Felsöka prestandaproblem för Microsoft Defender för Slutpunkt i Linux
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Det här dokumentet innehåller instruktioner för hur du kan begränsa prestandaproblem relaterade till Defender för Endpoint på Linux med tillgängliga diagnostikverktyg för att kunna förstå och minimera befintliga resursbrister och processer som gör systemet till sådana situationer. Prestandaproblem orsakas huvudsakligen av flaskhalsar i ett eller flera maskinvaruundersystem, beroende på vilken profil resursutnyttjandet har på systemet. Ibland är program känsliga för disk-I/O-resurser och kan behöva mer CPU-kapacitet, och ibland är vissa konfigurationer inte nödvändiga och kan utlösa för många nya processer och öppnar för många filbeskrivningar.
Beroende på vilka program du kör och enhetens egenskaper kan du uppleva underoptimal prestanda när du kör Defender för Endpoint på Linux. Särskilt program eller systemprocesser som har tillgång till många resurser, till exempel processor, disk och minne under en kort tidslängd, kan leda till prestandaproblem i Defender för slutpunkt på Linux.
Varning
Kontrollera att andra säkerhetsprodukter inte körs på enheten innan du startar. Flera säkerhetsprodukter kan vara i konflikt med och påverka värdprestandan.
Felsöka prestandaproblem med hjälp av realtidsskyddsstatistik
Gäller för:
- Endast prestandaproblem relaterade till AV
Realtidsskydd (RTP) är en funktion i Defender för Endpoint på Linux som kontinuerligt övervakar och skyddar din enhet mot hot. Den består av fil- och processövervakning och annan heuristics.
Följande steg kan användas för att felsöka och minimera dessa problem:
Inaktivera realtidsskyddet med någon av följande metoder och se om prestandan förbättras. Den här metoden begränsar huruvida Defender för Endpoint på Linux bidrar till prestandaproblemen.
Om din enhet inte hanteras av din organisation kan realtidsskydd inaktiveras från kommandoraden:
mdatp config real-time-protection --value disabledConfiguration property updatedOm din enhet hanteras av din organisation kan realtidsskydd inaktiveras av administratören genom att följa anvisningarna i Ange inställningar för Defender för slutpunkt i Linux.
Anteckning
Om prestandaproblemet kvarstår när realtidsskyddet är inaktiverat kan problemets ursprung vara den identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) komponenten. Följ i så fall anvisningarna i Felsöka prestandaproblem med hjälp av Microsoft Defender för Endpoint Client Analyzer i den här artikeln.
Om du vill hitta de program som utlöser flest genomsökningar kan du använda statistik i realtid som samlats av Defender för Endpoint på Linux.
Anteckning
Den här funktionen är tillgänglig i version 100.90.70 eller senare.
Den här funktionen är aktiverad som standard för
DogfoodallaInsiderFastkanaler och. Om du använder en annan uppdateringskanal kan den här funktionen aktiveras från kommandoraden:mdatp config real-time-protection-statistics --value enabledDen här funktionen kräver realtidsskydd för att aktiveras. Om du vill kontrollera statusen för realtidsskyddet kör du följande kommando:
mdatp health --field real_time_protection_enabledKontrollera att
real_time_protection_enabledposten ärtrue. Annars kör du följande kommando för att aktivera det:mdatp config real-time-protection --value enabledConfiguration property updatedOm du vill samla in aktuell statistik kör du:
mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.jsonAnteckning
Om
--output jsondu använder (observera det dubbla strecket) ser du till att utdataformatet är klart för tolkning.Utdata från det här kommandot visar alla processer och deras associerade genomsökningsaktivitet.
Ladda ned exempelet Python-parser high_cpu_parser.py på ditt Linux-system med kommandot:
wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.pyUtdata för det här kommandot bör se ut ungefär så här:
--2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected. HTTP request sent, awaiting response... 200 OK Length: 1020 [text/plain] Saving to: 'high_cpu_parser.py' 100%[===========================================>] 1,020 --.-K/s in 0sSkriv sedan följande kommandon:
chmod +x high_cpu_parser.pycat real_time_protection.json | python high_cpu_parser.py > real_time_protection.logUtdata från ovanstående är en lista över de mest deltagare som har prestandaproblem. Den första kolumnen är PID (Process Identifier), den andra kolumnen är processnamnet och den sista kolumnen är antalet skannade filer, sorterade efter påverkan. Till exempel ser utdata för kommandot ut ungefär så här:
... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10 27432 None 76703 73467 actool 1249 73914 xcodebuild 1081 73873 bash 1050 27475 None 836 1 launchd 407 73468 ibtool 344 549 telemetryd_v1 325 4764 None 228 125 CrashPlanService 164Om du vill förbättra prestandan för Defender för Endpoint i Linux letar du reda på den som har det högsta talet under raden och lägger
Total files scannedtill ett undantag för det. Mer information finns i Konfigurera och validera undantag för Defender för Endpoint på Linux.Anteckning
Programmet lagrar statistik i minnet och håller bara reda på filaktiviteten sedan den startades och realtidsskyddet aktiverades. Processer som startats tidigare eller under perioder där realtidsskydd var inaktiverat räknas inte. Dessutom räknas bara händelser som utlöste genomsökningar.
