Fejlfinding af problemer med ydeevnen for Microsoft Defender for Endpoint på Linux
Gælder for:
- Microsoft Defender for Endpoint-server
- Microsoft Defender til servere
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
I denne artikel beskrives det, hvordan du begrænser ydeevneproblemer, der er relateret til Defender for Endpoint på Linux. Der findes diagnosticeringsværktøjer, der kan hjælpe dig med at forstå og afhjælpe eksisterende ressourcemangle og -processer, der påvirker ydeevnen. Disse diagnosticeringsværktøjer kan også bruges til at forbedre synligheden på Microsoft Defender-portalen. Flaskehalse i et eller flere hardwaresystemer forårsager hovedsageligt problemer med ydeevnen, afhængigt af ressourceudnyttelsens profil i systemet. Nogle gange er programmer følsomme over for disk-I/O-ressourcer og har muligvis brug for mere CPU-kapacitet, og nogle gange er nogle konfigurationer ikke bæredygtige og kan udløse for mange nye processer og åbne for mange filbeskrivelser.
Afhængigt af de programmer, du kører, og dine enhedsegenskaber, kan du opleve en ikke-optimal ydeevne, når du kører Defender for Endpoint på Linux. Især programmer eller systemprocesser, der har adgang til mange ressourcer, f.eks. CPU, disk og hukommelse over et kort tidsrum, kan medføre problemer med ydeevnen i Defender for Endpoint på Linux.
Advarsel
Før du starter, skal du sørge for, at andre sikkerhedsprodukter ikke kører på enheden i øjeblikket. Flere sikkerhedsprodukter kan være i konflikt med og påvirke værtens ydeevne.
Der er tre forskellige måder at foretage fejlfinding af støjende processer og mapper på ved hjælp af diagnosticeringsværktøjerne fra Microsoft Defender for Endpoint på Linux:
- Brug af beskyttelsesstatistik i realtid
- Brug af varme hændelseskilder
- Brug af eBPF-statistik
Foretag fejlfinding af problemer med ydeevnen ved hjælp af statistik for beskyttelse i realtid
Gælder for:
- Kun problemer med ydeevnen i forbindelse med antivirus
Realtidsbeskyttelse (RTP) er en funktion i Defender for Endpoint på Linux, der løbende overvåger og beskytter din enhed mod trusler. Den består af fil- og procesovervågning og andre heuristik.
Følgende trin kan bruges til at foretage fejlfinding og afhjælpe disse problemer:
Deaktiver beskyttelse i realtid ved hjælp af en af følgende metoder, og se, om ydeevnen forbedres. Denne fremgangsmåde hjælper med at indsnævre, om Defender for Endpoint på Linux bidrager til problemerne med ydeevnen. Hvis enheden ikke administreres af din organisation, kan beskyttelse i realtid deaktiveres fra kommandolinjen:
mdatp config real-time-protection --value disabledConfiguration property updatedHvis din organisation administrerer din enhed, kan din administrator deaktivere beskyttelse i realtid ved hjælp af vejledningen i Angiv indstillinger for Defender for Endpoint på Linux.
Bemærk!
Hvis problemet med ydeevnen fortsætter, mens beskyttelse i realtid er slået fra, kan problemet også skyldes EDR-komponenten (Endpoint Detection and Response). I dette tilfælde skal du tilføje globale undtagelser fra Antivirus og EDR. I dette tilfælde skal du følge trinnene i afsnittet Fejlfinding af problemer med ydeevnen ved hjælp af kilder med varme hændelser.
Hvis du vil finde de programmer, der udløser flest scanninger, kan du bruge statistikker i realtid, der indsamles af Defender for Endpoint på Linux.
Bemærk!
Denne funktion er tilgængelig i version 100.90.70 eller nyere.
Denne funktion er som standard aktiveret på kanalerne
DogfoodogInsiderFast. Hvis du bruger en anden opdateringskanal, kan denne funktion aktiveres fra kommandolinjen:mdatp config real-time-protection-statistics --value enabledDenne funktion kræver, at beskyttelse i realtid er aktiveret. Kør følgende kommando for at kontrollere status for beskyttelse i realtid:
mdatp health --field real_time_protection_enabledKontrollér, at posten
real_time_protection_enabledertrue. Ellers skal du køre følgende kommando for at aktivere den:mdatp config real-time-protection --value enabledConfiguration property updatedHvis du vil indsamle aktuelle statistikker, skal du køre:
mdatp diagnostic real-time-protection-statistics --output jsonBemærk!
