Feilsøke ytelsesproblemer for Microsoft Defender for endepunkt på Linux
Gjelder for:
- Microsoft Defender for endepunkt Server
- Microsoft Defender for servere
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Denne artikkelen beskriver hvordan du begrenser ytelsesproblemer relatert til Defender for Endpoint på Linux. Diagnoseverktøy er tilgjengelige for å hjelpe deg med å forstå og redusere eksisterende ressursmangel og prosesser som påvirker ytelsen. Disse diagnoseverktøyene kan også brukes til å forbedre synligheten i Microsoft Defender-portalen. Flaskehalser i ett eller flere delsystemer for maskinvare forårsaker hovedsakelig ytelsesproblemer, avhengig av profilen til ressursutnyttelsen på systemet. Noen ganger er programmer følsomme for disk-I/U-ressurser og trenger kanskje mer CPU-kapasitet, og noen ganger er noen konfigurasjoner ikke bærekraftige, og kan utløse for mange nye prosesser og åpne for mange filbeskrivelser.
Avhengig av programmene du kjører og enhetsegenskapene dine, kan du oppleve suboptimal ytelse når du kjører Defender for Endpoint på Linux. Spesielt programmer eller systemprosesser som får tilgang til mange ressurser, for eksempel CPU, disk og minne over en kort tidsrom, kan føre til ytelsesproblemer i Defender for Endpoint på Linux.
Advarsel
Før du starter, må du kontrollere at andre sikkerhetsprodukter for øyeblikket ikke kjører på enheten. Flere sikkerhetsprodukter kan komme i konflikt med og påvirke vertsytelsen.
Det finnes tre forskjellige måter å feilsøke støyende prosesser og kataloger på ved hjelp av diagnoseverktøyene fra Microsoft Defender for endepunkt på Linux:
- Bruke statistikk for beskyttelse i sanntid
- Bruke varme hendelseskilder
- Bruke eBPF-statistikk
Feilsøke ytelsesproblemer ved hjelp av statistikk for beskyttelse i sanntid
Gjelder for:
- Bare ytelsesproblemer relatert til antivirus
Sanntidsbeskyttelse (RTP) er en funksjon i Defender for Endpoint på Linux som kontinuerlig overvåker og beskytter enheten mot trusler. Den består av fil- og prosessovervåking og annen heuristikk.
Følgende trinn kan brukes til å feilsøke og redusere disse problemene:
Deaktiver sanntidsbeskyttelse ved hjelp av én av følgende metoder, og se om ytelsen forbedres. Denne fremgangsmåten bidrar til å begrense om Defender for Endpoint på Linux bidrar til ytelsesproblemene. Hvis enheten ikke administreres av organisasjonen, kan sanntidsbeskyttelse deaktiveres fra kommandolinjen:
mdatp config real-time-protection --value disabledConfiguration property updatedHvis organisasjonen administrerer enheten, kan administratoren deaktivere sanntidsbeskyttelse ved hjelp av instruksjonene i Angi innstillinger for Defender for Endpoint på Linux.
Obs!
Hvis ytelsesproblemet vedvarer mens sanntidsbeskyttelse er deaktivert, kan opprinnelsen til problemet også være endepunktgjenkjennings- og responskomponenten (EDR). I dette tilfellet må du legge til globale utelatelser fra Antivirus og EDR. I dette tilfellet følger du trinnene i inndelingen for å feilsøke ytelsesproblemer ved hjelp av varme hendelseskilder.
Hvis du vil finne programmene som utløser flest skanninger, kan du bruke sanntidsstatistikk samlet inn av Defender for Endpoint på Linux.
Obs!
Denne funksjonen er tilgjengelig i versjon 100.90.70 eller nyere.
Denne funksjonen er aktivert som standard på kanalene
DogfoodogInsiderFast. Hvis du bruker en annen oppdateringskanal, kan denne funksjonen aktiveres fra kommandolinjen:mdatp config real-time-protection-statistics --value enabledDenne funksjonen krever sanntidsbeskyttelse for å aktiveres. Hvis du vil kontrollere statusen for sanntidsbeskyttelse, kjører du følgende kommando:
mdatp health --field real_time_protection_enabledKontroller at
real_time_protection_enabledoppføringen ertrue. Ellers kjører du følgende kommando for å aktivere den:mdatp config real-time-protection --value enabledConfiguration property updatedKjør for å samle inn gjeldende statistikk:
mdatp diagnostic real-time-protection-statistics --output jsonObs!
