Linux-Microsoft Defender for Endpoint suorituskykyongelmien vianmääritys

Koskee seuraavia:

• Microsoft Defender for Endpoint
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä asiakirjassa on ohjeita siitä, miten voit kaventaa Linuxin Defender for Endpointiin liittyviä suorituskykyongelmia käytettävissä olevien diagnostiikkatyökalujen avulla, jotta voit ymmärtää ja lieventää olemassa olevaa resurssipulaa ja prosesseja, jotka tekevät järjestelmästä tällaisen tilanteen. Suorituskykyongelmat johtuvat pääasiassa yhden tai useamman laitteiston alijärjestelmän pullonkauloista järjestelmän resurssien käyttöprofiilin mukaan. Joskus sovellukset ovat herkkiä levyn I/O-resursseille ja saattavat tarvita enemmän suoritinkapasiteettia, ja joskus jotkin määritykset eivät ole kestäviä, ja ne saattavat käynnistää liian monta uutta prosessia ja avata liian monta tiedostokuvaajaa.

Käynnissä olevien sovellusten ja laitteen ominaisuuksien mukaan suorituskyky saattaa olla huono, kun Defender for Endpoint suoritetaan Linuxissa. Erityisesti sovellukset tai järjestelmäprosessit, jotka käyttävät useita resursseja, kuten suoritinta, levyä ja muistia lyhyen ajankohdan aikana, voivat aiheuttaa suorituskykyongelmia Defender for Endpointissa Linuxissa.

Varoitus

Varmista ennen aloittamista, että muut suojaustuotteet eivät ole tällä hetkellä käytössä laitteessa. Useat suojaustuotteet voivat olla ristiriidassa isännän suorituskyvyn kanssa ja vaikuttaa siihen.

Suorituskykyongelmien vianmääritys reaaliaikaisten suojaustilastojen avulla

Koskee seuraavia:

• Vain AV:hen liittyvät suorituskykyongelmat

Reaaliaikainen suojaus (RTP) on Defender for Endpoint on Linux -ominaisuus, joka valvoo ja suojaa laitettasi jatkuvasti uhkilta. Se koostuu tiedostojen ja prosessien valvonnasta ja muista heurisikoista.

Seuraavien vaiheiden avulla voit tehdä vianmäärityksen ja lieventää näitä ongelmia:

1. Poista reaaliaikainen suojaus käytöstä jollakin seuraavista menetelmistä ja huomaa, paraneeko suorituskyky. Tämä lähestymistapa auttaa kaventamaan sitä, vaikuttaako Defender for Endpoint Linuxissa suorituskykyongelmiin.

   Jos organisaatiosi ei hallitse laitettasi, reaaliaikainen suojaus voidaan poistaa käytöstä komentoriviltä:

   mdatp config real-time-protection --value disabled
   

   Configuration property updated
   

   Jos organisaatiosi hallitsee laitettasi, järjestelmänvalvojasi voi poistaa reaaliaikaisen suojauksen käytöstä kohdassa Defender for Endpointin asetusten määrittäminen Linuxissa annettujen ohjeiden avulla.

   Huomautus

   Jos suorituskykyongelma jatkuu, kun reaaliaikainen suojaus ei ole käytössä, ongelman alkuperäinen osa voi olla päätepisteen tunnistaminen ja vastaus (EDR). Noudata tässä tapauksessa tämän artikkelin kohtaa Suorituskykyongelmien vianmääritys käyttämällä Microsoft Defender for Endpoint Asiakasanalysaattoria.

2. Jos haluat löytää sovellukset, jotka käynnistävät eniten skannauksia, voit käyttää Defenderin Linux-päätepisteelle keräämiä reaaliaikaisia tilastoja.

   Huomautus

   Tämä ominaisuus on käytettävissä versiossa 100.90.70 tai uudemman versiona.