Brug
--output json(bemærk dobbelt tankestregen) sikrer, at outputformatet er klar til fortolkning.Outputtet fra denne kommando viser alle processer og deres tilknyttede scanningsaktivitet.
Skriv følgende kommandoer:
mdatp diagnostic real-time-protection-statistics --sort --top 4Outputtet er en liste over de øverste fire bidragydere til problemer med ydeevnen. Outputtet af kommandoen er f.eks. noget i stil med følgende:
===================================== Process id: 560 Name: NetworkManager Path: "/usr/sbin/NetworkManager" Total files scanned: 261 Scan time (ns): "3070788919" Status: Active ===================================== Process id: 1709561 Name: snapd Path: "/snap/snapd/23545/usr/lib/snapd/snapd" Total files scanned: 247 Scan time (ns): "19926516003" Status: Active ===================================== Process id: 596 Name: systemd-logind Path: "/usr/lib/systemd/systemd-logind" Total files scanned: 29 Scan time (ns): "716836547" Status: Active ===================================== Process id: 1977683 Name: cupsd Path: "/usr/sbin/cupsd" Total files scanned: 20 Scan time (ns): "985110892" Status: Active =====================================Hvis du vil forbedre ydeevnen for Defender for Endpoint på Linux, skal du finde den med det højeste tal under
Total files scannedrækken og tilføje en antivirusudeladelse for den (evaluer omhyggeligt, om det er sikkert at udelade det). Du kan finde flere oplysninger under Konfigurer og valider udeladelser for Defender for Endpoint på Linux.Bemærk!
Programmet gemmer statistikker i hukommelsen og holder kun styr på filaktivitet, siden det blev startet, og beskyttelse i realtid blev aktiveret. Processer, der blev startet før eller i perioder, hvor beskyttelse i realtid var slået fra, tælles ikke med. Derudover tælles kun hændelser, der udløste scanninger.
Foretag fejlfinding af problemer med ydeevnen ved hjælp af hot event sources
Gælder for:
- Problemer med ydeevnen i filer og eksekverbare filer, der bruger de fleste CPU-cyklusser i hele filsystemet.
Kilder til hotte hændelser er en funktion, der giver kunderne mulighed for at identificere, hvilken proces eller mappe der er ansvarlig for et højt ressourceforbrug. Følg disse trin for at undersøge, hvilken proces/eksekverbar fil der genererer mest støj.
Bemærk!
Disse kommandoer kræver, at du har rodtilladelser. Sørg for, at sudo kan bruges.
Først skal du kontrollere logniveauet på din computer.
mdatp health --field log_level
Hvis det ikke er på "fejlfinding", skal du ændre det for en detaljeret rapport vedrørende varme filer / eksekverbare filer.
sudo mdatp log level set --level debug
Log level configured successfully
Hvis du vil indsamle aktuelle statistikker (for filer),
sudo mdatp diagnostic hot-event-sources files
Outputtet ligner følgende på konsollen (dette er blot et kodestykke af hele outputtet). Her viser den første række antallet (hyppigheden af forekomsten), og den anden viser filstien.
Total Events: 11179 Time: 12s. Throughput: 75.3333 events/sec.
=========== Top 684 Hot Event Sources ===========
count file path
2832 /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5
632 /mnt/RamDisk/postgres_data/base/635594/2601
619 /mnt/RamDisk/postgres_data/base/635597/2601
618 /mnt/RamDisk/postgres_data/base/635596/2601
618 /mnt/RamDisk/postgres_data/base/635595/2601
616 /mnt/RamDisk/postgres_data/base/635597/635610
615 /mnt/RamDisk/postgres_data/base/635596/635602
614 /mnt/RamDisk/postgres_data/base/635595/635606
514 /mnt/RamDisk/postgres_data/base/635594/635598_fsm
496 /mnt/RamDisk/postgres_data/base/635597/635610_fsm
Denne kommando genererer en kilderapport over varm hændelse, som gemmes i din lokale mappe, som kan undersøges nærmere. Outputtet ser ud som følger i json-filen.
{
"startTime": "1729535104539160",
"endTime": "1729535117570766",
"totalEvent": "11373",
"eventSource": [
{
"authCount": "2832",
"csId": "",
"notifyCount": "0",
"path": "/mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5",
"pidCount": "1",
"teamId": ""
},
{
"authCount": "632",
"csId": "",
"notifyCount": "0",
"path": "/mnt/RamDisk/postgres_data/base/635594/2601",
"pidCount": "1",
"teamId": ""
}
]
}
I eksemplet kan vi se, at filen /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5 genererer mest aktivitet. På samme måde som for eksekverbare filer
sudo mdatp diagnostic hot-event-sources executables
Outputtet ligner følgende på konsollen.
