Linux'ta Uç Nokta için Microsoft Defender performans sorunlarını giderme
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Bu belgede, mevcut kaynak yetersizliklerini ve sistemi bu tür durumlara dönüştüren işlemleri anlamak ve azaltmak için kullanılabilir tanılama araçlarını kullanarak Linux'ta Uç Nokta için Defender ile ilgili performans sorunlarının nasıl daraltılacağına ilişkin yönergeler sağlanır. Performans sorunları, sistemdeki kaynak kullanımı profiline bağlı olarak bir veya daha fazla donanım alt sistemindeki performans sorunlarına neden olur. Bazen uygulamalar disk G/Ç kaynaklarına duyarlıdır ve daha fazla CPU kapasitesine ihtiyaç duyar ve bazen bazı yapılandırmalar sürdürülebilir değildir ve çok fazla yeni işlem tetikleyebilir ve çok fazla dosya tanımlayıcısı açabilir.
Çalıştırdığınız uygulamalara ve cihazınızın özelliklerine bağlı olarak, Linux'ta Uç Nokta için Defender'ı çalıştırırken en iyi performansın altında bir performansla karşılaşabilirsiniz. Özellikle CPU, Disk ve Bellek gibi birçok kaynağa kısa bir süre boyunca erişen uygulamalar veya sistem işlemleri Linux üzerinde Uç Nokta için Defender'da performans sorunlarına yol açabilir.
Uyarı
Başlamadan önce lütfen cihazda şu anda diğer güvenlik ürünlerinin çalışmadığından emin olun. Birden çok güvenlik ürünü çakışabilir ve konak performansını etkileyebilir.
Gerçek Zamanlı Koruma İstatistiklerini kullanarak performans sorunlarını giderme
Şunlar için geçerlidir:
- Yalnızca AV ile ilgili performans sorunları
Gerçek zamanlı koruma (RTP), Linux'ta cihazınızı sürekli izleyen ve tehditlere karşı koruyan bir Uç Nokta için Defender özelliğidir. Dosya ve süreç izleme ve diğer buluşsal yöntemlerden oluşur.
Bu sorunları gidermek ve azaltmak için aşağıdaki adımlar kullanılabilir:
Aşağıdaki yöntemlerden birini kullanarak gerçek zamanlı korumayı devre dışı bırakın ve performansın iyileşip iyileşmediğini gözlemleyin. Bu yaklaşım, Linux'ta Uç Nokta için Defender'ın performans sorunlarına katkıda bulunup bulunmadığını daraltmaya yardımcı olur.
Cihazınız kuruluşunuz tarafından yönetilmiyorsa, gerçek zamanlı koruma komut satırından devre dışı bırakılabilir:
mdatp config real-time-protection --value disabled
Configuration property updated
Cihazınız kuruluşunuz tarafından yönetiliyorsa, Linux'ta Uç Nokta için Defender tercihlerini ayarlama başlığı altındaki yönergeler kullanılarak gerçek zamanlı koruma yöneticiniz tarafından devre dışı bırakılabilir.
Not
Gerçek zamanlı koruma kapalıyken performans sorunu devam ederse, sorunun kaynağı uç nokta algılama ve yanıt (EDR) bileşeni olabilir. Bu durumda lütfen bu makalenin Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ni kullanarak performans sorunlarını giderme bölümündeki adımları izleyin.
En çok taramayı tetikleyen uygulamaları bulmak için, Linux'ta Uç Nokta için Defender tarafından toplanan gerçek zamanlı istatistikleri kullanabilirsiniz.
Not
Bu özellik 100.90.70 veya daha yeni sürümlerde kullanılabilir.
