Felsöka prestandaproblem för Microsoft Defender för Slutpunkt i Linux

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Det här dokumentet innehåller instruktioner för hur du kan begränsa prestandaproblem relaterade till Defender för Endpoint på Linux med tillgängliga diagnostikverktyg för att kunna förstå och minimera befintliga resursbrister och processer som gör systemet till sådana situationer. Prestandaproblem orsakas huvudsakligen av flaskhalsar i ett eller flera maskinvaruundersystem, beroende på vilken profil resursutnyttjandet har på systemet. Ibland är program känsliga för disk-I/O-resurser och kan behöva mer CPU-kapacitet, och ibland är vissa konfigurationer inte nödvändiga och kan utlösa för många nya processer och öppnar för många filbeskrivningar.

Beroende på vilka program du kör och enhetens egenskaper kan du uppleva underoptimal prestanda när du kör Defender för Endpoint på Linux. Särskilt program eller systemprocesser som har tillgång till många resurser, till exempel processor, disk och minne under en kort tidslängd, kan leda till prestandaproblem i Defender för slutpunkt på Linux.

Varning

Kontrollera att andra säkerhetsprodukter inte körs på enheten innan du startar. Flera säkerhetsprodukter kan vara i konflikt med och påverka värdprestandan.

Felsöka prestandaproblem med hjälp av realtidsskyddsstatistik

Gäller för:

  • Endast prestandaproblem relaterade till AV

Realtidsskydd (RTP) är en funktion i Defender för Endpoint på Linux som kontinuerligt övervakar och skyddar din enhet mot hot. Den består av fil- och processövervakning och annan heuristics.

Följande steg kan användas för att felsöka och minimera dessa problem:

  1. Inaktivera realtidsskyddet med någon av följande metoder och se om prestandan förbättras. Den här metoden begränsar huruvida Defender för Endpoint på Linux bidrar till prestandaproblemen.

    Om din enhet inte hanteras av din organisation kan realtidsskydd inaktiveras från kommandoraden:

    mdatp config real-time-protection --value disabled
    
    Configuration property updated
    

    Om din enhet hanteras av din organisation kan realtidsskydd inaktiveras av administratören genom att följa anvisningarna i Ange inställningar för Defender för slutpunkt i Linux.

    Anteckning

    Om prestandaproblemet kvarstår när realtidsskyddet är inaktiverat kan problemets ursprung vara den identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) komponenten. Följ i så fall anvisningarna i Felsöka prestandaproblem med hjälp av Microsoft Defender för Endpoint Client Analyzer i den här artikeln.

  2. Om du vill hitta de program som utlöser flest genomsökningar kan du använda statistik i realtid som samlats av Defender för Endpoint på Linux.

    Anteckning

    Den här funktionen är tillgänglig i version 100.90.70 eller senare.

    Den här funktionen är aktiverad som standard för Dogfood alla InsiderFast kanaler och. Om du använder en annan uppdateringskanal kan den här funktionen aktiveras från kommandoraden:

    mdatp config real-time-protection-statistics --value enabled
    

    Den här funktionen kräver realtidsskydd för att aktiveras. Om du vill kontrollera statusen för realtidsskyddet kör du följande kommando:

    mdatp health --field real_time_protection_enabled
    

    Kontrollera att real_time_protection_enabled posten är true . Annars kör du följande kommando för att aktivera det:

    mdatp config real-time-protection --value enabled
    
    Configuration property updated
    

    Om du vill samla in aktuell statistik kör du:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
    

    Anteckning

    Om --output json du använder (observera det dubbla strecket) ser du till att utdataformatet är klart för tolkning.

    Utdata från det här kommandot visar alla processer och deras associerade genomsökningsaktivitet.

  3. Ladda ned exempelet Python-parser high_cpu_parser.py på ditt Linux-system med kommandot:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
    

    Utdata för det här kommandot bör se ut ungefär så här:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
    Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
    Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1020 [text/plain]
    Saving to: 'high_cpu_parser.py'
    100%[===========================================>] 1,020    --.-K/s   in 0s
    
  4. Skriv sedan följande kommandon:

    chmod +x high_cpu_parser.py
    
    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
    

    Utdata från ovanstående är en lista över de mest deltagare som har prestandaproblem. Den första kolumnen är PID (Process Identifier), den andra kolumnen är processnamnet och den sista kolumnen är antalet skannade filer, sorterade efter påverkan. Till exempel ser utdata för kommandot ut ungefär så här:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
    27432 None 76703
    73467 actool     1249
    73914 xcodebuild 1081
    73873 bash 1050
    27475 None 836
    1    launchd    407
    73468 ibtool     344
    549  telemetryd_v1   325
    4764 None 228
    125  CrashPlanService 164
    

    Om du vill förbättra prestandan för Defender för Endpoint i Linux letar du reda på den som har det högsta talet under raden och lägger Total files scanned till ett undantag för det. Mer information finns i Konfigurera och validera undantag för Defender för Endpoint på Linux.