Total Events: 47382 Time: 18s. Throughput: 157 events/sec.
=========== Top 23 Hot Event Sources ===========
count executable path
8216 /usr/lib/postgresql/12/bin/psql
5721 /usr/lib/postgresql/12/bin/postgres (deleted)
3557 /usr/bin/bash
378 /usr/bin/clamscan
88 /usr/bin/sudo
70 /usr/bin/dash
30 /usr/sbin/zabbix_agent2
10 /usr/bin/grep
8 /usr/bin/gawk
6 /opt/microsoft/mdatp/sbin/wdavdaemonclient
4 /usr/bin/sleep
Dette er outputtet, der er gemt i kilderapporten for den varme hændelse i json.
{
"startTime": "1729534260988396",
"endTime": "1729534280026883",
"totalEvent": "48165",
"eventSource": [
{
"authCount": "8126",
"csId": "",
"notifyCount": "0",
"path": "/usr/lib/postgresql/12/bin/psql",
"pidCount": "2487",
"teamId": ""
},
{
"authCount": "5127",
"csId": "",
"notifyCount": "0",
"path": "/usr/lib/postgresql/12/bin/postgres",
"pidCount": "2144",
"teamId": ""
}
]
}
I dette eksempel viser kommandoen efter 18s, at eksekverbare filer. /usr/lib/postgresql/12/bin/psql og /usr/lib/postgresql/12/bin/postgres genererer mest aktivitet.
Når du er færdig med undersøgelsen, kan du ændre logniveauet tilbage til "info".
sudo mdatp log level set --level info
Log level configured successfully
Hvis du vil forbedre ydeevnen for Defender for Endpoint på Linux, skal du finde stien med det højeste tal i optællingsrækken og tilføje en global procesudeladelse (hvis det er en eksekverbar) eller en global udeladelse af filer/mapper (hvis det er en fil) for den (vurder nøje, om det er sikkert at udelade). Du kan finde flere oplysninger under Konfigurer og valider udeladelser for Defender for Endpoint på Linux.
Foretag fejlfinding af problemer med ydeevnen ved hjælp af eBPF-statistik
Gælder for:
- Alle fil-/proceshændelser, herunder problemer med systemopkaldsbaseret ydeevne.
Statistikkommandoen eBPF (udvidet Berkeley Packet Filter) giver indsigt i den øverste hændelse/proces, der genererer de fleste filhændelser, sammen med deres syscall-id'er. Når der foretages systemkald fra systemet, genereres der en stor mængde arbejdsbelastning på dit system. eBPF-statistikker kan bruges til at identificere sådanne problemer.
Hvis du vil indsamle aktuelle statistikker ved hjælp af eBPF-statistikker, skal du køre:
mdatp diagnostic ebpf-statistics
Outputtet vises direkte på konsollen og ligner følgende (dette er kun et kodestykke af hele outputtet):
Top initiator paths:
/usr/lib/postgresql/12/bin/psql : 902
/usr/bin/clamscan : 349
/usr/sbin/zabbix_agent2 : 27
/usr/lib/postgresql/12/bin/postgres : 10
Top syscall ids:
80 : 9034
57 : 8932
60 : 8929
59 : 4942
112 : 4898
90 : 179
87 : 170
119 : 32
288 : 19
41 : 15
Denne kommando overvåger systemet i 20 sekunder og viser resultaterne. Her viser den øverste initiatorsti (postgresql/12/bin/psql) stien til den proces, der genererede flest systemkald.
Hvis du vil forbedre ydeevnen for Defender for Endpoint på Linux, skal du finde den med den højeste count i Top initiator path rækken og tilføje en global procesudeladelse for den (evaluer omhyggeligt, om det er sikkert at udelade). Du kan finde flere oplysninger under Konfigurer og valider udeladelser for Defender for Endpoint på Linux.
Konfigurer globale udeladelser for at opnå en bedre ydeevne
Konfigurer Microsoft Defender for Endpoint på Linux med undtagelser for de processer eller diskplaceringer, der bidrager til problemerne med ydeevnen. Du kan finde flere oplysninger under Konfigurer og valider udeladelser for Microsoft Defender for Endpoint på Linux. Hvis du stadig har problemer med ydeevnen, skal du kontakte support for at få yderligere instruktioner og afhjælpning.
Se også
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.