   Tämä ominaisuus on oletusarvoisesti käytössä - ja InsiderFast -Dogfoodkanavissa. Jos käytät eri päivityskanavaa, tämä ominaisuus voidaan ottaa käyttöön komentoriviltä:

   mdatp config real-time-protection-statistics --value enabled
   

   Tämä ominaisuus edellyttää reaaliaikaisen suojauksen käyttöönottoa. Voit tarkistaa reaaliaikaisen suojauksen tilan suorittamalla seuraavan komennon:

   mdatp health --field real_time_protection_enabled
   

   Varmista, että real_time_protection_enabled merkintä on true. Muussa tapauksessa ota se käyttöön suorittamalla seuraava komento:

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

   Jos haluat kerätä nykyiset tilastotiedot, suorita:

   mdatp diagnostic real-time-protection-statistics --output json
   

   Huomautus

   Kun käytät --output json kaksoisviivaa, varmista, että tulostusmuoto on valmis jäsennystä varten.

   Tämän komennon tuloste näyttää kaikki prosessit ja niihin liittyvät tarkistustoiminnot.

3. Lataa Linux-järjestelmän Python-jäsennysmalli high_cpu_parser.py komennolla:

   wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
   

   Tämän komennon tulosteen tulee olla seuraavanlainen:

   --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
   Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
   Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 1020 [text/plain]
   Saving to: 'high_cpu_parser.py'
   100%[===========================================>] 1,020    --.-K/s   in 0s
   

4. Kirjoita seuraavaksi seuraavat komennot:

   mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py
   

   Yllä oleva tulos on luettelo suorituskykyyn liittyvistä ongelmista. Ensimmäinen sarake on prosessitunnus (PID), toinen sarake on prosessin nimi ja viimeinen sarake on skannattujen tiedostojen määrä vaikutuksen mukaan lajiteltuna. Esimerkiksi komennon tulos on seuraavankaltainen:

   ... > mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py | head
   27432 None 76703
   73467 actool    1249
   73914 xcodebuild 1081
   73873 bash 1050
   27475 None 836
   1    launchd     407
   73468 ibtool     344
   549  telemetryd_v1   325
   4764 None 228
   125  CrashPlanService 164
   

   Jos haluat parantaa Defender for Endpointin suorituskykyä Linuxissa, etsi se, jolla on suurin numero rivillä Total files scanned , ja lisää sille poikkeus. Lisätietoja on kohdassa Defender for Endpointin poissulkemisten määrittäminen ja vahvistaminen Linuxissa.

   Huomautus

   Sovellus tallentaa tilastotiedot muistiin ja seuraa vain tiedostotoimintoa sen aloittamisen ja reaaliaikaisen suojauksen käyttöönoton jälkeen. Prosesseja, jotka käynnistettiin ennen reaaliaikaista suojausta tai niiden aikana, ei lasketa. Lisäksi lasketaan vain tapahtumat, jotka käynnistivät skannauksia.

5. Määritä Linux-Microsoft Defender for Endpoint, joka sisältää poissulkemisia prosesseille tai levysijainneille, jotka vaikuttavat suorituskykyongelmiin ja ottaa reaaliaikaisen suojauksen uudelleen käyttöön.

   Lisätietoja on ohjeaiheessa Linuxin Microsoft Defender for Endpointin poisjättöjen määrittäminen ja vahvistaminen.

Suorituskykyongelmien vianmääritys Microsoft Defender for Endpoint Client Analyzerin avulla

Koskee seuraavia:

• Kaikkien käytettävissä olevien Defender for Endpoint -osien, kuten AV:n ja EDR:n, suorituskykyongelmat

Microsoft Defender for Endpoint Client Analyzer (MDECA) voi kerätä jäljitystietoja, lokeja ja diagnostiikkatietoja Linux-laitteiden suorituskykyongelmien vianmääritykseen.

Huomautus

• Microsoftin asiakastukipalvelut (CSS) käyttävät säännöllisesti Microsoft Defender for Endpoint Client Analyzer -työkalua keräämään tietoja, kuten (mutta ei rajoitettu) IP-osoitteita ja tietokoneiden nimiä, jotka auttavat Microsoft Defender for Endpoint kohtaamiesi ongelmien vianmäärityksessä. Lisätietoja tietosuojatiedoista on kohdassa Microsoftin tietosuojatiedot.
• Yleisenä parhaana käytäntönä on, että päivität Microsoft Defender for Endpoint agentin uusimpaan saatavilla olevaan versioon ja varmistat, että ongelma jatkuu edelleen, ennen kuin tutkit asiaa tarkemmin.

Jos haluat suorittaa asiakasanalysaattorin suorituskykyongelmien vianmääritystä varten, katso Asiakasanalysaattorin suorittaminen macOS:ssä ja Linuxissa.

