שתף באמצעות

פתרון בעיות ביצועים עבור Microsoft Defender עבור נקודת קצה ב- Linux

  • מאמר

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מסמך זה מספק הוראות כיצד לצמצם בעיות ביצועים הקשורות ל- Defender for Endpoint ב- Linux באמצעות כלי האבחון הזמינים כדי שתוכל להבין ולצמצם את החסרונות הקיימים במשאבים ואת התהליכים ההפיכת המערכת למצבים כאלה. בעיות ביצועים נגרמות בעיקר על-ידי צווארי בקבוק במערכת משנה אחת או יותר של חומרה, בהתאם לפרופיל ניצול המשאבים במערכת. לעתים יישומים רגישים למשאבי קלט/פלט של דיסק ועשויים לדרוש קיבולת CPU נוספת, ולפעמים תצורות מסוימות אינן ברות-קיימא, ועשויות להפעיל תהליכים חדשים רבים מדי ולפתוח מתארי קבצים רבים מדי.

בהתאם לאפליקציות שאתה מפעיל ולמאפיינים של המכשיר שלך, ייתכן שתיתקל בביצועים לא מיטביים בעת הפעלת Defender for Endpoint ב- Linux. בפרט, אפליקציות או תהליכי מערכת שניגישה למשאבים רבים כגון CPU, דיסק וזיכרון במשך זמן קצר עלולות להוביל לבעיות ביצועים ב- Defender for Endpoint ב- Linux.

אזהרה

לפני שתתחיל , ודא שמוצרי אבטחה אחרים אינם פועלים כעת במכשיר. מוצרי אבטחה מרובים עשויים להתנגש ולהשפיע על ביצועי המארח.

פתרון בעיות ביצועים באמצעות סטטיסטיקה של הגנה בזמן אמת

חל על:

  • רק בעיות ביצועים הקשורות לאנטי-וירוס

הגנה בזמן אמת (RTP) היא תכונה של Defender for Endpoint ב- Linux שמנטרת ומגנה על המכשיר שלך ללא התמדה מפני איומים. היא מורכבת מניטור קבצים ותהליך ומליסטיקות אחרות.

ניתן להשתמש בשלבים הבאים כדי לפתור בעיות אלה ולצמצם הבאות:

  1. הפוך הגנה בזמן אמת ללא זמינה באמצעות אחת מהשיטות הבאות ובחין אם הביצועים משתפרים. גישה זו מסייעת לצמצם אם Defender for Endpoint ב- Linux תורם לבעיות ביצועים. אם המכשיר שלך אינו מנוהל על-ידי הארגון שלך, ניתן להפוך הגנה בזמן אמת ללא זמינה משורת הפקודה:

    mdatp config real-time-protection --value disabled

    Configuration property updated

    אם המכשיר שלך מנוהל על-ידי הארגון שלך, מנהל המערכת יכול להפוך את ההגנה בזמן אמת ללא זמינה באמצעות ההוראות תחת הגדרת העדפות עבור Defender עבור נקודת קצה ב- Linux.

    הערה

    אם בעיית הביצועים נמשכת כאשר הגנה בזמן אמת אינה פעילה, מקור הבעיה עשוי להיות רכיב הזיהוי והתגובה של נקודת הקצה (EDR). במקרה זה, בצע את השלבים המפורטים בסעיף פתרון בעיות ביצועים באמצעות Microsoft Defender עבור נקודת קצה Client Analyzer של מאמר זה.

  2. כדי למצוא את האפליקציות שמפעילות את רוב הסריקות, באפשרותך להשתמש בסטטיסטיקה בזמן אמת שנאסף על-ידי Defender for Endpoint ב- Linux.

    הערה

    תכונה זו זמינה בגירסה 100.90.70 ואילך.

