Prestatieproblemen voor Microsoft Defender voor Eindpunt in Linux oplossen

Van toepassing op:

• Microsoft Defender voor Eindpunt Server
• Microsoft Defender voor servers

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In dit artikel wordt beschreven hoe u prestatieproblemen met betrekking tot Defender voor Eindpunt in Linux kunt beperken. Diagnostische hulpprogramma's zijn beschikbaar om u te helpen bij het begrijpen en beperken van bestaande resourcetekorten en processen die van invloed zijn op de prestaties. Deze diagnostische hulpprogramma's kunnen ook worden gebruikt om de zichtbaarheid binnen de Microsoft Defender portal te verbeteren. Knelpunten in een of meer hardwaresubsystemen veroorzaken voornamelijk prestatieproblemen, afhankelijk van het profiel van het resourcegebruik op het systeem. Soms zijn toepassingen gevoelig voor schijf-I/O-resources en hebben ze mogelijk meer CPU-capaciteit nodig, en soms zijn sommige configuraties niet duurzaam en kunnen ze te veel nieuwe processen activeren en te veel bestandsbeschrijvingen openen.

Afhankelijk van de toepassingen die u uitvoert en de kenmerken van uw apparaat, kunt u suboptimale prestaties ervaren bij het uitvoeren van Defender voor Eindpunt in Linux. Met name toepassingen of systeemprocessen die in korte tijd toegang hebben tot veel resources, zoals CPU, Schijf en Geheugen, kunnen leiden tot prestatieproblemen in Defender voor Eindpunt op Linux.

Waarschuwing

Controleer voordat u begint of andere beveiligingsproducten momenteel niet op het apparaat worden uitgevoerd. Meerdere beveiligingsproducten kunnen een conflict veroorzaken en invloed hebben op de prestaties van de host.

Er zijn drie verschillende manieren om problemen met ruisprocessen en mappen op te lossen met behulp van diagnostische hulpprogramma's van Microsoft Defender voor Eindpunt op Linux:

• Realtime beveiligingsstatistieken gebruiken
• Dynamische gebeurtenisbronnen gebruiken
• EBPF-statistieken gebruiken

Prestatieproblemen oplossen met behulp van realtime beveiligingsstatistieken

Van toepassing op:

• Alleen prestatieproblemen met betrekking tot antivirusprogramma's

Realtime-beveiliging (RTP) is een functie van Defender voor Eindpunt op Linux waarmee uw apparaat continu wordt bewaakt en beschermd tegen bedreigingen. Het bestaat uit bestands- en procesbewaking en andere heuristieken.

De volgende stappen kunnen worden gebruikt om deze problemen op te lossen:

1. Schakel realtimebeveiliging uit met behulp van een van de volgende methoden en kijk of de prestaties verbeteren. Met deze benadering kunt u bepalen of Defender voor Eindpunt in Linux bijdraagt aan de prestatieproblemen. Als uw apparaat niet wordt beheerd door uw organisatie, kan realtime-beveiliging worden uitgeschakeld vanaf de opdrachtregel:

   mdatp config real-time-protection --value disabled
   

   Configuration property updated
   

   Als uw organisatie uw apparaat beheert, kan uw beheerder realtimebeveiliging uitschakelen met behulp van de instructies in Voorkeuren voor Defender voor Eindpunt instellen in Linux.

   Opmerking

   Als het prestatieprobleem zich blijft voordoen terwijl realtime-beveiliging is uitgeschakeld, kan de oorzaak van het probleem ook het onderdeel eindpuntdetectie en -respons (EDR) zijn. In dit geval moet u globale uitsluitingen van Antivirus en EDR toevoegen. In dit geval volgt u de stappen in de sectie Prestatieproblemen oplossen met behulp van dynamische gebeurtenisbronnen.

2. Als u de toepassingen wilt vinden die de meeste scans activeren, kunt u realtime-statistieken gebruiken die zijn verzameld door Defender voor Eindpunt in Linux.

   Opmerking

   Deze functie is beschikbaar in versie 100.90.70 of hoger.

   Deze functie is standaard ingeschakeld op de Dogfood kanalen en InsiderFast . Als u een ander updatekanaal gebruikt, kan deze functie worden ingeschakeld vanaf de opdrachtregel:

   mdatp config real-time-protection-statistics --value enabled
   

   Voor deze functie moet realtime-beveiliging worden ingeschakeld. Voer de volgende opdracht uit om de status van realtime-beveiliging te controleren:

   mdatp health --field real_time_protection_enabled
   

   Controleer of de real_time_protection_enabled vermelding is true. Voer anders de volgende opdracht uit om deze in te schakelen:

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

   Als u de huidige statistieken wilt verzamelen, voert u het volgende uit:

   mdatp diagnostic real-time-protection-statistics --output json
   

   Opmerking

   Als u --output json (let op het dubbele streepje) gebruikt, zorgt u ervoor dat de uitvoerindeling gereed is voor parseren.