Huomautus

Jos noudatat edellä olevia vaiheita, suorituskykyongelma jatkuu, ota yhteyttä asiakastukeen saadakseen lisäohjeita ja lievennystä.

AuditD-suorituskykyongelmien vianmääritys

Tausta:

• Linux-käyttöjärjestelmäjakaumien Microsoft Defender for Endpoint käyttää AuditD-kehystä tietyntyyppisten telemetriatapahtumien keräämiseen.

• Järjestelmän tapahtumat, jotka lisätään kohteeseen /etc/audit/rules.d/ lisättyjen sääntöjen mukaan, lisäävät audit.log ja voivat vaikuttaa isäntien valvontaan ja ylätason kokoelmaan.

• Tapahtumat, jotka Microsoft Defender for Endpoint on Lisännyt Linuxissa, merkitään mdatp avaimella.

• Jos AuditD-palvelu on määritetty väärin tai offline-tilassa, jotkin tapahtumat saattavat puuttua. Lisätietoja tällaisen ongelman vianmäärityksestä on artikkelissa: Puuttuvien tapahtumien tai ilmoitusten ongelmien vianmääritys Microsoft Defender for Endpoint Linuxissa.

Tietyissä palvelinkuormitusten yhteydessä saattaa ilmetä kaksi ongelmaa:

• Mdatp_audisp_plugin prosessin suuri suoritinresurssien kulutus.

• /var/log/audit/audit.log tulossa suureksi tai usein pyöriväksi.

Nämä ongelmat saattavat ilmetä palvelimilla, joissa on useita auditointitapahtumia.

Huomautus

Parhaana käytäntönä suosittelemme AuditD-lokien määrittämistä kiertämään, kun tiedoston enimmäiskokoraja saavutetaan.

Tämä estää AuditD-lokien kertymisen yhteen tiedostoon ja kierretyt lokitiedostot voidaan siirtää pois levytilan säästämiseksi.

Voit tehdä tämän määrittämällä max_log_file_actionkiertämisen arvon auditd.conf-tiedostossa .

Näin voi käydä, jos AuditD:ssä on useita kuluttajia tai jos sääntöjä on liikaa, kun käytössä on Microsoft Defender for Endpoint ja kolmannen osapuolen kuluttajia, tai suuri kuormitus, joka tuottaa paljon tapahtumia.

Tällaisten ongelmien vianmääritys aloitetaan keräämällä MDEClientAnalyzer-lokit mallissa, johon ongelma ilmenee.

Huomautus

Yleisenä parhaana käytäntönä on, että päivität Microsoft Defender for Endpoint agentin uusimpaan saatavilla olevaan versioon ja varmistat, että ongelma jatkuu edelleen, ennen kuin tutkit asiaa tarkemmin.

Että on olemassa muita määrityksiä, jotka voivat vaikuttaa AuditD-alijärjestelmän suoritinkantaan.

Tarkemmin sanottuna kohteessa auditd.confdisp_qos arvo voidaan asettaa "tappioksi" suuren suoritinkulutuksen vähentämiseksi.

Tämä tarkoittaa kuitenkin sitä, että jotkin tapahtumat saattavat pudota suorittimen huippukäytön aikana.

XMDEClientAnalyzer

Kun käytät XMDEClientAnalyzeria, seuraavissa tiedostoissa näytetään tuloste, joka tarjoaa merkityksellisiä tietoja ongelmien vianmääritykseen.

• auditd_info.txt
• auditd_log_analysis.txt

auditd_info.txt

Sisältää yleisen AuditD-määrityksen ja näytetään:

• Mitkä prosessit on rekisteröity AuditD-kuluttajiksi.

• Auditctl -s-tuloste , jossa on käytössä =2

  • Ehdottaa, että valvottu on muuttumattomassa tilassa (edellyttää uudelleenkäynnistystä, jotta määritysmuutokset tulevat voimaan).

• Auditctl -l-tulos

  • Näyttää ytimeen tällä hetkellä ladatut säännöt (jotka saattavat olla erilaisia kuin levyllä olevat säännöt kohteessa "/etc/auditd/rules.d/mdatp.rules").

