استكشاف مشكلات الأداء Microsoft Defender لنقطة النهاية على Linux وإصلاحها

ينطبق على:

• مشكلات الأداء في Microsoft Defender لنقطة النهاية
• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

يوفر هذا المستند إرشادات حول كيفية تضييق نطاق مشكلات الأداء المتعلقة ب Defender لنقطة النهاية على Linux باستخدام أدوات التشخيص المتوفرة لتتمكن من فهم وتخفيف نقص الموارد الحالي والعمليات التي تجعل النظام في مثل هذه الحالات. تحدث مشاكل الأداء بشكل رئيسي بسبب الازدحامات في نظام فرعي واحد أو أكثر من الأجهزة، اعتمادا على ملف تعريف استخدام الموارد على النظام. في بعض الأحيان تكون التطبيقات حساسة لموارد إدخال/إخراج القرص وقد تحتاج إلى المزيد من سعة وحدة المعالجة المركزية، وأحيانا تكون بعض التكوينات غير مستدامة، وقد تؤدي إلى تشغيل عدد كبير جدا من العمليات الجديدة، وفتح عدد كبير جدا من واصفات الملفات.

اعتمادا على التطبيقات التي تقوم بتشغيلها وخصائص جهازك، قد تواجه أداء دون المستوى الأمثل عند تشغيل Defender لنقطة النهاية على Linux. على وجه الخصوص، يمكن أن تؤدي التطبيقات أو عمليات النظام التي تصل إلى العديد من الموارد مثل وحدة المعالجة المركزية والقرص والذاكرة على مدى فترة زمنية قصيرة إلى مشكلات في الأداء في Defender لنقطة النهاية على Linux.

تحذير

قبل البدء، يرجى التأكد من أن منتجات الأمان الأخرى لا تعمل حاليا على الجهاز. قد تتعارض منتجات الأمان المتعددة وتؤثر على أداء المضيف.

استكشاف مشكلات الأداء وإصلاحها باستخدام إحصائيات الحماية في الوقت الحقيقي

ينطبق على:

• مشكلات الأداء المتعلقة ب AV فقط

الحماية في الوقت الحقيقي (RTP) هي ميزة من ميزات Defender لنقطة النهاية على Linux التي تراقب جهازك وتحميه باستمرار من التهديدات. وهو يتكون من مراقبة الملفات والعملية وغيرها من الأساليب الإرشادية.

يمكن استخدام الخطوات التالية لاستكشاف هذه المشكلات والتخفيف من حدتها:

1. قم بتعطيل الحماية في الوقت الحقيقي باستخدام إحدى الطرق التالية ولاحظ ما إذا كان الأداء يتحسن أم لا. يساعد هذا النهج على تضييق نطاق ما إذا كان Defender لنقطة النهاية على Linux يساهم في مشكلات الأداء.

   إذا لم تتم إدارة جهازك من قبل مؤسستك، يمكن تعطيل الحماية في الوقت الحقيقي من سطر الأوامر:

   mdatp config real-time-protection --value disabled
   

   Configuration property updated
   

   إذا كانت مؤسستك تدير جهازك، فيمكن للمسؤول تعطيل الحماية في الوقت الحقيقي باستخدام الإرشادات الواردة في تعيين تفضيلات Defender لنقطة النهاية على Linux.

   ملاحظة

   إذا استمرت مشكلة الأداء أثناء إيقاف الحماية في الوقت الحقيقي، فقد يكون أصل المشكلة مكون الكشف عن نقطة النهاية والاستجابة لها (EDR). في هذه الحالة، يرجى اتباع الخطوات من قسم استكشاف مشكلات الأداء وإصلاحها باستخدام Microsoft Defender لنقطة النهاية Client Analyzer في هذه المقالة.

2. للعثور على التطبيقات التي تقوم بتشغيل معظم عمليات الفحص، يمكنك استخدام الإحصائيات في الوقت الحقيقي التي جمعها Defender لنقطة النهاية على Linux.

   ملاحظة

   تتوفر هذه الميزة في الإصدار 100.90.70 أو الأحدث.