    תכונה זו זמינה כברירת מחדל בערוצים Dogfood וב InsiderFast - ו. אם אתה משתמש בערוץ עדכונים אחר, ניתן להפוך תכונה זו לזמינה משורת הפקודה:

    mdatp config real-time-protection-statistics --value enabled

    תכונה זו דורשת הפעלה של הגנה בזמן אמת. כדי לבדוק את המצב של הגנה בזמן אמת, הפעל את הפקודה הבאה:

    mdatp health --field real_time_protection_enabled

    ודא שהערך real_time_protection_enabled הוא true. אחרת, הפעל את הפקודה הבאה כדי להפוך אותה לזמינה:

    mdatp config real-time-protection --value enabled

    Configuration property updated

    כדי לאסוף נתונים סטטיסטיים נוכחיים, הפעל את:

    mdatp diagnostic real-time-protection-statistics --output json

    הערה

    שימוש --output json (שים לב לקו המקף הכפול) מבטיח שתבנית הפלט מוכנה לניתוח מבנה טקסט.

    הפלט של פקודה זו מציג את כל התהליכים ואת פעילות הסריקה המשויכת שלהם.

  3. במערכת Linux, הורד את המנתח לדוגמה של Python high_cpu_parser.py באמצעות הפקודה:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py

    הפלט של פקודה זו אמור להיות דומה לפלט הבא:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1020 [text/plain]
Saving to: 'high_cpu_parser.py'
100%[===========================================>] 1,020    --.-K/s   in 0s

  4. הקלד את הפקודות הבאות:

    mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py

    הפלט שלעיל הוא רשימה של המשתתפים המובילים בבעיות ביצועים. העמודה הראשונה היא מזהה התהליך (PID), העמודה השניה היא שם התהליך והעמודה האחרונה היא מספר הקבצים הסרוקים, ממוינות לפי השפעה. לדוגמה, הפלט של הפקודה יהיה בערך כך:

    ... > mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py | head
27432 None 76703
73467 actool    1249
73914 xcodebuild 1081
73873 bash 1050
27475 None 836
1    launchd     407
73468 ibtool     344
549  telemetryd_v1   325
4764 None 228
125  CrashPlanService 164

    כדי לשפר את הביצועים של Defender for Endpoint ב- Linux, Total files scanned אתר את נקודת הקצה עם המספר הגבוה ביותר מתחת לשורה והוסף עבורה אי הכללה. לקבלת מידע נוסף, ראה קביעת תצורה ואי-אימות של פריטים שאינם נכללים ב- Defender for Endpoint ב- Linux.

    הערה

    היישום מאחסן נתונים סטטיסטיים בזיכרון ושומר רק על מעקב אחר פעילות הקבצים מאז שהותחלה וההגנה בזמן אמת הופעלה. תהליכים שהושקו לפני או במהלך תקופות שבהם לא נספרת הגנה בזמן אמת. בנוסף, נספרים רק אירועים שהפעילו סריקות.

פתרון בעיות ביצועים באמצעות Microsoft Defender עבור נקודת קצה Client Analyzer

חל על:

  • בעיות ביצועים של כל רכיבי Defender for Endpoint הזמינים, כגון AV ו- EDR

מנתח Microsoft Defender עבור נקודת קצה הלקוח (MDECA) יכול לאסוף מעקבים, יומני רישום ומידע אבחון כדי לפתור בעיות ביצועים במכשירים מחוברים ב- Linux.

הערה

  • הכלי Microsoft Defender עבור נקודת קצה Client Analyzer משמש באופן קבוע את שירותי התמיכה בלקוחות של Microsoft (CSS) כדי לאסוף מידע כגון (אך לא מוגבל) כתובות IP, שמות מחשבים שיעזרו לך לפתור בעיות שאתה עלול להיתקל בהן Microsoft Defender עבור נקודת קצה. לקבלת מידע נוסף על הצהרת הפרטיות שלנו, ראה הצהרת הפרטיות של Microsoft.
  • כשיטות עבודה מומלצות כלליות, מומלץ לעדכן את סוכן Microsoft Defender עבור נקודת קצה לגירסה העדכנית ביותר הזמינה ולא לוודא שהבעיה נמשכת לפני שתחקור אותה עוד יותר.

כדי להפעיל את מנתח הלקוח לפתרון בעיות ביצועים, ראה הפעלת מנתח הלקוח ב- macOS וב- Linux.

קביעת תצורה של אי-הכללות כלליות לקבלת ביצועים טובים יותר

הגדר Microsoft Defender עבור נקודת קצה ב- Linux עם אי-הכללות עבור התהליכים או מיקומי הדיסק שתורמים לבעיות הביצועים. למידע נוסף, ראה קביעת תצורה ואימות של פריטים לא כלולים עבור Microsoft Defender עבור נקודת קצה ב- Linux. אם עדיין יש לך בעיות ביצוע, פנה לתמיכה לקבלת הוראות נוספות והפחתת סיכונים.

