Linux-Microsoft Defender for Endpoint suorituskykyongelmien vianmääritys

Koskee seuraavia:

• Microsoft Defender for Endpoint Server
• palvelimien Microsoft Defender

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa kuvataan, miten voit rajoittaa Defender for Endpointiin liittyviä suorituskykyongelmia Linuxissa. Diagnostiikkatyökalut auttavat ymmärtämään ja lieventämään olemassa olevaa resurssipulaa ja suorituskykyyn vaikuttavia prosesseja. Näiden diagnostiikkatyökalujen avulla voit parantaa näkyvyyttä myös Microsoft Defender portaalissa. Yhden tai useamman laitteiston alijärjestelmän pullonkaulat aiheuttavat pääasiassa suorituskykyongelmia järjestelmän resurssien käytön profiilin mukaan. Joskus sovellukset ovat herkkiä levyn I/O-resursseille ja saattavat tarvita enemmän suoritinkapasiteettia, ja joskus jotkin määritykset eivät ole kestäviä, ne saattavat käynnistää liikaa uusia prosesseja ja avata liian monta tiedostokuvaajaa.

Käynnissä olevien sovellusten ja laitteen ominaisuuksien mukaan saatat kokea huonosta suorituskyvystä, kun suoritat Defender for Endpointia Linuxissa. Erityisesti sovellukset tai järjestelmäprosessit, jotka käyttävät useita resursseja, kuten suoritinta, levyä ja muistia lyhyen ajankohdan aikana, voivat aiheuttaa suorituskykyongelmia Defender for Endpointissa Linuxissa.

Varoitus

Ennen kuin aloitat, varmista, että muut suojaustuotteet eivät ole tällä hetkellä käytössä laitteessa. Useat suojaustuotteet voivat olla ristiriidassa isännän suorituskyvyn kanssa ja vaikuttaa siihen.

Voit tehdä meluisan prosessien ja hakemistojen vianmäärityksen kolmella eri tavalla Linuxin Microsoft Defender for Endpoint Diagnostiikkatyökalujen avulla:

• Reaaliaikaisten suojaustilastojen käyttäminen
• Kuuman tapahtuman lähteiden käyttäminen
• eBPF-tilastotietojen käyttäminen

Suorituskykyongelmien vianmääritys reaaliaikaisten suojaustilastojen avulla

Koskee seuraavia:

• Vain virustentorjuntaan liittyvät suorituskykyongelmat

Reaaliaikainen suojaus (RTP) on Defender for Endpoint on Linux -ominaisuus, joka valvoo ja suojaa laitettasi jatkuvasti uhkilta. Se koostuu tiedostojen ja prosessien valvonnasta ja muista heurisikoista.

Seuraavien vaiheiden avulla voit tehdä vianmäärityksen ja lieventää näitä ongelmia:

1. Poista reaaliaikainen suojaus käytöstä jollakin seuraavista menetelmistä ja huomaa, paraneeko suorituskyky. Tämä lähestymistapa auttaa kaventamaan sitä, vaikuttaako Defender for Endpoint Linuxissa suorituskykyongelmiin. Jos organisaatiosi ei hallitse laitettasi, reaaliaikainen suojaus voidaan poistaa käytöstä komentoriviltä:

   mdatp config real-time-protection --value disabled
   

   Configuration property updated
   

   Jos organisaatiosi hallitsee laitettasi, järjestelmänvalvojasi voi poistaa reaaliaikaisen suojauksen käytöstä ohjeissa Defender for Endpointin asetusten määrittäminen Linuxissa annettujen ohjeiden avulla.

   Huomautus

   Jos suorituskykyongelma jatkuu, kun reaaliaikainen suojaus ei ole käytössä, ongelman alkuperäinen osa voi olla myös päätepisteen tunnistaminen ja vastaus (EDR). Tässä tapauksessa sinun on lisättävä virustentorjuntaan ja EDR:hen yleisiä poissulkemisia. Noudata tässä tapauksessa ohjeita artikkelissa Suorituskykyongelmien vianmääritys kuuman tapahtuman lähteiden avulla.

2. Jos haluat löytää sovellukset, jotka käynnistävät eniten skannauksia, voit käyttää Defenderin Linux-päätepisteelle keräämiä reaaliaikaisia tilastoja.

   Huomautus

   Tämä ominaisuus on käytettävissä versiossa 100.90.70 tai uudemman versiona.

   Tämä ominaisuus on oletusarvoisesti käytössä - ja InsiderFast -Dogfoodkanavissa. Jos käytät eri päivityskanavaa, tämä ominaisuus voidaan ottaa käyttöön komentoriviltä:

   mdatp config real-time-protection-statistics --value enabled
   

   Tämä ominaisuus edellyttää reaaliaikaisen suojauksen käyttöönottoa. Voit tarkistaa reaaliaikaisen suojauksen tilan suorittamalla seuraavan komennon:

   mdatp health --field real_time_protection_enabled
   

   Varmista, että real_time_protection_enabled merkintä on true. Muussa tapauksessa ota se käyttöön suorittamalla seuraava komento:

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

   Jos haluat kerätä nykyiset tilastotiedot, suorita:

   mdatp diagnostic real-time-protection-statistics --output json
   

   Huomautus

   Kun käytät --output json kaksoisviivaa, varmista, että tulostusmuoto on valmis jäsennystä varten.

