Aracılığıyla paylaş

Linux'ta Uç Nokta için Microsoft Defender performans sorunlarını giderme

  • Makale

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Bu belgede, mevcut kaynak yetersizliklerini ve sistemi bu tür durumlara dönüştüren işlemleri anlamak ve azaltmak için kullanılabilir tanılama araçlarını kullanarak Linux'ta Uç Nokta için Defender ile ilgili performans sorunlarının nasıl daraltılacağına ilişkin yönergeler sağlanır. Performans sorunları, sistemdeki kaynak kullanımı profiline bağlı olarak bir veya daha fazla donanım alt sistemindeki performans sorunlarına neden olur. Bazen uygulamalar disk G/Ç kaynaklarına duyarlıdır ve daha fazla CPU kapasitesine ihtiyaç duyar ve bazen bazı yapılandırmalar sürdürülebilir değildir ve çok fazla yeni işlem tetikleyebilir ve çok fazla dosya tanımlayıcısı açabilir.

Çalıştırdığınız uygulamalara ve cihazınızın özelliklerine bağlı olarak, Linux'ta Uç Nokta için Defender'ı çalıştırırken en iyi performansın altında bir performansla karşılaşabilirsiniz. Özellikle CPU, Disk ve Bellek gibi birçok kaynağa kısa bir süre boyunca erişen uygulamalar veya sistem işlemleri Linux üzerinde Uç Nokta için Defender'da performans sorunlarına yol açabilir.

Uyarı

Başlamadan önce lütfen cihazda şu anda diğer güvenlik ürünlerinin çalışmadığından emin olun. Birden çok güvenlik ürünü çakışabilir ve konak performansını etkileyebilir.

Gerçek Zamanlı Koruma İstatistiklerini kullanarak performans sorunlarını giderme

Şunlar için geçerlidir:

  • Yalnızca AV ile ilgili performans sorunları

Gerçek zamanlı koruma (RTP), Linux'ta cihazınızı sürekli izleyen ve tehditlere karşı koruyan bir Uç Nokta için Defender özelliğidir. Dosya ve süreç izleme ve diğer buluşsal yöntemlerden oluşur.

Bu sorunları gidermek ve azaltmak için aşağıdaki adımlar kullanılabilir:

  1. Aşağıdaki yöntemlerden birini kullanarak gerçek zamanlı korumayı devre dışı bırakın ve performansın iyileşip iyileşmediğini gözlemleyin. Bu yaklaşım, Linux'ta Uç Nokta için Defender'ın performans sorunlarına katkıda bulunup bulunmadığını daraltmaya yardımcı olur.

    Cihazınız kuruluşunuz tarafından yönetilmiyorsa, gerçek zamanlı koruma komut satırından devre dışı bırakılabilir:

    mdatp config real-time-protection --value disabled

    Configuration property updated

    Cihazınız kuruluşunuz tarafından yönetiliyorsa, Linux'ta Uç Nokta için Defender tercihlerini ayarlama başlığı altındaki yönergeler kullanılarak gerçek zamanlı koruma yöneticiniz tarafından devre dışı bırakılabilir.

    Not

    Gerçek zamanlı koruma kapalıyken performans sorunu devam ederse, sorunun kaynağı uç nokta algılama ve yanıt (EDR) bileşeni olabilir. Bu durumda lütfen bu makalenin Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ni kullanarak performans sorunlarını giderme bölümündeki adımları izleyin.

  2. En çok taramayı tetikleyen uygulamaları bulmak için, Linux'ta Uç Nokta için Defender tarafından toplanan gerçek zamanlı istatistikleri kullanabilirsiniz.

    Not

    Bu özellik 100.90.70 veya daha yeni sürümlerde kullanılabilir.