   يتم تمكين هذه الميزة بشكل افتراضي على القنوات Dogfood و InsiderFast . إذا كنت تستخدم قناة تحديث مختلفة، يمكن تمكين هذه الميزة من سطر الأوامر:

   mdatp config real-time-protection-statistics --value enabled
   

   تتطلب هذه الميزة تمكين الحماية في الوقت الحقيقي. للتحقق من حالة الحماية في الوقت الحقيقي، قم بتشغيل الأمر التالي:

   mdatp health --field real_time_protection_enabled
   

   تحقق من أن real_time_protection_enabled الإدخال هو true. وإلا، قم بتشغيل الأمر التالي لتمكينه:

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

   لتجميع الإحصائيات الحالية، قم بتشغيل:

   mdatp diagnostic real-time-protection-statistics --output json
   

   ملاحظة

   يضمن استخدام --output json (لاحظ الشرطة المزدوجة) أن تنسيق الإخراج جاهز للتحلل.

   سيظهر إخراج هذا الأمر جميع العمليات ونشاط الفحص المرتبط بها.

3. على نظام Linux الخاص بك، قم بتنزيل نموذج محلل Python high_cpu_parser.py باستخدام الأمر :

   wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
   

   يجب أن يكون إخراج هذا الأمر مشابها للآتي:

   --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
   Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
   Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 1020 [text/plain]
   Saving to: 'high_cpu_parser.py'
   100%[===========================================>] 1,020    --.-K/s   in 0s
   

4. بعد ذلك، اكتب الأوامر التالية:

   mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py
   

   إخراج ما سبق هو قائمة بالمساهمين الرئيسيين في مشكلات الأداء. العمود الأول هو معرف العملية (PID)، والعمود الثاني هو اسم العملية، والعمود الأخير هو عدد الملفات الممسوحة ضوئيا، التي تم فرزها حسب التأثير. على سبيل المثال، سيكون إخراج الأمر مشابها لما يلي:

   ... > mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py | head
   27432 None 76703
   73467 actool    1249
   73914 xcodebuild 1081
   73873 bash 1050
   27475 None 836
   1    launchd     407
   73468 ibtool     344
   549  telemetryd_v1   325
   4764 None 228
   125  CrashPlanService 164
   

   لتحسين أداء Defender لنقطة النهاية على Linux، حدد موقع الذي يحتوي على أعلى رقم ضمن Total files scanned الصف وأضف استثناء له. لمزيد من المعلومات، راجع تكوين استثناءات Defender لنقطة النهاية والتحقق من صحتها على Linux.

   ملاحظة

   يخزن التطبيق الإحصائيات في الذاكرة ويتعقب نشاط الملف فقط منذ بدء تشغيله وتم تمكين الحماية في الوقت الحقيقي. لا يتم حساب العمليات التي تم إطلاقها قبل أو خلال الفترات التي تم فيها إيقاف الحماية في الوقت الحقيقي. بالإضافة إلى ذلك، يتم حساب الأحداث التي تم تشغيلها فقط.

5. تكوين Microsoft Defender لنقطة النهاية على Linux مع استثناءات للعمليات أو مواقع القرص التي تساهم في مشكلات الأداء وإعادة تمكين الحماية في الوقت الحقيقي.

   للمزيد من المعلومات، راجع تكوين الاستثناءات والتحقق من صحتها في Microsoft Defender لنقطة النهاية على Linux.

استكشاف مشكلات الأداء وإصلاحها باستخدام Microsoft Defender لنقطة النهاية Client Analyzer

ينطبق على:

• مشكلات الأداء لجميع مكونات Defender لنقطة النهاية المتوفرة مثل AV وEDR

يمكن لمحلل عميل Microsoft Defender لنقطة النهاية (MDECA) جمع التتبعات والسجلات ومعلومات التشخيص من أجل استكشاف مشكلات الأداء وإصلاحها على الأجهزة المدمجة على Linux.

ملاحظة

• تستخدم Microsoft Customer Support Services (CSS) أداة Microsoft Defender لنقطة النهاية Client Analyzer بانتظام لجمع معلومات مثل (على سبيل المثال لا الحصر) عناوين IP وأسماء أجهزة الكمبيوتر التي ستساعد في استكشاف المشكلات التي قد تواجهها مع Microsoft Defender لنقطة النهاية وإصلاحها. لمزيد من المعلومات حول بيان الخصوصية الخاص بنا، راجع بيان خصوصية Microsoft.
• كأفضل ممارسة عامة، يوصى بتحديث عامل Microsoft Defender لنقطة النهاية إلى أحدث إصدار متوفر والتأكد من أن المشكلة لا تزال مستمرة قبل إجراء مزيد من التحقيق.