   De uitvoer van deze opdracht toont alle processen en de bijbehorende scanactiviteit.

3. Typ de volgende opdrachten:

   mdatp diagnostic real-time-protection-statistics --sort --top 4
   

   De uitvoer is een lijst met de vier belangrijkste inzenders voor prestatieproblemen. De uitvoer van de opdracht ziet er bijvoorbeeld ongeveer als volgt uit:

   =====================================
   Process id: 560
   Name: NetworkManager
   Path: "/usr/sbin/NetworkManager"
   Total files scanned: 261
   Scan time (ns): "3070788919"
   Status: Active
   =====================================
   Process id: 1709561
   Name: snapd
   Path: "/snap/snapd/23545/usr/lib/snapd/snapd"
   Total files scanned: 247
   Scan time (ns): "19926516003"
   Status: Active
   =====================================
   Process id: 596
   Name: systemd-logind
   Path: "/usr/lib/systemd/systemd-logind"
   Total files scanned: 29
   Scan time (ns): "716836547"
   Status: Active
   =====================================
   Process id: 1977683
   Name: cupsd
   Path: "/usr/sbin/cupsd"
   Total files scanned: 20
   Scan time (ns): "985110892"
   Status: Active
   =====================================
   

   Als u de prestaties van Defender voor Eindpunt in Linux wilt verbeteren, zoekt u het nummer met het hoogste getal onder de Total files scanned rij en voegt u er een antivirusuitsluiting voor toe (zorgvuldig evalueren of het veilig is om uit te sluiten). Zie Uitsluitingen configureren en valideren voor Defender voor Eindpunt in Linux voor meer informatie.

   Opmerking

   De toepassing slaat statistieken op in het geheugen en houdt alleen de bestandsactiviteit bij sinds deze is gestart en realtime-beveiliging is ingeschakeld. Processen die zijn gestart voor of tijdens perioden waarin realtime-beveiliging was uitgeschakeld, worden niet meegeteld. Bovendien worden alleen gebeurtenissen geteld die scans hebben geactiveerd.

Prestatieproblemen oplossen met behulp van dynamische gebeurtenisbronnen

Van toepassing op:

• Prestatieproblemen in bestanden en uitvoerbare bestanden die de meeste CPU-cycli in het hele bestandssysteem verbruiken.

Dynamische gebeurtenisbronnen is een functie waarmee klanten kunnen bepalen welk proces of welke map verantwoordelijk is voor hoog resourceverbruik. Volg deze stappen om te onderzoeken welk proces/uitvoerbare bestand de meeste ruis genereert.

Opmerking

Voor deze opdrachten moet u hoofdmachtigingen hebben. Zorg ervoor dat sudo kan worden gebruikt.

Controleer eerst het logboekniveau op uw computer.

mdatp health --field log_level

Als het niet op 'foutopsporing' staat, moet u deze wijzigen voor een gedetailleerd rapport met betrekking tot dynamische bestanden/uitvoerbare bestanden.

sudo mdatp log level set --level debug

Log level configured successfully

Huidige statistieken verzamelen (voor bestanden),

sudo mdatp diagnostic hot-event-sources files

De uitvoer ziet er ongeveer als volgt uit op de console (dit is slechts een fragment van de volledige uitvoer). Hier wordt in de eerste rij het aantal (frequentie van het optreden) weergegeven en in de tweede rij het bestandspad.

Total Events: 11179 Time: 12s. Throughput: 75.3333 events/sec. 
=========== Top 684 Hot Event Sources ===========
count   file path
2832    /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5
632     /mnt/RamDisk/postgres_data/base/635594/2601
619     /mnt/RamDisk/postgres_data/base/635597/2601
618     /mnt/RamDisk/postgres_data/base/635596/2601
618     /mnt/RamDisk/postgres_data/base/635595/2601
616     /mnt/RamDisk/postgres_data/base/635597/635610
615     /mnt/RamDisk/postgres_data/base/635596/635602
614     /mnt/RamDisk/postgres_data/base/635595/635606
514     /mnt/RamDisk/postgres_data/base/635594/635598_fsm
496     /mnt/RamDisk/postgres_data/base/635597/635610_fsm

Met deze opdracht wordt een dynamisch gebeurtenisbronrapport gegenereerd dat wordt opgeslagen in uw lokale map en dat verder kan worden onderzocht. De uitvoer ziet er als volgt uit op het json-bestand;

{
    "startTime": "1729535104539160",
    "endTime": "1729535117570766",
    "totalEvent": "11373",
    "eventSource": [
        {
            "authCount": "2832",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5",
            "pidCount": "1",
            "teamId": ""
        },
        {
            "authCount": "632",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/base/635594/2601",
            "pidCount": "1",
            "teamId": ""
        }
    ]
}

In het voorbeeld zien we dat het bestand /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5 de meeste activiteit genereert. Op dezelfde manier voor de uitvoerbare bestanden geldt

sudo mdatp diagnostic hot-event-sources executables

De uitvoer ziet er ongeveer als volgt uit op de console.