    Anteckning

    Programmet lagrar statistik i minnet och håller bara reda på filaktiviteten sedan den startades och realtidsskyddet aktiverades. Processer som startats tidigare eller under perioder där realtidsskydd var inaktiverat räknas inte. Dessutom räknas bara händelser som utlöste genomsökningar.

  5. Konfigurera Microsoft Defender för slutpunkt på Linux med undantag för de processer eller diskutrymmen som bidrar till prestandaproblemen och återaktivera realtidsskydd.

    Mer information finns i Konfigurera och validera undantag för Microsoft Defender för Endpoint på Linux.

Felsöka prestandaproblem med Hjälp av Microsoft Defender för Endpoint Client Analyzer

Gäller för:

  • Prestandaproblem för alla tillgängliga Defender för slutpunktskomponenter, till exempel AV och Identifiering och åtgärd på slutpunkt

Microsoft Defender för Endpoint Client Analyzer (MDECA) kan samla in spårningar, loggar och diagnostikinformation för att felsöka prestandaproblem på enheter som är introduktionsbaserade på Linux.

Anteckning

Verktyget Microsoft Defender för slutpunktsklientanalys används regelbundet av Microsoft Support Services (CSS) för att samla in information, till exempel IP-adresser (men inte begränsat till), datornamn som hjälper dig felsöka problem som kan uppstå med Microsoft Defender för Slutpunkt. Mer information om vår sekretesspolicy finns i Microsofts sekretesspolicy.

Krav

  • Klientanalysen kan köras på distributioner av Linux som stöds antingen före eller efter introduktionen till Microsoft Defender för Endpoint.
  • Ladda ned client analyzer för Linux från den senaste förhandsversionen som finns tillgänglig för nedladdning här: https://aka.ms/XMDEClientAnalyzer
  • Om enheten är bakom en proxy kan du helt enkelt överföra proxyservern som en miljövariabel till mde_support_tool.sh-skript. Till exempel: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

Köra klientanalys på Linux

Öppna en terminal eller SSH i relevant dator och kör följande kommandon:

  1. wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. unzip -q XMDEClientAnalyzer.zip

  3. cd XMDEClientAnalyzer

  4. chmod +x mde_support_tool.sh

  5. Kör som icke-rotanvändning för att installera nödvändiga pip- och lxml-komponenter: ./mde_support_tool.sh

  6. Så här samlar du in själva diagnostikpaketet och genererar resultatarkivfilen igen som rot: ./mde_support_tool.sh -d Exempel:

    Bild av exempel på kommandorad.

Anteckning

  • Analysatorn kräver 'lxml' för att ge resultatet. Om det inte är installerat försöker analysatorn hämta det från den officiella lagringsplatsen för Python-paketen nedan: https://files.pythonhosted.org/packages/\*/lxml\*.whl

  • Dessutom krävs det för närvarande att Python version 3 eller senare installeras för verktyget.

  • Om du kör på en dator som inte kan använda Python 3 eller hämta lxml-komponenten kan du ladda ned en binär baserad version av analysprogrammet som inte har något av kraven: Binär XMDE Client Analyzer

Ytterligare syntaxhjälp:

-h # Hjälp
# Visa hjälpmeddelande

prestanda # Prestanda
# Samlar in omfattande spårning för analys av ett prestandaproblem som kan återskapas på begäran. Använda --length=<seconds> för att ange varaktigheten för riktvärdet.

-o # Utdata
# Ange målsökvägen för resultatfilen

-nz # No-Zip
# Om detta anges skapas en katalog i stället för en arkivfil

-f # Tvinga
# Skriva över om det redan finns utdata i målsökvägen

Resultatpaketinnehåll

  • report.html

    Beskrivning: Den huvudsakliga HTML-utdatafilen som innehåller resultaten och vägledningen som analysskriptet kör på datorn kan producera.

  • mde_diagnostic.zip

    Beskrivning: Samma diagnostikresultat som genereras när du kör mdatp-diagnostik skapaLinux

  • mde.xml

    Beskrivning: XML-utdata som genereras när de körs och används för att skapa HTML-rapportfilen.

  • Processes_information.txt

    Beskrivning: Innehåller information om hur Microsoft Defender körs för slutpunktsrelaterade processer på systemet.

  • Log.txt

    Beskrivning: innehåller samma loggmeddelanden som skrivits på skärmen under datainsamlingen.

  • Health.txt

    Beskrivning: Samma grundläggande hälsoresultat som visas när du kör hälsokommandot mdatp.

  • Events.xml

    Beskrivning: Ytterligare XML-fil som används av analyseraren när HTML-rapporten byggs.

  • Auditd_info.txt

    Beskrivning: information om den granskade tjänsten och relaterade komponenter för Linux OS

  • perf_benchmark.tar.gz

    Beskrivning: Prestandatestrapporterna. Du ser bara det här om du använder prestandaparametern.

Anteckning

Om prestandaproblemet kvarstår efter stegen ovan kan du kontakta kundsupport för ytterligare instruktioner och åtgärder.

Se även