   Tämän komennon tuloste näyttää kaikki prosessit ja niihin liittyvät tarkistustoiminnot.

3. Kirjoita seuraavat komennot:

   mdatp diagnostic real-time-protection-statistics --sort --top 4
   

   Tulos on luettelo neljästä suurimmasta osallistujasta suorituskykyyn liittyvissä ongelmissa. Esimerkiksi komennon tuloste on seuraavanlainen:

   =====================================
   Process id: 560
   Name: NetworkManager
   Path: "/usr/sbin/NetworkManager"
   Total files scanned: 261
   Scan time (ns): "3070788919"
   Status: Active
   =====================================
   Process id: 1709561
   Name: snapd
   Path: "/snap/snapd/23545/usr/lib/snapd/snapd"
   Total files scanned: 247
   Scan time (ns): "19926516003"
   Status: Active
   =====================================
   Process id: 596
   Name: systemd-logind
   Path: "/usr/lib/systemd/systemd-logind"
   Total files scanned: 29
   Scan time (ns): "716836547"
   Status: Active
   =====================================
   Process id: 1977683
   Name: cupsd
   Path: "/usr/sbin/cupsd"
   Total files scanned: 20
   Scan time (ns): "985110892"
   Status: Active
   =====================================
   

   Jos haluat parantaa Defender for Endpointin suorituskykyä Linuxissa, etsi se, jossa on suurin määrä Total files scanned rivillä, ja lisää sille virustentorjuntapoikkeus (arvioi huolellisesti, onko turvallista jättää pois). Lisätietoja on kohdassa Defender for Endpointin poissulkemisten määrittäminen ja vahvistaminen Linuxissa.

   Huomautus

   Sovellus tallentaa tilastotiedot muistiin ja seuraa vain tiedostotoimintoa sen aloittamisen ja reaaliaikaisen suojauksen käyttöönoton jälkeen. Prosesseja, jotka käynnistettiin ennen reaaliaikaista suojausta tai niiden aikana, ei lasketa. Lisäksi lasketaan vain tapahtumat, jotka käynnistivät skannauksia.

Suorituskykyongelmien vianmääritys kuuman tapahtuman lähteiden avulla

Koskee seuraavia:

• Suorituskykyongelmia tiedostoissa ja tiedostoissa, jotka kuluttavat useimpia suoritinjaksoja koko tiedostojärjestelmässä.

Kuumatapahtumalähteet on ominaisuus, jonka avulla asiakkaat voivat tunnistaa, mikä prosessi tai hakemisto on vastuussa resurssien suuresta kulutuksesta. Jos haluat tutkia, mikä prosessi tai suoritettava tiedosto aiheuttaa eniten melua, toimi seuraavasti.

Huomautus

Nämä komennot edellyttävät päätason käyttöoikeuksia. Varmista, että sudoa voidaan käyttää.

Tarkista ensin tietokoneen lokitaso.

mdatp health --field log_level

Jos se ei ole virheenkorjauksessa, sinun on muutettava se, jotta saat yksityiskohtaisen raportin, joka koskee kuumia tiedostoja / tiedostoja.

sudo mdatp log level set --level debug

Log level configured successfully

Nykyisten tilastotietojen kerääminen (tiedostoista)

sudo mdatp diagnostic hot-event-sources files

Tuloste näyttää seuraavanlaiselta konsolissa (tämä on vain katkelma koko tulostuksesta). Tässä ensimmäinen rivi näyttää määrän (esiintymistiheyden) ja toinen tiedostopolun.

Total Events: 11179 Time: 12s. Throughput: 75.3333 events/sec. 
=========== Top 684 Hot Event Sources ===========
count   file path
2832    /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5
632     /mnt/RamDisk/postgres_data/base/635594/2601
619     /mnt/RamDisk/postgres_data/base/635597/2601
618     /mnt/RamDisk/postgres_data/base/635596/2601
618     /mnt/RamDisk/postgres_data/base/635595/2601
616     /mnt/RamDisk/postgres_data/base/635597/635610
615     /mnt/RamDisk/postgres_data/base/635596/635602
614     /mnt/RamDisk/postgres_data/base/635595/635606
514     /mnt/RamDisk/postgres_data/base/635594/635598_fsm
496     /mnt/RamDisk/postgres_data/base/635597/635610_fsm

Tämä komento luo Hot Event Source -raportin, joka on tallennettu paikalliseen kansioon, jota voidaan tutkia tarkemmin. Tuloste näyttää seuraavalta json-tiedostossa;

{
    "startTime": "1729535104539160",
    "endTime": "1729535117570766",
    "totalEvent": "11373",
    "eventSource": [
        {
            "authCount": "2832",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5",
            "pidCount": "1",
            "teamId": ""
        },
        {
            "authCount": "632",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/base/635594/2601",
            "pidCount": "1",
            "teamId": ""
        }
    ]
}

Esimerkissä näemme, että tiedosto /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5 tuottaa eniten toimintaa. Samoin suoritustiedostojen kohdalla

sudo mdatp diagnostic hot-event-sources executables

Tuloste näyttää seuraavanlaiselta konsolissa.