Bu özellik ve
InsiderFast
kanallarındaDogfood
varsayılan olarak etkindir. Farklı bir güncelleştirme kanalı kullanıyorsanız, bu özellik komut satırından etkinleştirilebilir:mdatp config real-time-protection-statistics --value enabled
Bu özelliğin etkinleştirilmesi için gerçek zamanlı koruma gerekir. Gerçek zamanlı korumanın durumunu denetlemek için aşağıdaki komutu çalıştırın:
mdatp health --field real_time_protection_enabled
Girdinin
real_time_protection_enabled
olduğunutrue
doğrulayın. Aksi takdirde, etkinleştirmek için aşağıdaki komutu çalıştırın:mdatp config real-time-protection --value enabled
Configuration property updated
Geçerli istatistikleri toplamak için şunu çalıştırın:
mdatp diagnostic real-time-protection-statistics --output json
Not
Kullanmak
--output json
(çift çizgiye dikkat edin), çıkış biçiminin ayrıştırma için hazır olmasını sağlar.Bu komutun çıkışı tüm işlemleri ve bunların ilişkili tarama etkinliğini gösterir.
Linux sisteminizde komutunu kullanarak örnek Python ayrıştırıcısını high_cpu_parser.py indirin:
wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
Bu komutun çıkışı aşağıdakine benzer olmalıdır:
--2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected. HTTP request sent, awaiting response... 200 OK Length: 1020 [text/plain] Saving to: 'high_cpu_parser.py' 100%[===========================================>] 1,020 --.-K/s in 0s
Ardından, aşağıdaki komutları yazın:
mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py
Yukarıdaki çıkışı, performans sorunlarına en çok katkıda bulunanların listesidir. İlk sütun işlem tanımlayıcısı (PID), ikinci sütun işlem adı ve son sütun ise etkilenen öğeye göre sıralanmış taranan dosyaların sayısıdır. Örneğin, komutun çıkışı aşağıdakine benzer olacaktır:
... > mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py | head 27432 None 76703 73467 actool 1249 73914 xcodebuild 1081 73873 bash 1050 27475 None 836 1 launchd 407 73468 ibtool 344 549 telemetryd_v1 325 4764 None 228 125 CrashPlanService 164
Linux'ta Uç Nokta için Defender'ın performansını geliştirmek için satırın altında
Total files scanned
en yüksek sayıya sahip olanı bulun ve bunun için bir dışlama ekleyin. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Defender dışlamalarını yapılandırma ve doğrulama.Not
Uygulama istatistiği bellekte depolar ve yalnızca başlatıldığından ve gerçek zamanlı koruma etkinleştirildiğinden beri dosya etkinliğini izler. Gerçek zamanlı korumanın kapalı olduğu dönemlerde veya öncesinde başlatılan işlemler sayılmaz. Ayrıca, yalnızca taramaları tetikleyen olaylar sayılır.
Performans sorunlarına katkıda bulunan işlemler veya disk konumları için dışlamalarla Linux'ta Uç Nokta için Microsoft Defender yapılandırın ve gerçek zamanlı korumayı yeniden etkinleştirin.
Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender dışlamaları yapılandırma ve doğrulama.
Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ni kullanarak performans sorunlarını giderme
Şunlar için geçerlidir:
- AV ve EDR gibi tüm kullanılabilir Uç Nokta için Defender bileşenlerinin performans sorunları
Uç Nokta için Microsoft Defender İstemci Çözümleyicisi (MDECA), Linux'ta eklenen cihazlardaki performans sorunlarını gidermek için izlemeleri, günlükleri ve tanılama bilgilerini toplayabilir.
Not
- Uç Nokta için Microsoft Defender İstemci Çözümleyicisi aracı, Microsoft Müşteri Destek Hizmetleri (CSS) tarafından düzenli olarak IP adresleri, Uç Nokta için Microsoft Defender karşılaştığınız sorunları gidermeye yardımcı olacak bilgisayar adları gibi bilgileri toplamak için kullanılır. Gizlilik bildirimimiz hakkında daha fazla bilgi için bkz. Microsoft Gizlilik Bildirimi.
- Genel bir en iyi uygulama olarak, Uç Nokta için Microsoft Defender aracısını en son kullanılabilir sürüme güncelleştirmeniz ve daha fazla araştırma yapmadan önce sorunun hala devam ettiğini onaylamanız önerilir.
