Prestatieproblemen voor Microsoft Defender voor Eindpunt in Linux oplossen

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Dit document bevat instructies voor het beperken van prestatieproblemen met betrekking tot Defender voor Eindpunt in Linux met behulp van de beschikbare diagnostische hulpprogramma's om de bestaande resourcetekorten en de processen die het systeem in dergelijke situaties brengen, te begrijpen en te beperken. Prestatieproblemen worden voornamelijk veroorzaakt door knelpunten in een of meer hardwaresubsystemen, afhankelijk van het resourcegebruiksprofiel op het systeem. Soms zijn toepassingen gevoelig voor schijf-I/O-resources en hebben ze mogelijk meer CPU-capaciteit nodig, en soms zijn sommige configuraties niet duurzaam en kunnen ze te veel nieuwe processen activeren en te veel bestandsbeschrijvingen openen.

Afhankelijk van de toepassingen die u uitvoert en de kenmerken van uw apparaat, kunt u suboptimale prestaties ervaren bij het uitvoeren van Defender voor Eindpunt in Linux. Met name toepassingen of systeemprocessen die in korte tijd toegang hebben tot veel resources, zoals CPU, Schijf en Geheugen, kunnen leiden tot prestatieproblemen in Defender voor Eindpunt op Linux.

Waarschuwing

Voordat u begint, controleert u of er momenteel geen andere beveiligingsproducten op het apparaat worden uitgevoerd. Meerdere beveiligingsproducten kunnen een conflict veroorzaken en invloed hebben op de prestaties van de host.

Prestatieproblemen oplossen met behulp van realtime beveiligingsstatistieken

Van toepassing op:

  • Alleen prestatieproblemen met betrekking tot AV

Realtime-beveiliging (RTP) is een functie van Defender voor Eindpunt op Linux waarmee uw apparaat continu wordt bewaakt en beschermd tegen bedreigingen. Het bestaat uit bestands- en procesbewaking en andere heuristieken.

De volgende stappen kunnen worden gebruikt om deze problemen op te lossen:

  1. Schakel realtimebeveiliging uit met behulp van een van de volgende methoden en kijk of de prestaties verbeteren. Met deze benadering kunt u bepalen of Defender voor Eindpunt in Linux bijdraagt aan de prestatieproblemen.

    Als uw apparaat niet wordt beheerd door uw organisatie, kan realtime-beveiliging worden uitgeschakeld vanaf de opdrachtregel:

    mdatp config real-time-protection --value disabled
    
    Configuration property updated
    

    Als uw apparaat wordt beheerd door uw organisatie, kan realtime-beveiliging worden uitgeschakeld door de beheerder met behulp van de instructies in Voorkeuren instellen voor Defender voor Eindpunt in Linux.

    Opmerking

    Als het prestatieprobleem zich blijft voordoen terwijl realtime-beveiliging is uitgeschakeld, kan de oorzaak van het probleem het EDR-onderdeel (Endpoint Detection and Response) zijn. In dit geval volgt u de stappen in de sectie Prestatieproblemen oplossen met behulp van Microsoft Defender voor Eindpunt Client Analyzer van dit artikel.

  2. Als u de toepassingen wilt vinden die de meeste scans activeren, kunt u realtime-statistieken gebruiken die zijn verzameld door Defender voor Eindpunt in Linux.

    Opmerking

    Deze functie is beschikbaar in versie 100.90.70 of hoger.

    Deze functie is standaard ingeschakeld op de Dogfood kanalen en InsiderFast . Als u een ander updatekanaal gebruikt, kan deze functie worden ingeschakeld vanaf de opdrachtregel:

    mdatp config real-time-protection-statistics --value enabled
    

    Voor deze functie moet realtime-beveiliging worden ingeschakeld. Voer de volgende opdracht uit om de status van realtime-beveiliging te controleren:

    mdatp health --field real_time_protection_enabled
    

    Controleer of de real_time_protection_enabled vermelding is true. Voer anders de volgende opdracht uit om deze in te schakelen:

    mdatp config real-time-protection --value enabled
    
    Configuration property updated
    

    Als u de huidige statistieken wilt verzamelen, voert u het volgende uit:

    mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
    

    Opmerking

    Als u --output json (let op het dubbele streepje) gebruikt, zorgt u ervoor dat de uitvoerindeling gereed is voor parseren.