    Bu özellik ve InsiderFast kanallarında Dogfood varsayılan olarak etkindir. Farklı bir güncelleştirme kanalı kullanıyorsanız, bu özellik komut satırından etkinleştirilebilir:

    mdatp config real-time-protection-statistics --value enabled

    Bu özelliğin etkinleştirilmesi için gerçek zamanlı koruma gerekir. Gerçek zamanlı korumanın durumunu denetlemek için aşağıdaki komutu çalıştırın:

    mdatp health --field real_time_protection_enabled

    Girdinin real_time_protection_enabled olduğunu truedoğrulayın. Aksi takdirde, etkinleştirmek için aşağıdaki komutu çalıştırın:

    mdatp config real-time-protection --value enabled

    Configuration property updated

    Geçerli istatistikleri toplamak için şunu çalıştırın:

    mdatp diagnostic real-time-protection-statistics --output json

    Not

    Kullanmak --output json (çift çizgiye dikkat edin), çıkış biçiminin ayrıştırma için hazır olmasını sağlar.

    Bu komutun çıkışı tüm işlemleri ve bunların ilişkili tarama etkinliğini gösterir.

  3. Linux sisteminizde komutunu kullanarak örnek Python ayrıştırıcısını high_cpu_parser.py indirin:

    wget -c https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py

    Bu komutun çıkışı aşağıdakine benzer olmalıdır:

    --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1020 [text/plain]
Saving to: 'high_cpu_parser.py'
100%[===========================================>] 1,020    --.-K/s   in 0s

  4. Ardından, aşağıdaki komutları yazın:

    mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py

    Yukarıdaki çıkışı, performans sorunlarına en çok katkıda bulunanların listesidir. İlk sütun işlem tanımlayıcısı (PID), ikinci sütun işlem adı ve son sütun ise etkilenen öğeye göre sıralanmış taranan dosyaların sayısıdır. Örneğin, komutun çıkışı aşağıdakine benzer olacaktır:

    ... > mdatp diagnostic real-time-protection-statistics --output json | python high_cpu_parser.py | head
27432 None 76703
73467 actool    1249
73914 xcodebuild 1081
73873 bash 1050
27475 None 836
1    launchd     407
73468 ibtool     344
549  telemetryd_v1   325
4764 None 228
125  CrashPlanService 164

    Linux'ta Uç Nokta için Defender'ın performansını geliştirmek için satırın altında Total files scanned en yüksek sayıya sahip olanı bulun ve bunun için bir dışlama ekleyin. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Defender dışlamalarını yapılandırma ve doğrulama.

    Not

    Uygulama istatistiği bellekte depolar ve yalnızca başlatıldığından ve gerçek zamanlı koruma etkinleştirildiğinden beri dosya etkinliğini izler. Gerçek zamanlı korumanın kapalı olduğu dönemlerde veya öncesinde başlatılan işlemler sayılmaz. Ayrıca, yalnızca taramaları tetikleyen olaylar sayılır.

  5. Performans sorunlarına katkıda bulunan işlemler veya disk konumları için dışlamalarla Linux'ta Uç Nokta için Microsoft Defender yapılandırın ve gerçek zamanlı korumayı yeniden etkinleştirin.

    Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender dışlamaları yapılandırma ve doğrulama.

Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ni kullanarak performans sorunlarını giderme

Şunlar için geçerlidir:

  • AV ve EDR gibi tüm kullanılabilir Uç Nokta için Defender bileşenlerinin performans sorunları

Uç Nokta için Microsoft Defender İstemci Çözümleyicisi (MDECA), Linux'ta eklenen cihazlardaki performans sorunlarını gidermek için izlemeleri, günlükleri ve tanılama bilgilerini toplayabilir.

Not

  • Uç Nokta için Microsoft Defender İstemci Çözümleyicisi aracı, Microsoft Müşteri Destek Hizmetleri (CSS) tarafından düzenli olarak IP adresleri, Uç Nokta için Microsoft Defender karşılaştığınız sorunları gidermeye yardımcı olacak bilgisayar adları gibi bilgileri toplamak için kullanılır. Gizlilik bildirimimiz hakkında daha fazla bilgi için bkz. Microsoft Gizlilik Bildirimi.
  • Genel bir en iyi uygulama olarak, Uç Nokta için Microsoft Defender aracısını en son kullanılabilir sürüme güncelleştirmeniz ve daha fazla araştırma yapmadan önce sorunun hala devam ettiğini onaylamanız önerilir.