Total Events: 47382 Time: 18s. Throughput: 157 events/sec.
=========== Top 23 Hot Event Sources ===========
count    executable path
8216    /usr/lib/postgresql/12/bin/psql
5721    /usr/lib/postgresql/12/bin/postgres (deleted)
3557    /usr/bin/bash
378     /usr/bin/clamscan
88      /usr/bin/sudo
70      /usr/bin/dash
30      /usr/sbin/zabbix_agent2
10      /usr/bin/grep
8       /usr/bin/gawk
6       /opt/microsoft/mdatp/sbin/wdavdaemonclient
4       /usr/bin/sleep

Dit is de uitvoer die is opgeslagen in het dynamische gebeurtenisbronrapport in json;

{
    "startTime": "1729534260988396",
    "endTime": "1729534280026883",
    "totalEvent": "48165",
    "eventSource": [
        {
            "authCount": "8126",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/psql",
            "pidCount": "2487",
            "teamId": ""
        },
        {
            "authCount": "5127",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/postgres",
            "pidCount": "2144",
            "teamId": ""
        }
    ]
}

In dit voorbeeld toont de opdracht na 18s dat de uitvoerbare bestanden; /usr/lib/postgresql/12/bin/psql en /usr/lib/postgresql/12/bin/postgres genereren de meeste activiteit.

Zodra u het onderzoek hebt voltooid, kunt u het logboekniveau weer wijzigen in 'info'.

sudo mdatp log level set --level info

Log level configured successfully

Als u de prestaties van Defender voor Eindpunt in Linux wilt verbeteren, zoekt u het pad met het hoogste getal in de tellingsrij en voegt u een globale procesuitsluiting (als het een uitvoerbaar bestand is) of een algemene uitsluiting van bestanden/mappen (als het een bestand is) toe (zorgvuldig evalueren of het veilig is om uit te sluiten). Zie Uitsluitingen configureren en valideren voor Defender voor Eindpunt in Linux voor meer informatie.

Prestatieproblemen oplossen met behulp van eBPF-statistieken

Van toepassing op:

• Alle bestands-/proces-gebeurtenissen, inclusief prestatieproblemen op basis van systeemoproepen.

De statistische opdracht eBPF (extended Berkeley Packet Filter) geeft inzicht in de belangrijkste gebeurtenis/het belangrijkste proces dat de meeste bestandsgebeurtenissen genereert, samen met hun syscall-id's. Wanneer er systeemoproepen worden gedaan vanuit het systeem, wordt er een grote hoeveelheid werkbelasting gegenereerd op uw systeem. eBPF-statistieken kunnen worden gebruikt om dergelijke problemen te identificeren.

Als u de huidige statistieken wilt verzamelen met behulp van eBPF-statistieken, voert u het volgende uit:

mdatp diagnostic ebpf-statistics

De uitvoer wordt rechtstreeks weergegeven op de console en ziet er ongeveer als volgt uit (dit is slechts een fragment van de volledige uitvoer):

Top initiator paths:
/usr/lib/postgresql/12/bin/psql : 902
/usr/bin/clamscan : 349
/usr/sbin/zabbix_agent2 : 27
/usr/lib/postgresql/12/bin/postgres : 10

Top syscall ids:
80 : 9034
57 : 8932
60 : 8929
59 : 4942
112 : 4898
90 : 179
87 : 170
119 : 32
288 : 19
41 : 15

Met deze opdracht wordt het systeem gedurende 20 seconden gecontroleerd en worden de resultaten weergegeven. Hier toont het bovenste initiatorpad (postgresql/12/bin/psql) het pad van het proces dat de meeste systeemoproepen heeft gegenereerd.

Als u de prestaties van Defender voor Eindpunt in Linux wilt verbeteren, zoekt u het exemplaar met de hoogste count in de Top initiator path rij en voegt u een algemene procesuitsluiting toe (zorgvuldig evalueren of het veilig is om uit te sluiten). Zie Uitsluitingen configureren en valideren voor Defender voor Eindpunt in Linux voor meer informatie.

Globale uitsluitingen configureren voor betere prestaties

Configureer Microsoft Defender voor Eindpunt op Linux met uitsluitingen voor de processen of schijflocaties die bijdragen aan de prestatieproblemen. Zie Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt op Linux voor meer informatie. Als u nog steeds prestatieproblemen ondervindt, neemt u contact op met de ondersteuning voor verdere instructies en oplossingen.

Zie ook

• Statusproblemen van agent onderzoeken

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.