Konfigurera Microsoft Defender för slutpunkt på Linux med undantag för de processer eller diskutrymmen som bidrar till prestandaproblemen och återaktivera realtidsskydd.
Mer information finns i Konfigurera och validera undantag för Microsoft Defender för Endpoint på Linux.
Felsöka prestandaproblem med Hjälp av Microsoft Defender för Endpoint Client Analyzer
Gäller för:
- Prestandaproblem för alla tillgängliga Defender för slutpunktskomponenter, till exempel AV och Identifiering och åtgärd på slutpunkt
Microsoft Defender för Endpoint Client Analyzer (MDECA) kan samla in spårningar, loggar och diagnostikinformation för att felsöka prestandaproblem på enheter som är introduktionsbaserade på Linux.
Anteckning
Verktyget Microsoft Defender för slutpunktsklientanalys används regelbundet av Microsoft Support Services (CSS) för att samla in information, till exempel IP-adresser (men inte begränsat till), datornamn som hjälper dig felsöka problem som kan uppstå med Microsoft Defender för Slutpunkt. Mer information om vår sekretesspolicy finns i Microsofts sekretesspolicy.
Krav
- Klientanalysen kan köras på distributioner av Linux som stöds antingen före eller efter introduktionen till Microsoft Defender för Endpoint.
- Ladda ned client analyzer för Linux från den senaste förhandsversionen som finns tillgänglig för nedladdning här: https://aka.ms/XMDEClientAnalyzer
- Om enheten är bakom en proxy kan du helt enkelt överföra proxyservern som en miljövariabel till mde_support_tool.sh-skript. Till exempel:
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Köra klientanalys på Linux
Öppna en terminal eller SSH i relevant dator och kör följande kommandon:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzerunzip -q XMDEClientAnalyzer.zipcd XMDEClientAnalyzerchmod +x mde_support_tool.shKör som icke-rotanvändning för att installera nödvändiga pip- och lxml-komponenter:
./mde_support_tool.shSå här samlar du in själva diagnostikpaketet och genererar resultatarkivfilen igen som rot:
./mde_support_tool.sh -dExempel:
Anteckning
Analysatorn kräver 'lxml' för att ge resultatet. Om det inte är installerat försöker analysatorn hämta det från den officiella lagringsplatsen för Python-paketen nedan: https://files.pythonhosted.org/packages/\*/lxml\*.whl
Dessutom krävs det för närvarande att Python version 3 eller senare installeras för verktyget.
Om du kör på en dator som inte kan använda Python 3 eller hämta lxml-komponenten kan du ladda ned en binär baserad version av analysprogrammet som inte har något av kraven: Binär XMDE Client Analyzer
Ytterligare syntaxhjälp:
-h # Hjälp
# Visa hjälpmeddelande
prestanda # Prestanda
# Samlar in omfattande spårning för analys av ett prestandaproblem som kan återskapas på begäran. Använda --length=<seconds> för att ange varaktigheten för riktvärdet.
-o # Utdata
# Ange målsökvägen för resultatfilen
-nz # No-Zip
# Om detta anges skapas en katalog i stället för en arkivfil
-f # Tvinga
# Skriva över om det redan finns utdata i målsökvägen
Resultatpaketinnehåll
report.html
Beskrivning: Den huvudsakliga HTML-utdatafilen som innehåller resultaten och vägledningen som analysskriptet kör på datorn kan producera.
mde_diagnostic.zip
Beskrivning: Samma diagnostikresultat som genereras när du kör mdatp-diagnostik skapa på Linux
mde.xml
Beskrivning: XML-utdata som genereras när de körs och används för att skapa HTML-rapportfilen.
Processes_information.txt
Beskrivning: Innehåller information om hur Microsoft Defender körs för slutpunktsrelaterade processer på systemet.
Log.txt
Beskrivning: innehåller samma loggmeddelanden som skrivits på skärmen under datainsamlingen.
Health.txt
Beskrivning: Samma grundläggande hälsoresultat som visas när du kör hälsokommandot mdatp.
Events.xml
Beskrivning: Ytterligare XML-fil som används av analyseraren när HTML-rapporten byggs.
Auditd_info.txt
Beskrivning: information om den granskade tjänsten och relaterade komponenter för Linux OS
perf_benchmark.tar.gz
Beskrivning: Prestandatestrapporterna. Du ser bara det här om du använder prestandaparametern.
Anteckning
Om prestandaproblemet kvarstår efter stegen ovan kan du kontakta kundsupport för ytterligare instruktioner och åtgärder.