Performans sorunlarını gidermek üzere istemci çözümleyicisini çalıştırmak için bkz. macOS ve Linux üzerinde istemci çözümleyicisini çalıştırma.

Not

Yukarıdaki adımların ardından performans sorununun devam etmesi durumunda, daha fazla yönerge ve risk azaltma için lütfen müşteri desteğine başvurun.

AuditD performance sorunlarını giderin

Arka plan:

  • Linux işletim sistemi dağıtımlarında Uç Nokta için Microsoft Defender, belirli türlerdeki telemetri olaylarını toplamak için AuditD çerçevesini kullanır.

  • 'a /etc/audit/rules.d/ eklenen kurallar tarafından yakalanan sistem olayları audit.log ekler ve konak denetimini ve yukarı akış koleksiyonunu etkileyebilir.

  • Linux'ta Uç Nokta için Microsoft Defender tarafından eklenen olaylar anahtarla mdatp etiketlenir.

  • AuditD hizmeti yanlış yapılandırılmış veya çevrimdışıysa, bazı olaylar eksik olabilir. Böyle bir sorunu gidermek için bkz. Linux'ta Uç Nokta için Microsoft Defender için eksik olayları veya uyarı sorunlarını giderme.

Bazı sunucu iş yüklerinde iki sorun gözlemlenebilir:

  • mdatp_audisp_plugin işlemden yüksek CPU kaynak tüketimi.

  • /var/log/audit/audit.log büyük veya sık dönen hale geliyor.

Bu sorunlar, AuditD'yi su basan birçok olayı olan sunucularda oluşabilir.

Not

En iyi yöntem olarak, denetim günlüklerini maksimum dosya boyutu sınırına ulaşıldığında döndürülecek şekilde yapılandırmanızı öneririz.

Bu, Denetimli günlüklerin tek bir dosyada birikmesini engeller ve döndürülen günlük dosyaları disk alanından tasarruf etmek için taşınabilir.

Bunu başarmak için, max_log_file_action değerini auditd.conf dosyasında döndürecek şekilde ayarlayabilirsiniz.

AuditD için birden çok tüketici veya Uç Nokta için Microsoft Defender ve üçüncü taraf tüketicilerin birleşimiyle çok fazla kural veya çok fazla olay oluşturan yüksek iş yükü varsa bu durum oluşabilir.

Bu tür sorunları gidermek için, etkilenen örnek sunucuda MDEClientAnalyzer günlüklerini toplayarak başlayın.

Not

Genel bir en iyi uygulama olarak, Uç Nokta için Microsoft Defender aracısını en son kullanılabilir sürüme güncelleştirmeniz ve daha fazla araştırma yapmadan önce sorunun devam edip etmediğini onaylamanız önerilir.

AuditD alt sistem CPU zorluğunu etkileyebilecek ek yapılandırmalar olduğunu.

Özellikle auditd.conf dosyasında yüksek CPU tüketimini azaltmak için disp_qos değeri "kayıplı" olarak ayarlanabilir.

Ancak bu, yoğun CPU tüketimi sırasında bazı olayların bırakılabileceği anlamına gelir.

XMDEClientAnalyzer

XMDEClientAnalyzer kullandığınızda, aşağıdaki dosyalar sorunları gidermenize yardımcı olacak içgörüler sağlayan bir çıktı görüntüler.

  • auditd_info.txt
  • auditd_log_analysis.txt

auditd_info.txt

Genel AuditD yapılandırmasını içerir ve şunları görüntüler:

  • Hangi işlemlerin AuditD tüketicileri olarak kaydedildiği.

  • Enabled=2 ile Auditctl -s çıkışı

    • Denetlenenlerin sabit modda olduğunu önerir (yapılandırma değişikliklerinin etkili olması için yeniden başlatma gerektirir).

  • Auditctl -l çıkışı

    • Şu anda çekirdeğe hangi kuralların yüklendiğini gösterir (diskteki "/etc/auditd/rules.d/mdatp.rules" içinde bulunan kurallar farklı olabilir).