لتشغيل محلل العميل لاستكشاف مشكلات الأداء وإصلاحها، راجع تشغيل محلل العميل على macOS وLinux.

ملاحظة

في حالة استمرار مشكلة الأداء بعد اتباع الخطوات المذكورة أعلاه، يرجى الاتصال بدعم العملاء للحصول على مزيد من الإرشادات والتخفيف.

استكشاف مشاكل الأداء وإصلاحها

الخلفيه:

• تستخدم Microsoft Defender لنقطة النهاية على توزيعات نظام التشغيل Linux إطار عمل AuditD لجمع أنواع معينة من أحداث بيانات تتبع الاستخدام.

• ستضيف أحداث النظام التي تم التقاطها بواسطة القواعد المضافة إلى /etc/audit/rules.d/ إلى audit.log (audit.log) وقد تؤثر على تدقيق المضيف ومجموعة المصدر.

• سيتم وضع علامة على الأحداث التي تمت إضافتها بواسطة Microsoft Defender لنقطة النهاية على Linux بالمفتاحmdatp.

• إذا تم تكوين خدمة AuditD بشكل خاطئ أو غير متصلة، فقد تكون بعض الأحداث مفقودة. لاستكشاف هذه المشكلة وإصلاحها، راجع: استكشاف أخطاء الأحداث المفقودة أو مشكلات التنبيهات وإصلاحها Microsoft Defender لنقطة النهاية على Linux.

في بعض أحمال عمل الخادم، قد تتم ملاحظة مسألتين:

• استهلاك عال لمورد وحدة المعالجة المركزية من عملية mdatp_audisp_plugin .

• /var/log/audit/audit.log تصبح كبيرة أو دورية بشكل متكرر.

قد تحدث هذه المشكلات على الخوادم مع العديد من الأحداث التي تغمر AuditD.

ملاحظة

كأفضل ممارسة، نوصي بتكوين سجلات AuditD للتدوير عند الوصول إلى الحد الأقصى لحجم الملف.

سيؤدي ذلك إلى منع تراكم سجلات AuditD في ملف واحد ويمكن نقل ملفات السجل التي تم تدويرها لتوفير مساحة القرص.

لتحقيق ذلك، يمكنك تعيين قيمة max_log_file_actionللتدوير في ملف auditd.conf .

يمكن أن يحدث هذا إذا كان هناك العديد من المستهلكين ل AuditD، أو العديد من القواعد مع مزيج من Microsoft Defender لنقطة النهاية ومستهلكي الجهات الخارجية، أو حمل العمل العالي الذي يولد الكثير من الأحداث.

لاستكشاف هذه المشكلات وإصلاحها، ابدأ بجمع سجلات MDEClientAnalyzer على عينة الخادم المتأثر.

ملاحظة

كأفضل ممارسة عامة، يوصى بتحديث عامل Microsoft Defender لنقطة النهاية إلى أحدث إصدار متاح وتأكيد استمرار المشكلة قبل إجراء مزيد من التحقيق.

أن هناك تكوينات إضافية يمكن أن تؤثر على سلالة وحدة المعالجة المركزية لنظام التدقيق الفرعي.

على وجه التحديد، في auditd.conf، يمكن تعيين قيمة disp_qos إلى "lossy" لتقليل الاستهلاك العالي لوحدة المعالجة المركزية.

ومع ذلك، هذا يعني أنه قد يتم إسقاط بعض الأحداث أثناء ذروة استهلاك وحدة المعالجة المركزية.

XMDEClientAnalyzer

عند استخدام XMDEClientAnalyzer، ستعرض الملفات التالية الإخراج الذي يوفر رؤى لمساعدتك في استكشاف المشكلات وإصلاحها.

• auditd_info.txt
• auditd_log_analysis.txt

auditd_info.txt

يحتوي على تكوين AuditD عام وسيتم عرضه:

• ما هي العمليات المسجلة كمستهلكي AuditD.

• إخراج Auditctl -s مع ممكن=2

  • تشير إلى أن التدقيق في وضع غير قابل للتغيير (يتطلب إعادة التشغيل حتى تسري أي تغييرات تكوين).

• إخراج Auditctl -l

  • سيظهر القواعد التي يتم تحميلها حاليا في النواة (والتي قد تختلف عما هو موجود على القرص في "/etc/auditd/rules.d/mdatp.rules").