  • Näyttää, mitkä säännöt liittyvät Microsoft Defender for Endpoint.

auditd_log_analysis.txt

Sisältää tärkeitä koostettuja tietoja, jotka ovat hyödyllisiä AuditD:n suorituskykyongelmien tutkimisessa.

• Mikä osa omistaa eniten raportoidut tapahtumat (Microsoft Defender for Endpoint tapahtumat merkitään merkinnällä key=mdatp).

• Tärkeimmät raportoinnin aloittajat.

• Yleisimmät järjestelmäkutsut (verkko- tai tiedostojärjestelmätapahtumat ja muut).

• Mitkä tiedostojärjestelmän polut ovat meluisimpia.

Voit lieventää useimpia AuditD:n suorituskykyongelmia toteuttamalla AuditD:n poissulkemisen. Jos annetut poikkeukset eivät paranna suorituskykyä, voimme käyttää rate limiter-vaihtoehtoa. Tämä vähentää AuditD:n luomien tapahtumien määrää kokonaan.

Huomautus

Poissulkemisia tulisi tehdä vain vähäisen uhan ja suurten melun aloittelejien tai polkujen vuoksi. Älä esimerkiksi jätä pois /bin/bash-kohdetta, joka uhkaa luoda suuren sokean pisteen. Yleisiä virheitä kannattaa välttää poissulkemisia määritettäessä.

Poissulkemistyypit

XMDEClientAnalyzer-tukityökalu sisältää syntaksin, jonka avulla voidaan lisätä AuditD:n poissulkemisen määrityssääntöjä:

AuditD-poissulkeminen – tukityökalun syntaksin ohje:

Käynnistäjän tekemä

• -e/ -exe täysi binaaripolku > Poistaa kaikki tämän käynnistäjän tapahtumat

Polun mukaan

• -d / -dir täydellinen polku hakemistoon > Poistaa tähän hakemistoon kohdistuvat tiedostojärjestelmätapahtumat

Esimerkkejä:

Jos "/opt/app/bin/app" kirjoittaa kohteeseen "/opt/app/cfg/logs/1234.log", voit käyttää tukityökalua sulkemiseen pois eri vaihtoehdoilla:

-e /opt/app/bin/app

-d /opt/app/cfg

-x /usr/bin/python /etc/usercfg

-d /usr/app/bin/

Lisää esimerkkejä:

./mde_support_tool.sh exclude -p <process id>

./mde_support_tool.sh exclude -e <process name>

Jos haluat jättää pois useamman kuin yhden kohteen, yhdistä poikkeukset yhdeksi riviksi:

./mde_support_tool.sh exclude -e <process name> -e <process name 2> -e <process name3>

Tietyt käynnistäjät käyttävät -x-merkintää, joka sulkee pois alihakemistojen käytön:

./mde_support_tool.sh exclude -x /usr/sbin/mv /tmp

Yllä oleva jättää pois /tmp-alikansion seurannan, kun mv-prosessia käsitellään.

Rate Limiter

XMDEClientAnalyzer-tukityökalu sisältää syntaksin, jonka avulla voidaan rajoittaa auditD-laajennuksen raportoimien tapahtumien määrää. Tämä asetus määrittää AuditD:n nopeusrajoituksen maailmanlaajuisesti, jolloin kaikki valvontatapahtumat laskevat.

Huomautus

Tätä toimintoa tulee käyttää huolellisesti rajoittamaan valvotun alijärjestelmän raportoimien tapahtumien määrää kokonaisuutena. Tämä voi vähentää myös muiden tilaajien tapahtumien määrää.

Rotta-erotinvaihtoehtoa voidaan käyttää tämän nopeusrajoituksen käyttöönottoon tai käytöstä poistamiseen.

Ota käyttöön: ./mde_support_tool.sh ratelimit -e true

Poistaa: ./mde_support_tool.sh ratelimit -e false

Kun rotanerotin on käytössä, AuditD:hen lisätään sääntö, joka käsittelee 2500 tapahtumaa sekunnissa.

Huomautus

Ota yhteyttä Microsoftin tukeen, jos tarvitset apua AuditD:hen liittyvien suorituskykyongelmien analysoinnissa ja lieventämisessä tai AuditD-poissulkemisten käyttöönotossa suuressa mittakaavassa.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tutki agentin kunto-ongelmia

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.