פתרון בעיות בביצועי AuditD

רקע:

  • Microsoft Defender עבור נקודת קצה בהתפלגויות מערכת הפעלה של Linux נעשה שימוש במסגרת AuditD כדי לאסוף סוגים מסוימים של אירועי מדידת שימוש.

  • אירועי מערכת שנלכדו על-ידי כללים /etc/audit/rules.d/ שנוספו ל- audit.log(ים) ועשויים להשפיע על ביקורת מארחים ואיסוף במעלה הזרם.

  • אירועים שנוספו Microsoft Defender עבור נקודת קצה- Linux יתויגו עם mdatp מפתח.

  • אם תצורתו של שירות AuditD נקבעה באופן שגוי או לא מקוון, ייתכן שאירועים מסוימים חסרים. כדי לפתור בעיה כזו, עיין בנושא: פתרון בעיות של אירועים חסרים או התראות עבור Microsoft Defender עבור נקודת קצה ב- Linux.

בהמסי עבודה מסוימים של השרת, ניתן לפתור שתי בעיות:

  • High CPU צריכת משאבים מתהליך mdatp_audisp_plugin .

  • /var/log/audit/audit.log נעשה גדול או מסתובב לעתים קרובות.

בעיות אלה עלולות להתרחש בשרתים עם אירועים רבים מציפים את AuditD. בעיות כאלה יכולות להתעורר אם קיימים צרכנים מרובים עבור ביקורת, או כללים רבים מדי עם השילוב של Microsoft Defender עבור נקודת קצה וצרכנים של ספקים חיצוניים, או עומס עבודה גבוה שמפיק אירועים רבים. כדי לפתור בעיות כאלה, התחל על-ידי איסוף יומני MDEClientAnalyzer בשרת המושפע לדוגמה.

כשם העבודה המומלצת, מומלץ לקבוע את תצורת יומני הביקורת כך שיסתובבו כאשר תוגדר מגבלת גודל הקובץ המרבית. תצורה זו מונעת צבירת יומני ביקורת בקובץ יחיד, ובאפשרותך להעביר את קבצי יומן הרישום המסובבים החוצה כדי לחסוך בשטח דיסק. כדי להשיג זאת, באפשרותך להגדיר את הערך עבור בקובץ max_log_file_actionrotateauditd.conf .

הערה

כשם העבודה המומלצת הכללית, מומלץ לעדכן את סוכן Microsoft Defender עבור נקודת קצה לגירסה העדכנית ביותר הזמינה ולא לאשר שהבעיה נמשכת לפני המשך החקירות. קיימות תצורות נוספות שעשויות להשפיע על זן ה- CPU של מערכת המשנה Auditd. באופן ספציפי, ב - auditd.conf, disp_qos ניתן להגדיר את הערך עבור כדי להפחית lossy את צריכת המעבד הגבוה. עם זאת, משמעות הדבר היא שייתכן שאירועים מסוימים יושמטו במהלך צריכת ה- CPU המרבית.

XMDEClientAnalyzer

בעת שימוש ב - XMDEClientAnalyzer, הקבצים הבאים יציגו פלט המספק תובנות שיעזרו לך לפתור בעיות.

  • auditd_info.txt
  • auditd_log_analysis.txt

auditd_info.txt

מכילה תצורה כללית של ביקורת ומציגה את המידע הבא:

  • אילו תהליכים רשומים כצרכנים מביקורת.

  • Auditctl -s הפלט עם enabled=2 (הצע ביקורת נמצא במצב לא ניתן לשינוי (מחייב הפעלה מחדש כדי ששינויי התצורה ייכנסו לתוקף.)

  • Auditctl -loutput (מציג אילו כללים נטענים כעת לתוך הליבה, שעשויים להיות שונים ממה שקיים בדיסק ב- /etc/auditd/rules.d/mdatp.rules. מציג גם אילו כללים קשורים Microsoft Defender עבור נקודת קצה.)

auditd_log_analysis.txt

מכיל מידע מצטבר חשוב שימושי בעת חקירת בעיות ביצועים של AuditD.