  • سيعرض القواعد المتعلقة Microsoft Defender لنقطة النهاية.

auditd_log_analysis.txt

يحتوي على معلومات مجمعة مهمة مفيدة عند التحقيق في مشكلات أداء AuditD.

• أي مكون يمتلك الأحداث التي تم الإبلاغ عنها (سيتم وضع علامة على الأحداث Microsoft Defender لنقطة النهاية ).key=mdatp

• أفضل بادئات التقارير.

• استدعاءات النظام الأكثر شيوعا (أحداث الشبكة أو نظام الملفات وغيرها).

• ما هي مسارات نظام الملفات الأكثر noة.

للتخفيف من معظم مشكلات الأداء المدقق، يمكنك تنفيذ استبعاد AuditD. إذا لم تحسن الاستثناءات المحددة الأداء، يمكننا استخدام خيار محدد المعدل. سيؤدي ذلك إلى تقليل عدد الأحداث التي يتم إنشاؤها بواسطة AuditD تماما.

ملاحظة

يجب إجراء استثناءات فقط للمبدئات أو المسارات ذات التهديدات المنخفضة والضوضاء العالية. على سبيل المثال، لا تستبعد /bin/bash الذي قد يؤدي إلى إنشاء نقطة عمياء كبيرة. الأخطاء الشائعة التي يجب تجنبها عند تحديد الاستثناءات.

أنواع الاستبعاد

تحتوي أداة دعم XMDEClientAnalyzer على بناء الجملة الذي يمكن استخدامه لإضافة قواعد تكوين استبعاد AuditD:

استبعاد AuditD - تعليمات بناء جملة أداة الدعم:

حسب البادئ

• -e/ -exe مسار > ثنائي كامل يزيل جميع الأحداث بواسطة هذا المنشئ

حسب المسار

• -d / -dir المسار الكامل إلى دليل > يزيل أحداث نظام الملفات التي تستهدف هذا الدليل

أمثلة:

إذا كتب "/opt/app/bin/app" إلى "/opt/app/cfg/logs/1234.log"، فيمكنك استخدام أداة الدعم لاستبعادها بخيارات مختلفة:

-e /opt/app/bin/app

-d /opt/app/cfg

-x /usr/bin/python /etc/usercfg

-d /usr/app/bin/

المزيد من الأمثلة:

./mde_support_tool.sh exclude -p <process id>

./mde_support_tool.sh exclude -e <process name>

لاستبعاد أكثر من عنصر واحد - قم بتسلسل الاستثناءات في سطر واحد:

./mde_support_tool.sh exclude -e <process name> -e <process name 2> -e <process name3>

يتم استخدام العلامة -x لاستبعاد الوصول إلى الدلائل الفرعية بواسطة بادئات محددة على سبيل المثال:

./mde_support_tool.sh exclude -x /usr/sbin/mv /tmp

سيستبعد ما سبق مراقبة المجلد الفرعي /tmp، عند الوصول إليه بواسطة عملية mv.

محدد المعدل

تحتوي أداة دعم XMDEClientAnalyzer على بناء الجملة الذي يمكن استخدامه للحد من عدد الأحداث التي يتم الإبلاغ عنها بواسطة المكون الإضافي الذي تم تدقيقه. سيقوم هذا الخيار بتعيين حد المعدل عالميا ل AuditD مما يتسبب في انخفاض في جميع أحداث التدقيق.

ملاحظة

يجب استخدام هذه الوظيفة بعناية للحد من عدد الأحداث التي يتم الإبلاغ عنها بواسطة النظام الفرعي المدقق ككل. قد يقلل هذا من عدد الأحداث للمشتركين الآخرين أيضا.

يمكن استخدام خيار ratelimit لتمكين/تعطيل حد المعدل هذا.

تمكين: ./mde_support_tool.sh ratelimit -e true

تعطيل: ./mde_support_tool.sh ratelimit -e false

عند تمكين ratelimit، ستتم إضافة قاعدة في AuditD للتعامل مع 2500 حدث/ثانية.

ملاحظة

يرجى الاتصال بدعم Microsoft إذا كنت بحاجة إلى مساعدة في تحليل مشكلات الأداء ذات الصلة ب AuditD والتخفيف منها، أو نشر استثناءات AuditD على نطاق واسع.

راجع أيضًا

• التحقق من مشاكل صحة الوكيل

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.