Устранение неполадок с производительностью для Microsoft Defender для конечной точки в LinuxTroubleshoot performance issues for Microsoft Defender for Endpoint on Linux

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

В этой статье приводится ряд общих действий, которые можно использовать для сужение проблем производительности, связанных с Defender для конечной точки на Linux.This article provides some general steps that can be used to narrow down performance issues related to Defender for Endpoint on Linux.

Защита в режиме реального времени (RTP) — это функция Defender для конечной точки на Linux, которая непрерывно отслеживает и защищает устройство от угроз.Real-time protection (RTP) is a feature of Defender for Endpoint on Linux that continuously monitors and protects your device against threats. Он состоит из мониторинга файлов и процессов и других процессов.It consists of file and process monitoring and other heuristics.

В зависимости от запущенных приложений и характеристик устройства вы можете испытывать неоптимальную производительность при запуске Defender для конечной точки на Linux.Depending on the applications that you are running and your device characteristics, you may experience suboptimal performance when running Defender for Endpoint on Linux. В частности, приложения или системные процессы, которые имеют доступ ко многим ресурсам в течение короткого времени, могут привести к проблеме производительности в Defender для конечной точки в Linux.In particular, applications or system processes that access many resources over a short timespan can lead to performance issues in Defender for Endpoint on Linux.

Перед началом убедитесь, что другие продукты безопасности в настоящее время не работают на устройстве.Before starting, please make sure that other security products are not currently running on the device. Несколько продуктов безопасности могут конфликтовть и влиять на производительность хостов.Multiple security products may conflict and impact the host performance.

Для устранения неполадок и устранения этих проблем можно использовать следующие действия:The following steps can be used to troubleshoot and mitigate these issues:

  1. Отключать защиту в режиме реального времени с помощью одного из следующих методов и наблюдать, повышается ли производительность.Disable real-time protection using one of the following methods and observe whether the performance improves. Этот подход помогает сузить, вносит ли Защитник для конечной точки в Linux вклад в проблемы производительности.This approach helps narrow down whether Defender for Endpoint on Linux is contributing to the performance issues.

    Если устройство не управляется организацией, защита в режиме реального времени может быть отключена из командной строки:If your device is not managed by your organization, real-time protection can be disabled from the command line:

    mdatp config real-time-protection --value disabled
    
    Configuration property updated
    

    Если устройство управляется организацией, защита в режиме реального времени может быть отключена администратором с помощью инструкций в Наборе предпочтений для Защитникадля конечной точки на Linux.If your device is managed by your organization, real-time protection can be disabled by your administrator using the instructions in Set preferences for Defender for Endpoint on Linux.

    Если проблема производительности сохраняется при отключении защиты в режиме реального времени, ее происхождение может быть обнаружение и нейтрализация атак на конечные точки компонентом.If the performance problem persists while real-time protection is off, the origin of the problem could be the endpoint detection and response component. В этом случае обратитесь в службу поддержки клиентов для получения дополнительных инструкций и смягчения последствий.In this case please contact customer support for further instructions and mitigation.

  2. Чтобы найти приложения, которые запускают большинство сканов, можно использовать статистику в режиме реального времени, собранную Defender для конечной точки на Linux.To find the applications that are triggering the most scans, you can use real-time statistics gathered by Defender for Endpoint on Linux.

    Примечание

    Эта функция доступна в версии 100.90.70 или более новой версии.This feature is available in version 100.90.70 or newer.

    Эта функция включена по умолчанию на Dogfood InsiderFast каналах и каналах.This feature is enabled by default on the Dogfood and InsiderFast channels. Если вы используете другой канал обновления, эту функцию можно включить из командной строки:If you're using a different update channel, this feature can be enabled from the command line:

    mdatp config real-time-protection-statistics --value enabled
    

    Эта функция требует включения защиты в режиме реального времени.This feature requires real-time protection to be enabled. Чтобы проверить состояние защиты в режиме реального времени, запустите следующую команду:To check the status of real-time protection, run the following command:

    mdatp health --field real_time_protection_enabled
    

    Убедитесь, real_time_protection_enabled что запись true .Verify that the real_time_protection_enabled entry is true. В противном случае запустите следующую команду, чтобы включить ее:Otherwise, run the following command to enable it:

    mdatp config real-time-protection --value enabled
    
    Configuration property updated
    

    Чтобы собрать текущую статистику, запустите:To collect current statistics, run:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
    

    Примечание

    Использование (примечание двойной тире) гарантирует, что формат вывода --output json готов к разметки.Using --output json (note the double dash) ensures that the output format is ready for parsing.

    На выходе этой команды будут отсканироваться все процессы и связанные с ними действия сканирования.The output of this command will show all processes and their associated scan activity.

  3. В вашей системе Linux скачайте образец parser Python high_cpu_parser.py с помощью команды:On your Linux system, download the sample Python parser high_cpu_parser.py using the command:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
    

    Выход этой команды должен быть похож на следующие:The output of this command should be similar to the following:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
    Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
    Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1020 [text/plain]
    Saving to: 'high_cpu_parser.py'
    
    100%[===========================================>] 1,020    --.-K/s   in 0s
    
  4. Далее введите следующие команды:Next, type the following commands:

    chmod +x high_cpu_parser.py
    
    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
    

    Вывод выше — это список основных участников проблем производительности.The output of the above is a list of the top contributors to performance issues. Первый столбец — идентификатор процесса (PID), второй — имя процесса te, а последний — число отсканированных файлов, отсортированных по воздействию.The first column is the process identifier (PID), the second column is te process name, and the last column is the number of scanned files, sorted by impact. Например, выход команды будет чем-то похожим на ниже:For example, the output of the command will be something like the below:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
    27432 None 76703
    73467 actool     1249
    73914 xcodebuild 1081
    73873 bash 1050
    27475 None 836
    1    launchd    407
    73468 ibtool     344
    549  telemetryd_v1   325
    4764 None 228
    125  CrashPlanService 164
    

    Чтобы повысить производительность Defender для конечной точки на Linux, найдите точку с самым высоким числом под строкой и добавьте исключение Total files scanned для нее.To improve the performance of Defender for Endpoint on Linux, locate the one with the highest number under the Total files scanned row and add an exclusion for it. Дополнительные сведения см. в дополнительных сведениях: Настройка и проверка исключений для Defender для конечной точки в Linux.For more information, see Configure and validate exclusions for Defender for Endpoint on Linux.

    Примечание

    Приложение хранит статистику в памяти и отслеживает активность файлов только с момента ее начала и включения защиты в режиме реального времени.The application stores statistics in memory and only keeps track of file activity since it was started and real-time protection was enabled. Процессы, запущенные до или во время отключения защиты в режиме реального времени, не учитываются.Processes that were launched before or during periods when real time protection was off are not counted. Кроме того, учитываются только события, которые вызвали сканирование.Additionally, only events which triggered scans are counted.

  5. Настройте Microsoft Defender для конечной точки на Linux с исключениями для процессов или расположения дисков, которые способствуют повышению производительности и повторной защите в режиме реального времени.Configure Microsoft Defender for Endpoint on Linux with exclusions for the processes or disk locations that contribute to the performance issues and re-enable real-time protection.

    Дополнительные сведения см. в дополнительных сведениях: Настройка и проверка исключений для Microsoft Defender для конечной точки в Linux.For more information, see Configure and validate exclusions for Microsoft Defender for Endpoint on Linux.

См. такжеSee also