Bruk
--output json(merk den doble tankestrekeren) sikrer at utdataformatet er klart for analyse.Utdataene for denne kommandoen viser alle prosesser og tilhørende skanneaktivitet.
Skriv inn følgende kommandoer:
mdatp diagnostic real-time-protection-statistics --sort --top 4Utdataene er en liste over de fire viktigste bidragsyterne til ytelsesproblemer. Utdataene for kommandoen er for eksempel omtrent som følgende:
===================================== Process id: 560 Name: NetworkManager Path: "/usr/sbin/NetworkManager" Total files scanned: 261 Scan time (ns): "3070788919" Status: Active ===================================== Process id: 1709561 Name: snapd Path: "/snap/snapd/23545/usr/lib/snapd/snapd" Total files scanned: 247 Scan time (ns): "19926516003" Status: Active ===================================== Process id: 596 Name: systemd-logind Path: "/usr/lib/systemd/systemd-logind" Total files scanned: 29 Scan time (ns): "716836547" Status: Active ===================================== Process id: 1977683 Name: cupsd Path: "/usr/sbin/cupsd" Total files scanned: 20 Scan time (ns): "985110892" Status: Active =====================================Hvis du vil forbedre ytelsen til Defender for Endpoint på Linux, finner du det med det høyeste tallet under
Total files scannedraden og legger til en antivirusutelukkelse for det (vurder nøye om det er trygt å ekskludere). Hvis du vil ha mer informasjon, kan du se Konfigurere og validere utelatelser for Defender for Endpoint på Linux.Obs!
Programmet lagrer statistikk i minnet og holder bare oversikt over filaktivitet siden den ble startet, og sanntidsbeskyttelse ble aktivert. Prosesser som ble startet før eller i perioder der sanntidsbeskyttelse var deaktivert, telles ikke. I tillegg telles bare hendelser som utløste skanninger.
Feilsøke ytelsesproblemer ved hjelp av varme hendelseskilder
Gjelder for:
- Ytelsesproblemer i filer og kjørbare filer som bruker de fleste CPU-sykluser i hele filsystemet.
Varme hendelseskilder er en funksjon som gjør det mulig for kunder å identifisere hvilken prosess eller katalog som er ansvarlig for høyt ressursforbruk. Følg disse trinnene for å undersøke hvilken prosess/kjørbar fil som genererer mest støy.
Obs!
Disse kommandoene krever at du har rottillatelser. Sørg for at sudo kan brukes.
Først må du kontrollere loggnivået på maskinen.
mdatp health --field log_level
Hvis den ikke er på «feilsøking», må du endre den for en detaljert rapport om varme filer/kjørbare filer.
sudo mdatp log level set --level debug
Log level configured successfully
Hvis du vil samle inn gjeldende statistikk (for filer),
sudo mdatp diagnostic hot-event-sources files
Utdataene ligner på følgende på konsollen (dette er bare en snutt av hele utdataene). Her viser den første raden antallet (hyppigheten av forekomsten), og den andre viser filbanen.
Total Events: 11179 Time: 12s. Throughput: 75.3333 events/sec.
=========== Top 684 Hot Event Sources ===========
count file path
2832 /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5
632 /mnt/RamDisk/postgres_data/base/635594/2601
619 /mnt/RamDisk/postgres_data/base/635597/2601
618 /mnt/RamDisk/postgres_data/base/635596/2601
618 /mnt/RamDisk/postgres_data/base/635595/2601
616 /mnt/RamDisk/postgres_data/base/635597/635610
615 /mnt/RamDisk/postgres_data/base/635596/635602
614 /mnt/RamDisk/postgres_data/base/635595/635606
514 /mnt/RamDisk/postgres_data/base/635594/635598_fsm
496 /mnt/RamDisk/postgres_data/base/635597/635610_fsm
Denne kommandoen genererer en Hot-hendelseskilderapport som lagres i den lokale mappen som kan undersøkes ytterligere. Utdataene ser ut som følger på json-filen.
{
"startTime": "1729535104539160",
"endTime": "1729535117570766",
"totalEvent": "11373",
"eventSource": [
{
"authCount": "2832",
"csId": "",
"notifyCount": "0",
"path": "/mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5",
"pidCount": "1",
"teamId": ""
},
{
"authCount": "632",
"csId": "",
"notifyCount": "0",
"path": "/mnt/RamDisk/postgres_data/base/635594/2601",
"pidCount": "1",
"teamId": ""
}
]
}
I eksemplet kan vi se at filen /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5 genererer mest aktivitet. På samme måte som for kjørbare filer,
sudo mdatp diagnostic hot-event-sources executables
Utdataene ligner på følgende på konsollen.