Total Events: 47382 Time: 18s. Throughput: 157 events/sec.
=========== Top 23 Hot Event Sources ===========
count    executable path
8216    /usr/lib/postgresql/12/bin/psql
5721    /usr/lib/postgresql/12/bin/postgres (deleted)
3557    /usr/bin/bash
378     /usr/bin/clamscan
88      /usr/bin/sudo
70      /usr/bin/dash
30      /usr/sbin/zabbix_agent2
10      /usr/bin/grep
8       /usr/bin/gawk
6       /opt/microsoft/mdatp/sbin/wdavdaemonclient
4       /usr/bin/sleep

Tämä on tulos, joka on tallennettu kuuman tapahtuman lähderaporttiin json-tiedostossa.

{
    "startTime": "1729534260988396",
    "endTime": "1729534280026883",
    "totalEvent": "48165",
    "eventSource": [
        {
            "authCount": "8126",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/psql",
            "pidCount": "2487",
            "teamId": ""
        },
        {
            "authCount": "5127",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/postgres",
            "pidCount": "2144",
            "teamId": ""
        }
    ]
}

Tässä esimerkissä 18-luvun jälkeen komento näyttää, että suoritettavat tiedot; /usr/lib/postgresql/12/bin/psql ja /usr/lib/postgresql/12/bin/postgres tuottavat eniten toimintaa.

Kun tutkimus on valmis, voit vaihtaa lokitasoksi "tiedot".

sudo mdatp log level set --level info

Log level configured successfully

Voit parantaa Defender for Endpointin suorituskykyä Linuxissa etsimällä polun, jossa on suurin määrä rivillä, ja lisäämällä yleisen prosessin poissulkemisen (jos se on suoritettava) tai yleisen tiedoston/kansion poissulkemisen (jos se on tiedosto) sille (arvioi huolellisesti, onko turvallista jättää pois). Lisätietoja on kohdassa Defender for Endpointin poissulkemisten määrittäminen ja vahvistaminen Linuxissa.

Suorituskykyongelmien vianmääritys eBPF-tilastotietojen avulla

Koskee seuraavia:

• Kaikki tiedosto- ja prosessitapahtumat, mukaan lukien järjestelmäkutsuun perustuvat suorituskykyongelmat.

eBPF (extended Berkeley Packet Filter) -tilastokomento antaa merkityksellisiä tietoja suosituimmasta tapahtumasta/prosessista, joka luo eniten tiedostotapahtumia, sekä niiden syscall-tunnukset. Kun järjestelmäkutsuja tehdään järjestelmästä, järjestelmässäsi luodaan paljon kuormitusta. eBPF-tilastotietoja voidaan käyttää tällaisten ongelmien tunnistamiseen.

Jos haluat kerätä nykyiset tilastotiedot eBPF-tilastojen avulla, suorita:

mdatp diagnostic ebpf-statistics

Tuloste näkyy suoraan konsolissa ja näyttää seuraavankaltaiselta (tämä on vain katkelma koko tulostuksesta):

Top initiator paths:
/usr/lib/postgresql/12/bin/psql : 902
/usr/bin/clamscan : 349
/usr/sbin/zabbix_agent2 : 27
/usr/lib/postgresql/12/bin/postgres : 10

Top syscall ids:
80 : 9034
57 : 8932
60 : 8929
59 : 4942
112 : 4898
90 : 179
87 : 170
119 : 32
288 : 19
41 : 15

Tämä komento valvoo järjestelmää 20 sekuntia ja näyttää tulokset. Tässä ylin aloittajapolku (postgresql/12/bin/psql) näyttää eniten järjestelmäkutsuja luoneen prosessin polun.

Jos haluat parantaa Defender for Endpointin suorituskykyä LinuxissaTop initiator path, etsi se, jolla on rivin korkein count arvo, ja lisää sille yleinen prosessin poissulkeminen (arvioi huolellisesti, onko turvallista jättää pois). Lisätietoja on kohdassa Defender for Endpointin poissulkemisten määrittäminen ja vahvistaminen Linuxissa.

Yleisten poissulkemisten määrittäminen suorituskyvyn parantamiseksi

Määritä Linux-Microsoft Defender for Endpoint, joka sisältää poissulkemisia prosesseille tai levysijainneille, jotka vaikuttavat suorituskykyongelmiin. Lisätietoja on ohjeaiheessa Linuxin Microsoft Defender for Endpointin poisjättöjen määrittäminen ja vahvistaminen. Jos suorituskykyyn liittyviä ongelmia ilmenee edelleen, ota yhteyttä tukeen lisätietojen ja lievennyksen tueksi.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tutki agentin kunto-ongelmia

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.