Performans sorunlarını gidermek üzere istemci çözümleyicisini çalıştırmak için bkz. macOS ve Linux üzerinde istemci çözümleyicisini çalıştırma.
Not
Yukarıdaki adımların ardından performans sorununun devam etmesi durumunda, daha fazla yönerge ve risk azaltma için lütfen müşteri desteğine başvurun.
AuditD performance sorunlarını giderin
Arka plan:
Linux işletim sistemi dağıtımlarında Uç Nokta için Microsoft Defender, belirli türlerdeki telemetri olaylarını toplamak için AuditD çerçevesini kullanır.
'a
/etc/audit/rules.d/
eklenen kurallar tarafından yakalanan sistem olayları audit.log ekler ve konak denetimini ve yukarı akış koleksiyonunu etkileyebilir.Linux'ta Uç Nokta için Microsoft Defender tarafından eklenen olaylar anahtarla
mdatp
etiketlenir.AuditD hizmeti yanlış yapılandırılmış veya çevrimdışıysa, bazı olaylar eksik olabilir. Böyle bir sorunu gidermek için bkz. Linux'ta Uç Nokta için Microsoft Defender için eksik olayları veya uyarı sorunlarını giderme.
Bazı sunucu iş yüklerinde iki sorun gözlemlenebilir:
mdatp_audisp_plugin işlemden yüksek CPU kaynak tüketimi.
/var/log/audit/audit.log büyük veya sık dönen hale geliyor.
Bu sorunlar, AuditD'yi su basan birçok olayı olan sunucularda oluşabilir.
Not
En iyi yöntem olarak, denetim günlüklerini maksimum dosya boyutu sınırına ulaşıldığında döndürülecek şekilde yapılandırmanızı öneririz.
Bu, Denetimli günlüklerin tek bir dosyada birikmesini engeller ve döndürülen günlük dosyaları disk alanından tasarruf etmek için taşınabilir.
Bunu başarmak için, max_log_file_action değerini auditd.conf dosyasında döndürecek şekilde ayarlayabilirsiniz.
AuditD için birden çok tüketici veya Uç Nokta için Microsoft Defender ve üçüncü taraf tüketicilerin birleşimiyle çok fazla kural veya çok fazla olay oluşturan yüksek iş yükü varsa bu durum oluşabilir.
Bu tür sorunları gidermek için, etkilenen örnek sunucuda MDEClientAnalyzer günlüklerini toplayarak başlayın.
Not
Genel bir en iyi uygulama olarak, Uç Nokta için Microsoft Defender aracısını en son kullanılabilir sürüme güncelleştirmeniz ve daha fazla araştırma yapmadan önce sorunun devam edip etmediğini onaylamanız önerilir.
AuditD alt sistem CPU zorluğunu etkileyebilecek ek yapılandırmalar olduğunu.
Özellikle auditd.conf dosyasında yüksek CPU tüketimini azaltmak için disp_qos değeri "kayıplı" olarak ayarlanabilir.
Ancak bu, yoğun CPU tüketimi sırasında bazı olayların bırakılabileceği anlamına gelir.
XMDEClientAnalyzer
XMDEClientAnalyzer kullandığınızda, aşağıdaki dosyalar sorunları gidermenize yardımcı olacak içgörüler sağlayan bir çıktı görüntüler.
- auditd_info.txt
- auditd_log_analysis.txt
auditd_info.txt
Genel AuditD yapılandırmasını içerir ve şunları görüntüler:
Hangi işlemlerin AuditD tüketicileri olarak kaydedildiği.
Enabled=2 ile Auditctl -s çıkışı
- Denetlenenlerin sabit modda olduğunu önerir (yapılandırma değişikliklerinin etkili olması için yeniden başlatma gerektirir).