    • hangi kuralların Uç Nokta için Microsoft Defender ile ilişkili olduğunu gösterir.

auditd_log_analysis.txt

Denetimli performans sorunlarını araştırırken yararlı olan önemli toplu bilgiler içerir.

  • En çok bildirilen olayların sahibi hangi bileşendir (Uç Nokta için Microsoft Defender olaylar ile key=mdatpetiketlenir).

  • En iyi raporlama başlatıcıları.

  • En yaygın sistem çağrıları (ağ veya dosya sistemi olayları ve diğerleri).

  • En gürültülü dosya sistemi yollarıdır.

Denetimli performans sorunlarının çoğunu azaltmak için Denetimli dışlama uygulayabilirsiniz. Verilen dışlamalar performansı geliştirmezse hız sınırlayıcı seçeneğini kullanabiliriz. Bu, AuditD tarafından oluşturulan olayların sayısını tamamen azaltır.

Not

Dışlamalar yalnızca düşük tehdit ve yüksek kirlilik başlatıcıları veya yolları için yapılmalıdır. Örneğin, büyük bir kör nokta oluşturma riski taşıyan /bin/bash'i hariç tutmayın. Dışlamaları tanımlarken kaçınılması gereken yaygın hatalar.

Dışlama Türleri

XMDEClientAnalyzer destek aracı, AuditD dışlama yapılandırma kurallarını eklemek için kullanılabilecek söz dizimi içerir:

AuditD dışlama – destek aracı söz dizimi yardımı:

AuditD dışlama yapılandırma kuralları eklemek için kullanılabilecek söz dizimi

Başlatıcı tarafından

  • -e/ -exe tam ikili yolu > Bu başlatıcı tarafından tüm olayları kaldırır

Yola göre

  • -d / -dir dizinin tam yolu Bu dizini > hedefleyen dosya sistemi olaylarını kaldırır

Örnekler:

"/opt/app/bin/app" ifadesi "/opt/app/cfg/logs/1234.log" olarak yazılırsa, çeşitli seçeneklerle dışlamak için destek aracını kullanabilirsiniz:

-e /opt/app/bin/app

-d /opt/app/cfg

-x /usr/bin/python /etc/usercfg

-d /usr/app/bin/

Diğer örnekler:

./mde_support_tool.sh exclude -p <process id>

./mde_support_tool.sh exclude -e <process name>

Birden fazla öğeyi dışlamak için dışlamaları tek bir satırda birleştirin:

./mde_support_tool.sh exclude -e <process name> -e <process name 2> -e <process name3>

-x bayrağı, belirli başlatıcılar tarafından alt dizinlere erişimi dışlamak için kullanılır, örneğin:

./mde_support_tool.sh exclude -x /usr/sbin/mv /tmp

Yukarıdakiler, mv işlemi tarafından erişildiğinde /tmp alt klasörünün izlenmesini dışlar.

Hız Sınırlayıcısı

XMDEClientAnalyzer destek aracı, auditD eklentisi tarafından bildirilen olay sayısını sınırlamak için kullanılabilecek söz dizimi içerir. Bu seçenek, Tüm denetim olaylarında düşüşe neden olan AuditD için genel olarak hız sınırını ayarlar.

Not

Bu işlev, denetlenen alt sistem tarafından bir bütün olarak bildirilen olay sayısını sınırlar olarak dikkatle kullanılmalıdır. Bu, diğer abonelerin olay sayısını da azaltabilir.

Bu hız sınırını etkinleştirmek/devre dışı bırakmak için ratelimit seçeneği kullanılabilir.

Etkinleştirmek: ./mde_support_tool.sh ratelimit -e true

Devre dışı bırakmak: ./mde_support_tool.sh ratelimit -e false

Hız sınırı etkinleştirildiğinde, 2500 olayı/sn'yi işlemek için Denetimli'ye bir kural eklenir.

Not

AuditD ile ilgili performans sorunlarını analiz etme ve azaltma veya Denetimli dışlamaları büyük ölçekte dağıtma konusunda yardıma ihtiyacınız varsa lütfen Microsoft desteğine başvurun.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.