Rozwiązywanie problemów z wydajnością usługi Microsoft Defender dla punktu końcowego w systemie macOS
Dotyczy:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 1 i Plan 2
- Usługa Microsoft Defender dla użytkowników indywidualnych
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ten artykuł zawiera ogólne kroki, których można użyć do zawężenia problemów z wydajnością związanych z usługą Defender for Endpoint w systemie macOS.
W zależności od uruchomionych aplikacji i charakterystyk urządzenia może wystąpić nieoptymalna wydajność podczas uruchamiania usługi Microsoft Defender for Endpoint w systemie macOS. W szczególności aplikacje lub procesy systemowe uzyskujące dostęp do wielu zasobów w krótkim czasie mogą prowadzić do problemów z wydajnością w usłudze Defender for Endpoint w systemie macOS.
Ostrzeżenie
Przed wykonaniem procedur opisanych w tym artykule upewnij się, że inne produkty zabezpieczające nie są obecnie uruchomione na urządzeniu. Wiele produktów zabezpieczeń może powodować konflikty i wpływać na wydajność hosta.
Rozwiązywanie problemów z wydajnością przy użyciu statystyk ochrony w czasie rzeczywistym
Dotyczy:
- Tylko problemy z wydajnością związane z programem antywirusowym Microsoft Defender (
wdavdaemon_unprivileged).
Ochrona w czasie rzeczywistym (RTP) to funkcja usługi Defender for Endpoint w systemie macOS, która stale monitoruje i chroni urządzenie przed zagrożeniami. Składa się z monitorowania plików i procesów oraz innych heurystycznych.
Wymagania wstępne:
- Microsoft Defender dla wersji punktu końcowego (Aktualizacja platformy) 100.90.70 lub nowszej
- Jeśli ochrona przed naruszeniami jest włączona w trybie bloku, użyj trybu rozwiązywania problemów , aby przechwycić statystyki ochrony w czasie rzeczywistym. W przeciwnym razie otrzymasz wyniki o wartości null.
Porada
Ogólnie rzecz biorąc, zaleca się zaktualizowanie agenta usługi Microsoft Defender for Endpoint do najnowszej dostępnej wersji i potwierdzenie, że problem nadal występuje przed dalszym badaniem.
Aby rozwiązać i rozwiązać problemy z wydajnością, wykonaj następujące kroki:
Wyłącz ochronę w czasie rzeczywistym przy użyciu jednej z metod w poniższej tabeli, a następnie sprawdź, czy wydajność się poprawia. Takie podejście pomaga zawęzić, czy usługa Microsoft Defender dla punktu końcowego w systemie macOS przyczynia się do problemów z wydajnością.
Zarządzanie urządzeniami Metoda Urządzenie nie jest zarządzane przez organizację Interfejs użytkownika: otwórz usługę Microsoft Defender dla punktu końcowego w systemie macOS i przejdź do pozycji Zarządzaj ustawieniami. Urządzenie nie jest zarządzane przez organizację Terminal: W terminalu uruchom następujące polecenie: mdatp config real-time-protection --value disabledUrządzenie jest zarządzane przez organizację Zobacz Ustawianie preferencji dla usługi Microsoft Defender dla punktu końcowego w systemie macOS. Jeśli problem z wydajnością będzie się powtarzać, gdy ochrona w czasie rzeczywistym jest wyłączona, źródłem problemu może być składnik wykrywania punktów końcowych i reagowania. W takim przypadku skontaktuj się z pomocą techniczną, aby uzyskać dalsze instrukcje i środki zaradcze.
Otwórz aplikację Finder i przejdź doobszaru Narzędziaaplikacji>. Otwórz monitor aktywności i przeanalizuj, które aplikacje używają zasobów w systemie. Typowe przykłady obejmują aktualizacje oprogramowania i kompilatory.
