Felsöka prestandaproblem för Microsoft Defender för Endpoint på macOS

Gäller för:

• Microsoft Defender XDR
• Microsoft Defender för Endpoint plan 1 och plan 2
• Microsoft Defender för enskilda användare

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller några allmänna steg som kan användas för att begränsa prestandaproblem som rör Defender för Endpoint på macOS.

Beroende på vilka program som du kör och enhetsegenskaperna kan du uppleva icke-optimala prestanda när du kör Microsoft Defender för Endpoint på macOS. I synnerhet kan program eller systemprocesser som har åtkomst till många resurser under en kort tidsintervall leda till prestandaproblem i Defender för Endpoint på macOS.

Varning

Innan du utför de procedurer som beskrivs i den här artikeln kontrollerar du att andra säkerhetsprodukter inte körs på enheten. Flera säkerhetsprodukter kan vara i konflikt med och påverka värdprestandan.

Felsöka prestandaproblem med hjälp av realtidsskyddsstatistik

Gäller för:

• Endast prestandaproblem som rör Microsoft Defender Antivirus (wdavdaemon_unpriviliged).

Realtidsskydd (RTP) är en funktion i Defender för Endpoint på macOS som kontinuerligt övervakar och skyddar din enhet mot hot. Den består av fil- och processövervakning och andra heuristiker.

Förutsättningar:

• Microsoft Defender för Endpoint version (Plattformsuppdatering) 100.90.70 eller senare
• Om du har manipuleringsskydd aktiverat i blockeringsläge använder du Felsökningsläge för att samla in statistik för realtidsskydd. Annars får du null-resultat.

Följ dessa steg för att felsöka och åtgärda sådana problem:

1. Inaktivera realtidsskydd med hjälp av någon av metoderna i följande tabell och se sedan om prestandan förbättras. Den här metoden hjälper till att begränsa om Microsoft Defender för Endpoint på macOS bidrar till prestandaproblemen.

   Enhetshantering	Metod
   Enheten hanteras inte av organisationen	Användargränssnitt: Öppna Microsoft Defender för Endpoint på macOS och gå till Hantera inställningar.
   Enheten hanteras inte av organisationen	Terminal: Kör följande kommando i terminalen: mdatp config real-time-protection --value disabled
   Enheten hanteras av organisationen	Se Ange inställningar för Microsoft Defender för Endpoint på macOS.

   Om prestandaproblemet kvarstår när realtidsskydd är inaktiverat kan problemets ursprung vara komponenten slutpunktsidentifiering och svar. I det här fallet kontaktar du kundsupporten för ytterligare instruktioner och åtgärder.

2. Öppna Finder och gå till Programverktyg>. Öppna Aktivitetsövervakaren och analysera vilka program som använder resurserna i systemet. Vanliga exempel är programuppdateringsprogram och kompilatorer.

3. Den här funktionen kräver att realtidsskydd aktiveras. Kör följande kommando för att kontrollera statusen för realtidsskydd:

   mdatp health --field real_time_protection_enabled
   

   Kontrollera att posten real_time_protection_enabled är sann. Annars kör du följande kommando för att aktivera det:

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

4. Om du vill hitta de program som utlöser flest genomsökningar kan du använda realtidsstatistik som samlats in av Defender för Endpoint på macOS. Kör följande kommando:

   mdatp config real-time-protection-statistics --value enabled.
   

   Den här funktionen kräver att realtidsskydd aktiveras. Kör följande kommando för att kontrollera statusen för realtidsskydd:

   mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
   

   Obs!

   Genom att använda --output json (observera dubbelstreck) ser du till att utdataformatet är redo för parsning. Utdata från det här kommandot visar alla processer och deras associerade genomsökningsaktivitet.

5. I Mac-systemet laddar du ned Python-exempelparsern high_cpu_parser.py med kommandot :

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
   

   Utdata för det här kommandot bör likna följande:

   --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
   mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
   Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
   Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 1020 [text/plain]
   Saving to: 'high_cpu_parser.py'
   100%[===========================================>] 1,020    --.-K/s   in
   0s
   

6. Skriv följande kommandon:

   chmod +x high_cpu_parser.py
   

   cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
   

   Utdata bör vara en lista över de främsta bidragsgivarna till prestandaproblem. Den första kolumnen är processidentifieraren (PID), den andra kolumnen är processnamnet och den sista kolumnen är antalet skannade filer, sorterade efter påverkan. Här är ett exempel:

   ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
   27432 None 76703
   73467 actool     1249
   73914 xcodebuild 1081
   73873 bash 1050
   27475 None 836
   1    launchd    407
   73468 ibtool     344
   549  telemetryd_v1   325
   4764 None 228
   125  CrashPlanService 164
   

7. Om du vill förbättra prestandan för Defender för Endpoint på Mac letar du upp den med det högsta antalet under raden Totalt antal filer som genomsökts och lägger sedan till ett undantag för den. Mer information finns i Konfigurera och validera undantag för Defender för Endpoint på macOS.

   Obs!

   Programmet lagrar statistik i minnet och håller bara reda på filaktiviteten sedan den startades och realtidsskyddet aktiverades. Processer som startades före eller under perioder då realtidsskydd var inaktiverat räknas inte. Dessutom räknas endast händelser som utlöste genomsökningar.

8. Konfigurera Microsoft Defender för Endpoint på macOS med undantag för processer eller diskplatser som bidrar till prestandaproblemen och återaktiverar realtidsskydd.

   Se Konfigurera och validera undantag för Microsoft Defender för Endpoint på macOS.

Felsöka prestandaproblem med Microsoft Defender för Endpoint Client Analyzer

Microsoft Defender för Endpoint Client Analyzer (MDECA) kan samla in spårningar, loggar och diagnostikinformation för att felsöka prestandaproblem på registrerade enheter i macOS.

Information om hur du kör klientanalys för felsökning av prestandaproblem finns i Köra klientanalys på macOS och Linux.

Obs!

• Verktyget Microsoft Defender för Endpoint Client Analyzer används regelbundet av Microsoft Customer Support Services (CSS) för att samla in information som (men inte begränsat till) IP-adresser, datornamn som hjälper dig att felsöka problem som kan uppstå med Microsoft Defender för Endpoint. Mer information om vår sekretesspolicy finns i Microsofts sekretesspolicy.
• Som en allmän metod rekommenderar vi att du uppdaterar Microsoft Defender för Endpoint agenten till den senaste tillgängliga versionen och bekräftar att problemet kvarstår innan du undersöker vidare.