tempo real (RTP) é um recurso do Defender for Endpoint no Linux que monitora e protege continuamente seu dispositivo contra ameaças.Real-time protection (RTP) is a feature of Defender for Endpoint on Linux that continuously monitors and protects your device against threats. Ele consiste no monitoramento de arquivos e processos e outras heurísticas.It consists of file and process monitoring and other heuristics.

Dependendo dos aplicativos que você está executando e suas características de dispositivo, você pode ter um desempenho suboptimal ao executar o Defender para Ponto de Extremidade no Linux.Depending on the applications that you are running and your device characteristics, you may experience suboptimal performance when running Defender for Endpoint on Linux. Em particular, aplicativos ou processos do sistema que acessam muitos recursos em um curto intervalo de tempo podem levar a problemas de desempenho no Defender para Ponto de Extremidade no Linux.In particular, applications or system processes that access many resources over a short timespan can lead to performance issues in Defender for Endpoint on Linux.

Antes de iniciar, verifique se outros produtos de segurança não estão sendo executados no dispositivo.Before starting, please make sure that other security products are not currently running on the device. Vários produtos de segurança podem conflitar e afetar o desempenho do host.Multiple security products may conflict and impact the host performance.

As etapas a seguir podem ser usadas para solucionar problemas e atenuar esses problemas:The following steps can be used to troubleshoot and mitigate these issues:

  1. Desabilite a proteção em tempo real usando um dos métodos a seguir e observe se o desempenho melhora.Disable real-time protection using one of the following methods and observe whether the performance improves. Essa abordagem ajuda a restringir se o Defender for Endpoint no Linux está contribuindo para os problemas de desempenho.This approach helps narrow down whether Defender for Endpoint on Linux is contributing to the performance issues.

    Se o dispositivo não for gerenciado pela sua organização, a proteção em tempo real poderá ser desabilitada na linha de comando:If your device is not managed by your organization, real-time protection can be disabled from the command line:

    mdatp config real-time-protection --value disabled
    
    Configuration property updated
    

    Se seu dispositivo for gerenciado pela sua organização, a proteção em tempo real poderá ser desabilitada pelo administrador usando as instruções em Definir preferênciaspara Defender para Ponto de Extremidade no Linux .If your device is managed by your organization, real-time protection can be disabled by your administrator using the instructions in Set preferences for Defender for Endpoint on Linux.

    Se o problema de desempenho persistir enquanto a proteção em tempo real estiver desligada, a origem do problema poderá ser o detecção e resposta de ponto de extremidade componente.If the performance problem persists while real-time protection is off, the origin of the problem could be the endpoint detection and response component. Nesse caso, entre em contato com o suporte do cliente para obter mais instruções e mitigação.In this case please contact customer support for further instructions and mitigation.

  2. Para encontrar os aplicativos que estão disparando a maioria das verificações, você pode usar estatísticas em tempo real coletadas pelo Defender para Ponto de Extremidade no Linux.To find the applications that are triggering the most scans, you can use real-time statistics gathered by Defender for Endpoint on Linux.

    Observação

    Esse recurso está disponível na versão 100.90.70 ou mais recente.This feature is available in version 100.90.70 or newer.

    Esse recurso é habilitado por padrão nos Dogfood canais InsiderFast e.This feature is enabled by default on the Dogfood and InsiderFast channels. Se você estiver usando um canal de atualização diferente, esse recurso poderá ser habilitado a partir da linha de comando:If you're using a different update channel, this feature can be enabled from the command line:

    mdatp config real-time-protection-statistics --value enabled
    

    Esse recurso requer proteção em tempo real para ser habilitado.This feature requires real-time protection to be enabled. Para verificar o status da proteção em tempo real, execute o seguinte comando:To check the status of real-time protection, run the following command:

    mdatp health --field real_time_protection_enabled
    

    Verifique se a real_time_protection_enabled entrada é true .Verify that the real_time_protection_enabled entry is true. Caso contrário, execute o seguinte comando para habilita-lo:Otherwise, run the following command to enable it:

    mdatp config real-time-protection --value enabled
    
    Configuration property updated
    

    Para coletar estatísticas atuais, execute:To collect current statistics, run:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
    

    Observação

    O --output json uso (observe o traço duplo) garante que o formato de saída esteja pronto para análise.Using --output json (note the double dash) ensures that the output format is ready for parsing.

    A saída desse comando mostrará todos os processos e suas atividades de verificação associadas.The output of this command will show all processes and their associated scan activity.

  3. Em seu sistema Linux, baixe o analisador Python de exemplo high_cpu_parser.py usando o comando:On your Linux system, download the sample Python parser high_cpu_parser.py using the command:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
    

    A saída deste comando deve ser semelhante ao seguinte:The output of this command should be similar to the following:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
    Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
    Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1020 [text/plain]
    Saving to: 'high_cpu_parser.py'
    
    100%[===========================================>] 1,020    --.-K/s   in 0s
    
  4. Em seguida, digite os seguintes comandos:Next, type the following commands:

    chmod +x high_cpu_parser.py
    
    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
    

    A saída do acima é uma lista dos principais colaboradores para problemas de desempenho.The output of the above is a list of the top contributors to performance issues. A primeira coluna é o identificador de processo (PID), a segunda coluna é o nome do processo e a última coluna é o número de arquivos verificados, classificação por impacto.The first column is the process identifier (PID), the second column is te process name, and the last column is the number of scanned files, sorted by impact. Por exemplo, a saída do comando será algo como o abaixo:For example, the output of the command will be something like the below:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
    27432 None 76703
    73467 actool     1249
    73914 xcodebuild 1081
    73873 bash 1050
    27475 None 836
    1    launchd    407
    73468 ibtool     344
    549  telemetryd_v1   325
    4764 None 228
    125  CrashPlanService 164
    

    Para melhorar o desempenho do Defender para Ponto de Extremidade no Linux, localize o que tem o número mais alto sob a linha e Total files scanned adicione uma exclusão para ele.To improve the performance of Defender for Endpoint on Linux, locate the one with the highest number under the Total files scanned row and add an exclusion for it. Para obter mais informações, consulte Configure and validate exclusions for Defender for Endpoint on Linux.For more information, see Configure and validate exclusions for Defender for Endpoint on Linux.

    Observação

    O aplicativo armazena estatísticas na memória e só mantém o controle da atividade do arquivo desde que foi iniciado e a proteção em tempo real foi habilitada.The application stores statistics in memory and only keeps track of file activity since it was started and real-time protection was enabled. Os processos que foram lançados antes ou durante períodos em que a proteção em tempo real estava desligada não são contados.Processes that were launched before or during periods when real time protection was off are not counted. Além disso, somente os eventos que dispararam verificações são contados.Additionally, only events which triggered scans are counted.

  5. Configure o Microsoft Defender para Ponto de Extremidade no Linux com exclusões para os processos ou locais de disco que contribuem para os problemas de desempenho e rehabilitam a proteção em tempo real.Configure Microsoft Defender for Endpoint on Linux with exclusions for the processes or disk locations that contribute to the performance issues and re-enable real-time protection.

    Para mais informações, confira Configurar e validar exclusões no Microsoft Defender para Ponto de Extremidade no Linux.For more information, see Configure and validate exclusions for Microsoft Defender for Endpoint on Linux.

Confira tambémSee also