Auditctl -l çıkışı
Şu anda çekirdeğe hangi kuralların yüklendiğini gösterir (diskteki "/etc/auditd/rules.d/mdatp.rules" içinde bulunan kurallar farklı olabilir).
hangi kuralların Uç Nokta için Microsoft Defender ile ilişkili olduğunu gösterir.
auditd_log_analysis.txt
Denetimli performans sorunlarını araştırırken yararlı olan önemli toplu bilgiler içerir.
En çok bildirilen olayların sahibi hangi bileşendir (Uç Nokta için Microsoft Defender olaylar ile
key=mdatp
etiketlenir).En iyi raporlama başlatıcıları.
En yaygın sistem çağrıları (ağ veya dosya sistemi olayları ve diğerleri).
En gürültülü dosya sistemi yollarıdır.
Denetimli performans sorunlarının çoğunu azaltmak için Denetimli dışlama uygulayabilirsiniz. Verilen dışlamalar performansı geliştirmezse hız sınırlayıcı seçeneğini kullanabiliriz. Bu, AuditD tarafından oluşturulan olayların sayısını tamamen azaltır.
Not
Dışlamalar yalnızca düşük tehdit ve yüksek kirlilik başlatıcıları veya yolları için yapılmalıdır. Örneğin, büyük bir kör nokta oluşturma riski taşıyan /bin/bash'i hariç tutmayın. Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar.
Dışlama Türleri
XMDEClientAnalyzer destek aracı, AuditD dışlama yapılandırma kurallarını eklemek için kullanılabilecek söz dizimi içerir:
AuditD dışlama – destek aracı söz dizimi yardımı:
Başlatıcı tarafından
- -e/ -exe tam ikili yolu > Bu başlatıcı tarafından tüm olayları kaldırır
Yola göre
- -d / -dir dizinin tam yolu Bu dizini > hedefleyen dosya sistemi olaylarını kaldırır
Örnekler:
"/opt/app/bin/app
" ifadesi "/opt/app/cfg/logs/1234.log
" olarak yazılırsa, çeşitli seçeneklerle dışlamak için destek aracını kullanabilirsiniz:
-e /opt/app/bin/app
-d /opt/app/cfg
-x /usr/bin/python /etc/usercfg
-d /usr/app/bin/
Diğer örnekler:
./mde_support_tool.sh exclude -p <process id>
./mde_support_tool.sh exclude -e <process name>
Birden fazla öğeyi dışlamak için dışlamaları tek bir satırda birleştirin:
./mde_support_tool.sh exclude -e <process name> -e <process name 2> -e <process name3>
-x bayrağı, belirli başlatıcılar tarafından alt dizinlere erişimi dışlamak için kullanılır, örneğin:
./mde_support_tool.sh exclude -x /usr/sbin/mv /tmp
Yukarıdakiler, mv işlemi tarafından erişildiğinde /tmp alt klasörünün izlenmesini dışlar.
Hız Sınırlayıcısı
XMDEClientAnalyzer destek aracı, auditD eklentisi tarafından bildirilen olay sayısını sınırlamak için kullanılabilecek söz dizimi içerir. Bu seçenek, Tüm denetim olaylarında düşüşe neden olan AuditD için genel olarak hız sınırını ayarlar.
Not
Bu işlev, denetlenen alt sistem tarafından bir bütün olarak bildirilen olay sayısını sınırlar olarak dikkatle kullanılmalıdır. Bu, diğer abonelerin olay sayısını da azaltabilir.
Bu hız sınırını etkinleştirmek/devre dışı bırakmak için ratelimit seçeneği kullanılabilir.
Etkinleştirmek: ./mde_support_tool.sh ratelimit -e true
Devre dışı bırakmak: ./mde_support_tool.sh ratelimit -e false
Hız sınırı etkinleştirildiğinde, 2500 olayı/sn'yi işlemek için Denetimli'ye bir kural eklenir.
Not
AuditD ile ilgili performans sorunlarını analiz etme ve azaltma veya Denetimli dışlamaları büyük ölçekte dağıtma konusunda yardıma ihtiyacınız varsa lütfen Microsoft desteğine başvurun.
Ayrıca bkz.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.