  • איזה רכיב הוא הבעלים של האירועים המדווחים ביותר (Microsoft Defender עבור נקודת קצה אלה יתויגו עם key=mdatp).

  • מאתחלי הדיווח המובילים.

  • קריאות המערכת הנפוצות ביותר (אירועי רשת או מערכת קבצים ואחרים).

  • אילו נתיבי מערכת קבצים הם הנוהליים ביותר.

כדי לצמצם את רוב בעיות הביצועים המ ביקורת, באפשרותך ליישם אי-הכללה של ביקורת. אם אי-ההכללה הנתונה אינה משפרת את הביצועים, נוכל להשתמש באפשרות מגביל הקצבים. פעולה זו תפחית לחלוטין את מספר האירועים שנוצרים על-ידי ביקורת.

הערה

יש לכלול פריטים שלא ייכללו רק עבור איום נמוך או מאתחלי רעשים גבוהים או נתיבים. לדוגמה, אל תכלול /bin/bash המסתכן ביצירת נקודה עיוורת גדולה. שגיאות נפוצות להימנעות בעת הגדרת אי הכללות.

סוגי אי-הכללה

כלי התמיכה של XMDEClientAnalyzer מכיל תחביר שניתן להשתמש בו כדי להוסיף כללי תצורה של אי-הכללה של ביקורת.

אי הכללה מ ביקורת – עזרה עבור תחביר כלי התמיכה:

תחביר שניתן להשתמש בו כדי להוסיף כללי תצורה של אי-הכללה של ביקורת

לפי מאתחל

  • -e/ -exe נתיב בינארי מלא מסיר > את כל האירועים מאת מאתחל זה

לפי נתיב

  • -d / -dir נתיב מלא אל ספריה הסרת > אירועים של מערכת קבצים הייעד של ספריה זו

דוגמאות:

אם /opt/app/bin/app כתיבה ב- /opt/app/cfg/logs/1234.log, תוכל להשתמש בכלי התמיכה כדי לא לכלול אפשרויות שונות:

-e /opt/app/bin/app

-d /opt/app/cfg

-x /usr/bin/python /etc/usercfg

-d /usr/app/bin/

דוגמאות נוספות:

./mde_support_tool.sh exclude -p <process id>

./mde_support_tool.sh exclude -e <process name>

כדי לא לכלול יותר מפריט אחד - שרשר את הפריטים שלא ייכללו בשורה אחת:

./mde_support_tool.sh exclude -e <process name> -e <process name 2> -e <process name3>

הדגל -x משמש כדי לא לכלול גישה לספריות משנה של מאת מאתחלים ספציפיים, לדוגמה:

./mde_support_tool.sh exclude -x /usr/sbin/mv /tmp

האמור לעיל לא יכלול את הניטור של תיקיית המשנה /tmp, כאשר תלגשת אליו באמצעות תהליך mv.

מגביל תעריף

כלי התמיכה XMDEClientAnalyzer מכיל תחביר שניתן להשתמש בו כדי להגביל את מספר האירועים שדווחו על-ידי התוסף auditD. אפשרות זו תגדיר את מגבלת התעריף באופן כללי עבור AuditD וגורמת לתקלה בכל אירועי הביקורת.

הערה

יש להשתמש בפונקציונליות זו בקפידה כמגבלות מספר האירועים שדווחו על-ידי מערכת המשנה המדווחת כולה. פעולה זו עשויה להפחית את מספר האירועים גם עבור מנויים אחרים.

ניתן להשתמש באפשרות ratelimit כדי להפוך מגבלת קצב זו לזמינה/ללא זמינה.

לאפשר: ./mde_support_tool.sh ratelimit -e true

בטל: ./mde_support_tool.sh ratelimit -e false

כאשר ratelimit זמין, כלל יתווסף ב'מביקורת' כדי לטפל ב- 2500 אירועים/שנ'.

הערה

פנה לתמיכה של Microsoft אם אתה זקוק לעזרה בניתוח ובהפחתת בעיות ביצועים קשורות של ביקורת, או בפריסת אי-הכללות של AuditD בקנה מידה גדול.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.