Felsöka prestandaproblem för Microsoft Defender för Endpoint i LinuxTroubleshoot performance issues for Microsoft Defender for Endpoint on Linux

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Den här artikeln innehåller några allmänna steg som kan användas för att begränsa prestandaproblem relaterade till Defender för Slutpunkt på Linux.This article provides some general steps that can be used to narrow down performance issues related to Defender for Endpoint on Linux.

Realtidsskydd (RTP) är en funktion i Defender för Endpoint på Linux som kontinuerligt övervakar och skyddar din enhet mot hot.Real-time protection (RTP) is a feature of Defender for Endpoint on Linux that continuously monitors and protects your device against threats. Den består av fil- och processövervakning och annan heuristics.It consists of file and process monitoring and other heuristics.

Beroende på vilka program du kör och enhetens egenskaper kan du uppleva underoptimal prestanda när du kör Defender för Endpoint på Linux.Depending on the applications that you are running and your device characteristics, you may experience suboptimal performance when running Defender for Endpoint on Linux. Särskilt program eller systemprocesser som har tillgång till många resurser under ett kort tidspann kan leda till prestandaproblem i Defender för Endpoint på Linux.In particular, applications or system processes that access many resources over a short timespan can lead to performance issues in Defender for Endpoint on Linux.

Kontrollera att andra säkerhetsprodukter inte körs på enheten innan du startar.Before starting, please make sure that other security products are not currently running on the device. Flera säkerhetsprodukter kan vara i konflikt med och påverka värdprestandan.Multiple security products may conflict and impact the host performance.

Följande steg kan användas för att felsöka och minimera dessa problem:The following steps can be used to troubleshoot and mitigate these issues:

  1. Inaktivera realtidsskyddet med någon av följande metoder och se om prestandan förbättras.Disable real-time protection using one of the following methods and observe whether the performance improves. Den här metoden begränsar huruvida Defender för Endpoint på Linux bidrar till prestandaproblemen.This approach helps narrow down whether Defender for Endpoint on Linux is contributing to the performance issues.

    Om din enhet inte hanteras av din organisation kan realtidsskydd inaktiveras från kommandoraden:If your device is not managed by your organization, real-time protection can be disabled from the command line:

    mdatp config real-time-protection --value disabled
    
    Configuration property updated
    

    Om din enhet hanteras av din organisation kan realtidsskydd inaktiveras av administratören genom att följa anvisningarna i Ange inställningar för Defender för slutpunkt i Linux.If your device is managed by your organization, real-time protection can be disabled by your administrator using the instructions in Set preferences for Defender for Endpoint on Linux.

    Om prestandaproblemet kvarstår när realtidsskyddet är inaktiverat kan problemets ursprung vara den identifiering och åtgärd på slutpunkt komponenten.If the performance problem persists while real-time protection is off, the origin of the problem could be the endpoint detection and response component. I så fall kan du kontakta kundsupport för ytterligare instruktioner och åtgärder.In this case please contact customer support for further instructions and mitigation.

  2. Du kan använda statistik i realtid som har samlats av Defender för Endpoint på Linux för att hitta de program som utlöser flest genomsökningar.To find the applications that are triggering the most scans, you can use real-time statistics gathered by Defender for Endpoint on Linux.

    Anteckning

    Den här funktionen är tillgänglig i version 100.90.70 eller senare.This feature is available in version 100.90.70 or newer.

    Den här funktionen är aktiverad som standard för Dogfood alla InsiderFast kanaler och.This feature is enabled by default on the Dogfood and InsiderFast channels. Om du använder en annan uppdateringskanal kan den här funktionen aktiveras från kommandoraden:If you're using a different update channel, this feature can be enabled from the command line:

    mdatp config real-time-protection-statistics --value enabled
    

    Den här funktionen kräver realtidsskydd för att aktiveras.This feature requires real-time protection to be enabled. Om du vill kontrollera statusen för realtidsskyddet kör du följande kommando:To check the status of real-time protection, run the following command:

    mdatp health --field real_time_protection_enabled
    

    Kontrollera att real_time_protection_enabled posten är true .Verify that the real_time_protection_enabled entry is true. Annars kör du följande kommando för att aktivera det:Otherwise, run the following command to enable it:

    mdatp config real-time-protection --value enabled
    
    Configuration property updated
    

    Om du vill samla in aktuell statistik kör du:To collect current statistics, run:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
    

    Anteckning

    Om --output json du använder (observera det dubbla strecket) ser du till att utdataformatet är klart för tolkning.Using --output json (note the double dash) ensures that the output format is ready for parsing.

    Utdata från det här kommandot visar alla processer och deras associerade genomsökningsaktivitet.The output of this command will show all processes and their associated scan activity.

  3. Ladda ned ett exempel på Python-parser high_cpu_parser.py på ditt Linux-system med kommandot:On your Linux system, download the sample Python parser high_cpu_parser.py using the command:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
    

    Utdata för det här kommandot bör se ut ungefär så här:The output of this command should be similar to the following:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
    Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
    Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1020 [text/plain]
    Saving to: 'high_cpu_parser.py'
    
    100%[===========================================>] 1,020    --.-K/s   in 0s
    
  4. Skriv sedan följande kommandon:Next, type the following commands:

    chmod +x high_cpu_parser.py
    
    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
    

    Utdata från ovanstående är en lista över de mest deltagare som har prestandaproblem.The output of the above is a list of the top contributors to performance issues. Den första kolumnen är PID (processidentifierare), den andra är namnet på processen och den sista kolumnen är antalet skannade filer, sorterade efter påverkan.The first column is the process identifier (PID), the second column is te process name, and the last column is the number of scanned files, sorted by impact. Till exempel ser utdata för kommandot ut ungefär så här:For example, the output of the command will be something like the below:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
    27432 None 76703
    73467 actool     1249
    73914 xcodebuild 1081
    73873 bash 1050
    27475 None 836
    1    launchd    407
    73468 ibtool     344
    549  telemetryd_v1   325
    4764 None 228
    125  CrashPlanService 164
    

    Om du vill förbättra prestandan för Defender för Endpoint i Linux letar du reda på den som har det högsta talet under raden och lägger Total files scanned till ett undantag för det.To improve the performance of Defender for Endpoint on Linux, locate the one with the highest number under the Total files scanned row and add an exclusion for it. Mer information finns i Konfigurera och validera undantag för Defender för Endpoint på Linux.For more information, see Configure and validate exclusions for Defender for Endpoint on Linux.

    Anteckning

    Programmet lagrar statistik i minnet och håller bara reda på filaktiviteten sedan den startades och realtidsskyddet aktiverades.The application stores statistics in memory and only keeps track of file activity since it was started and real-time protection was enabled. Processer som startats tidigare eller under perioder där realtidsskydd var inaktiverat räknas inte.Processes that were launched before or during periods when real time protection was off are not counted. Dessutom räknas bara händelser som utlöste genomsökningar.Additionally, only events which triggered scans are counted.

  5. Konfigurera Microsoft Defender för slutpunkt på Linux med undantag för de processer eller diskutrymmen som bidrar till prestandaproblemen och återaktivera realtidsskydd.Configure Microsoft Defender for Endpoint on Linux with exclusions for the processes or disk locations that contribute to the performance issues and re-enable real-time protection.

    Mer information finns i Konfigurera och validera undantag för Microsoft Defender för Endpoint på Linux.For more information, see Configure and validate exclusions for Microsoft Defender for Endpoint on Linux.

Se ävenSee also