    In de uitvoer van deze opdracht worden alle processen en de bijbehorende scanactiviteit weergegeven.

  3. Download op uw Linux-systeem de python-voorbeeldparser high_cpu_parser.py met behulp van de opdracht:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
    

    De uitvoer van deze opdracht moet er ongeveer als volgt uitzien:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
    Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
    Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1020 [text/plain]
    Saving to: 'high_cpu_parser.py'
    100%[===========================================>] 1,020    --.-K/s   in 0s
    
  4. Typ vervolgens de volgende opdrachten:

    chmod +x high_cpu_parser.py
    
    cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
    

    De uitvoer van het bovenstaande is een lijst met de belangrijkste bijdragers aan prestatieproblemen. De eerste kolom is de proces-id (PID), de tweede kolom is de procesnaam en de laatste kolom is het aantal gescande bestanden, gesorteerd op impact. De uitvoer van de opdracht ziet er bijvoorbeeld ongeveer als hieronder uit:

    ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
    27432 None 76703
    73467 actool    1249
    73914 xcodebuild 1081
    73873 bash 1050
    27475 None 836
    1    launchd     407
    73468 ibtool     344
    549  telemetryd_v1   325
    4764 None 228
    125  CrashPlanService 164
    

    Als u de prestaties van Defender voor Eindpunt in Linux wilt verbeteren, zoekt u het nummer met het hoogste getal onder de Total files scanned rij en voegt u er een uitsluiting voor toe. Zie Uitsluitingen configureren en valideren voor Defender voor Eindpunt in Linux voor meer informatie.

    Opmerking

    De toepassing slaat statistieken op in het geheugen en houdt alleen de bestandsactiviteit bij sinds deze is gestart en realtime-beveiliging is ingeschakeld. Processen die zijn gestart voor of tijdens perioden waarin realtime-beveiliging was uitgeschakeld, worden niet meegeteld. Bovendien worden alleen gebeurtenissen geteld die scans hebben geactiveerd.

  5. Configureer Microsoft Defender voor Eindpunt op Linux met uitsluitingen voor de processen of schijflocaties die bijdragen aan de prestatieproblemen en schakel realtimebeveiliging opnieuw in.

    Zie Uitsluitingen configureren en valideren voor Microsoft Defender voor Eindpunt op Linux voor meer informatie.

Prestatieproblemen oplossen met Microsoft Defender voor Eindpunt Client Analyzer

Van toepassing op:

  • Prestatieproblemen van alle beschikbare Defender voor Eindpunt-onderdelen, zoals AV en EDR

De Microsoft Defender voor Eindpunt Client Analyzer (MDECA) kan traceringen, logboeken en diagnostische gegevens verzamelen om prestatieproblemen op onboardingsapparaten in macOS op te lossen.

Opmerking

  • Het hulpprogramma Microsoft Defender voor Eindpunt Client Analyzer wordt regelmatig gebruikt door Microsoft Customer Support Services (CSS) om informatie te verzamelen, zoals (maar niet beperkt tot) IP-adressen, pc-namen waarmee u problemen kunt oplossen die u mogelijk ondervindt met Microsoft Defender voor Eindpunt. Zie Privacyverklaring van Microsoft voor meer informatie over onze privacyverklaring.
  • Als algemene best practice wordt aanbevolen om de Microsoft Defender voor Eindpunt agent bij te werken naar de meest recente beschikbare versie en te bevestigen dat het probleem zich blijft voordoen voordat u verder onderzoek doet.

Zie De clientanalyse uitvoeren op macOS en Linux om de clientanalyse uit te voeren voor het oplossen van prestatieproblemen.

Opmerking

Als het prestatieprobleem zich blijft voordoen nadat u de bovenstaande stappen hebt uitgevoerd, neemt u contact op met de klantondersteuning voor verdere instructies en oplossingen.

Zie ook