Total Events: 47382 Time: 18s. Throughput: 157 events/sec.
=========== Top 23 Hot Event Sources ===========
count executable path
8216 /usr/lib/postgresql/12/bin/psql
5721 /usr/lib/postgresql/12/bin/postgres (deleted)
3557 /usr/bin/bash
378 /usr/bin/clamscan
88 /usr/bin/sudo
70 /usr/bin/dash
30 /usr/sbin/zabbix_agent2
10 /usr/bin/grep
8 /usr/bin/gawk
6 /opt/microsoft/mdatp/sbin/wdavdaemonclient
4 /usr/bin/sleep
Dette er utdataene som er lagret i den varme hendelseskilderapporten i json.
{
"startTime": "1729534260988396",
"endTime": "1729534280026883",
"totalEvent": "48165",
"eventSource": [
{
"authCount": "8126",
"csId": "",
"notifyCount": "0",
"path": "/usr/lib/postgresql/12/bin/psql",
"pidCount": "2487",
"teamId": ""
},
{
"authCount": "5127",
"csId": "",
"notifyCount": "0",
"path": "/usr/lib/postgresql/12/bin/postgres",
"pidCount": "2144",
"teamId": ""
}
]
}
I dette eksemplet, etter 18-tallet, viser kommandoen at de kjørbare dataene, /usr/lib/postgresql/12/bin/psql og /usr/lib/postgresql/12/bin/postgres genererer mest aktivitet.
Når du er ferdig med undersøkelsen, kan du endre loggnivået tilbake til «informasjon».
sudo mdatp log level set --level info
Log level configured successfully
Hvis du vil forbedre ytelsen til Defender for Endpoint på Linux, finner du banen med det høyeste tallet i antall-raden og legger til en global prosessutelukkelse (hvis det er en kjørbar fil) eller en global fil-/mappeutelukkelse (hvis det er en fil) for den (vurder nøye om det er trygt å ekskludere). Hvis du vil ha mer informasjon, kan du se Konfigurere og validere utelatelser for Defender for Endpoint på Linux.
Feilsøke ytelsesproblemer ved hjelp av eBPF-statistikk
Gjelder for:
- Alle fil-/prosesshendelser, inkludert systemkallbaserte ytelsesproblemer.
Statistikkkommandoen eBPF (extended Berkeley Packet Filter) gir innsikt i den øverste hendelsen/prosessen som genererer flest filhendelser, sammen med Syscall-ID-ene deres. Når systemkall utføres fra systemet, genereres det en stor mengde arbeidsbelastning på systemet. eBPF-statistikk kan brukes til å identifisere slike problemer.
Hvis du vil samle inn gjeldende statistikk ved hjelp av eBPF-statistikk, kjører du:
mdatp diagnostic ebpf-statistics
Utdataene vises direkte på konsollen og vil se omtrent slik ut (dette er bare en snutt av hele utdataene):
Top initiator paths:
/usr/lib/postgresql/12/bin/psql : 902
/usr/bin/clamscan : 349
/usr/sbin/zabbix_agent2 : 27
/usr/lib/postgresql/12/bin/postgres : 10
Top syscall ids:
80 : 9034
57 : 8932
60 : 8929
59 : 4942
112 : 4898
90 : 179
87 : 170
119 : 32
288 : 19
41 : 15
Denne kommandoen overvåker systemet i 20 sekunder og viser resultatene. Her viser den øverste startørbanen (postgresql/12/bin/psql) banen til prosessen som genererte flest systemkall.
Hvis du vil forbedre ytelsen til Defender for Endpoint på Linux, finner du den med høyest count i Top initiator path raden og legger til en global prosessutelukkelse for den (vurder nøye om det er trygt å ekskludere). Hvis du vil ha mer informasjon, kan du se Konfigurere og validere utelatelser for Defender for Endpoint på Linux.
Konfigurer globale utelatelser for bedre ytelse
Konfigurer Microsoft Defender for endepunkt på Linux med utelatelser for prosessene eller diskplasseringene som bidrar til ytelsesproblemene. Hvis du vil ha mer informasjon, kan du se Konfigurere og bekrefte utelatelser for Microsoft Defender for endepunkt på Linux. Hvis du fortsatt har ytelsesproblemer, kan du kontakte kundestøtte for ytterligere instruksjoner og begrensninger.
Se også
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.