Ta funkcja wymaga włączenia ochrony w czasie rzeczywistym. Aby sprawdzić stan ochrony w czasie rzeczywistym, uruchom następujące polecenie:
mdatp health --field real_time_protection_enabledSprawdź, czy wpis real_time_protection_enabled ma wartość true. W przeciwnym razie uruchom następujące polecenie, aby go włączyć:
mdatp config real-time-protection --value enabledConfiguration property updatedAby znaleźć aplikacje wyzwalające najwięcej skanów, możesz użyć statystyk w czasie rzeczywistym zebranych przez usługę Defender for Endpoint w systemie macOS. Uruchom następujące polecenie, aby go włączyć:
mdatp config real-time-protection-statistics --value enabledPorada
Przed kontynuowaniem przechwytywania danych upewnij się, że wysokie wykorzystanie procesora CPU występuje w wdavdaemon_unprivileged przez uruchomienie górnej lub otwierającej
activity monitor.Aby uzyskać dane wyjściowe do pliku json, uruchom następujące polecenie:
mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.jsonUwaga
Użycie
--output json(zwróć uwagę na podwójną kreskę) gwarantuje, że format wyjściowy jest gotowy do analizowania. W danych wyjściowych tego polecenia zostaną wyświetlone wszystkie procesy i skojarzone z nimi działania skanowania.W systemie Mac pobierz przykładowy analizator
high_cpu_parser.pyjęzyka Python przy użyciu polecenia:curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.pyDane wyjściowe tego polecenia powinny być podobne do następujących:
--2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft. mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected. HTTP request sent, awaiting response... 200 OK Length: 1020 [text/plain] Saving to: 'high_cpu_parser.py' 100%[===========================================>] 1,020 --.-K/s in 0sWpisz następujące polecenia:
chmod +x high_cpu_parser.pycat real_time_protection.json | python high_cpu_parser.py > real_time_protection.logDane wyjściowe powinny być listą najważniejszych współautorów problemów z wydajnością. Pierwsza kolumna to identyfikator procesu (PID), druga kolumna to nazwa procesu, a ostatnia kolumna to liczba zeskanowanych plików posortowanych według wpływu. Oto przykład:
... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10 27432 None 76703 73467 actool 1249 73914 xcodebuild 1081 73873 bash 1050 27475 None 836 1 launchd 407 73468 ibtool 344 549 telemetryd_v1 325 4764 None 228 125 CrashPlanService 164Aby zwiększyć wydajność usługi Defender for Endpoint na komputerze Mac, znajdź usługę z największą liczbą w wierszu Zeskanowanych plików, a następnie dodaj dla niego wykluczenie. Aby uzyskać więcej informacji, zobacz Konfigurowanie i weryfikowanie wykluczeń dla usługi Defender dla punktu końcowego w systemie macOS.
Uwaga
Aplikacja przechowuje statystyki w pamięci i śledzi tylko aktywność plików od momentu jej uruchomienia i włączono ochronę w czasie rzeczywistym. Procesy, które zostały uruchomione przed lub w okresach, w których ochrona w czasie rzeczywistym była wyłączona, nie są liczone. Ponadto są liczone tylko zdarzenia, które wyzwoliły skanowania.
Skonfiguruj usługę Microsoft Defender dla punktu końcowego w systemie macOS z wykluczeniami dla procesów lub lokalizacji dysków, które przyczyniają się do problemów z wydajnością i ponownie włącz ochronę w czasie rzeczywistym.
Rozwiązywanie problemów z wydajnością przy użyciu programu Microsoft Defender for Endpoint Client Analyzer
Narzędzie Microsoft Defender for Endpoint Client Analyzer (MDECA) może zbierać dane śledzenia, dzienniki i informacje diagnostyczne w celu rozwiązywania problemów z wydajnością na dołączonych urządzeniach w systemie macOS.
Aby uruchomić analizator klienta w celu rozwiązywania problemów z wydajnością, zobacz Uruchamianie analizatora klienta w systemach macOS i Linux.
Uwaga
Narzędzie Microsoft Defender for Endpoint Client Analyzer jest regularnie używane przez usługi pomocy technicznej firmy Microsoft (CSS) do zbierania informacji, takich jak (ale nie tylko) adresy IP, nazwy komputerów, które pomogą rozwiązać problemy, które mogą wystąpić w usłudze Microsoft Defender for Endpoint. Aby uzyskać więcej informacji na temat zasad zachowania poufności informacji, zobacz Zasady zachowania poufności informacji firmy Microsoft.