Sdílet prostřednictvím

Řešení potíží s výkonem pro Microsoft Defender for Endpoint v macOS

  • Článek

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek obsahuje několik obecných kroků, které můžete použít ke zúžení problémů s výkonem souvisejících s Defenderem for Endpoint v macOS.

V závislosti na aplikacích, které používáte, a charakteristikách zařízení může při spuštění Microsoft Defenderu for Endpoint v macOS docházet k neoptimálnímu výkonu. Konkrétně aplikace nebo systémové procesy, které přistupí k mnoha prostředkům v krátkém časovém intervalu, můžou vést k problémům s výkonem v Defenderu for Endpoint v systému macOS.

Upozornění

Před provedením postupů popsaných v tomto článku se ujistěte, že na zařízení nejsou aktuálně spuštěné jiné produkty zabezpečení. Více produktů zabezpečení může kolidovat a ovlivnit výkon hostitele.

Řešení potíží s výkonem pomocí statistik ochrany v reálném čase

Platí pro:

  • Pouze problémy s výkonem související s Antivirovou ochranou v programu Microsoft Defender (wdavdaemon_unprivileged).

Ochrana v reálném čase (RTP) je funkce Defenderu for Endpoint v macOS, která nepřetržitě monitoruje a chrání vaše zařízení před hrozbami. Skládá se z monitorování souborů a procesů a dalších heuristik.

Požadavky:

  • Microsoft Defender for Endpoint verze (Platform Update) 100.90.70 nebo novější
  • Pokud máte zapnutou ochranu před falšováním v režimu blokování, použijte režim řešení potíží a zachytávejte statistiky ochrany v reálném čase. V opačném případě se zobrazí výsledky s hodnotou null.

Tip

Jako obecně osvědčený postup doporučujeme aktualizovat agenta Microsoft Defenderu for Endpoint na nejnovější dostupnou verzi a ověřit, že problém přetrvává, než se prošetřuje.

Při řešení potíží s výkonem a jejich zmírnění postupujte takto:

  1. Zakažte ochranu v reálném čase pomocí jedné z metod uvedených v následující tabulce a pak sledujte, jestli se výkon zlepší. Tento přístup pomáhá zúžit, jestli Microsoft Defender for Endpoint v systému macOS přispívá k problémům s výkonem.

    Správa zařízení Metoda
    Zařízení nespravuje organizace Uživatelské rozhraní: Otevřete Microsoft Defender for Endpoint v systému macOS a přejděte na Spravovat nastavení.
    Zařízení nespravuje organizace Terminál: V terminálu spusťte následující příkaz: mdatp config real-time-protection --value disabled
    Zařízení spravuje organizace. Viz Nastavení předvoleb pro Microsoft Defender for Endpoint v macOS.

    Pokud problém s výkonem přetrvává, i když je vypnutá ochrana v reálném čase, může být původcem problému komponenta detekce koncového bodu a odezvy. V takovém případě se obraťte na zákaznickou podporu a požádejte o další pokyny a zmírnění rizik.

  2. Otevřete Finder a přejděte na Nástroje aplikací>. Otevřete Monitorování aktivit a analyzujte, které aplikace používají prostředky ve vašem systému. Mezi typické příklady patří aktualizátory a kompilátory softwaru.

  3. Tato funkce vyžaduje povolení ochrany v reálném čase. Pokud chcete zkontrolovat stav ochrany v reálném čase, spusťte následující příkaz:

    mdatp health --field real_time_protection_enabled

    Ověřte, že je položka real_time_protection_enabledpravdivá. V opačném případě ho povolte spuštěním následujícího příkazu:

    mdatp config real-time-protection --value enabled

    Configuration property updated

  4. Pokud chcete najít aplikace, které spouští nejvíce kontrol, můžete použít statistiky shromážděné defenderem for Endpoint v reálném čase v macOS. Spuštěním následujícího příkazu ho povolte:

    mdatp config real-time-protection-statistics --value enabled

    Tip

    Než budete pokračovat v zachytávání dat, ujistěte se, že v wdavdaemon_unprivileged dochází k vysokému využití procesoru, a to buď spuštěním příkazu nahoře, nebo otevřením příkazu activity monitor.

  5. Pokud chcete výstup vytvořit do souboru JSON, spusťte následující příkaz:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json

    Poznámka

    Použití --output json (všimněte si dvojité pomlčky) zajistí, že je výstupní formát připravený k analýze. Výstup tohoto příkazu zobrazí všechny procesy a jejich přidruženou aktivitu kontroly.

  6. V systému Mac si pomocí příkazu stáhněte ukázkový analyzátor high_cpu_parser.py Pythonu:

    curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py

    Výstup tohoto příkazu by měl být podobný následujícímu:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1020 [text/plain]
Saving to: 'high_cpu_parser.py'
100%[===========================================>] 1,020    --.-K/s   in
0s

  7. Zadejte následující příkazy:

    chmod +x high_cpu_parser.py

    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log

    Výstupem by měl být seznam hlavních přispěvatelů k problémům s výkonem. První sloupec je identifikátor procesu (PID), druhý sloupec je název procesu a poslední sloupec je počet naskenovaných souborů seřazených podle dopadu. Tady je příklad:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
27432 None 76703
73467 actool     1249
73914 xcodebuild 1081
73873 bash 1050
27475 None 836
1    launchd    407
73468 ibtool     344
549  telemetryd_v1   325
4764 None 228
125  CrashPlanService 164

  8. Pokud chcete zvýšit výkon Defenderu for Endpoint na Macu, vyhledejte v řádku Celkový počet naskenovaných souborů ten s nejvyšším číslem a přidejte pro něj vyloučení. Další informace najdete v tématu Konfigurace a ověření vyloučení pro Defender for Endpoint v macOS.

    Poznámka

    Aplikace ukládá statistiky do paměti a sleduje pouze aktivitu souborů od jejího spuštění a povolení ochrany v reálném čase. Nezapočítávají se procesy, které byly spuštěny před nebo během období, kdy byla ochrana v reálném čase vypnutá. Kromě toho se počítají pouze události, které aktivovaly kontroly.

  9. Nakonfigurujte Microsoft Defender for Endpoint v systému macOS s vyloučeními pro procesy nebo umístění disků, které přispívají k problémům s výkonem, a znovu povolte ochranu v reálném čase.

    Viz Konfigurace a ověření vyloučení pro Microsoft Defender for Endpoint v macOS.

Řešení potíží s výkonem pomocí nástroje Microsoft Defender for Endpoint Client Analyzer

Microsoft Defender for Endpoint Client Analyzer (MDECA) může shromažďovat trasování, protokoly a diagnostické informace za účelem řešení potíží s výkonem na zařízeních s macOS .

Pokud chcete spustit klientský analyzátor pro řešení potíží s výkonem, přečtěte si téma Spuštění klientského analyzátoru v macOS a Linuxu.

Poznámka

Nástroj Microsoft Defender for Endpoint Client Analyzer je pravidelně používán službami zákaznické podpory (CSS) společnosti Microsoft ke shromažďování informací, jako jsou (mimo jiné) IP adresy a názvy počítačů, které vám pomůžou s řešením potíží, se kterými se můžete setkat s Microsoft Defenderem for Endpoint. Další informace o našem prohlášení o zásadách ochrany osobních údajů najdete v prohlášení společnosti Microsoft o zásadách ochrany osobních údajů.