針對macOS上適用於端點的 Microsoft Defender 效能問題進行疑難解答

適用於：

• Microsoft Defender XDR
• 適用於端點的 Microsoft Defender 方案 1 和方案 2
• 適用於個人的 Microsoft Defender

想要體驗適用於端點的 Microsoft Defender 嗎？ 注册免費試用版。

本文提供一些一般步驟，可用來縮小與macOS上適用於端點的Defender相關的效能問題。

根據您執行的應用程式和裝置特性，在macOS上執行適用於端點的 Microsoft Defender 時，可能會遇到效能低於最佳的狀況。 特別是，在短時間內存取許多資源的應用程式或系統進程，可能會導致 macOS 上適用於端點的 Defender 效能問題。

警告

執行本文所述的程式之前，請確定裝置上目前沒有執行其他安全性產品。 多個安全性產品可能會發生衝突，並影響主機效能。

使用即時保護統計數據對效能問題進行疑難解答

適用於：

• 僅限與 Microsoft Defender 防病毒軟體 () wdavdaemon_unprivileged 相關的效能問題。

實時保護 (RTP) 是 macOS 上適用於端點的 Defender 功能，可持續監視及保護您的裝置免於遭受威脅。 它包含檔案和進程監視及其他啟發學習法。

必要條件：

• 適用於端點的 Microsoft Defender 版本 (平臺更新) 100.90.70 或更新版本
• 如果您已在封鎖模式中開啟 竄改保護 ，請使用 疑難解答模式 來擷取即時保護統計數據。 否則，您會得到 Null 結果。

提示

一般最佳做法是，建議您將 適用於端點的 Microsoft Defender 代理程式更新為最新可用版本 ，並確認問題仍持續存在，再進一步調查。

若要疑難解答並減輕效能問題，請遵循下列步驟：

1. 使用下表中的其中一種方法停用即時保護，然後觀察效能是否改善。 這種方法有助於縮小 macOS 上適用於端點的 Microsoft Defender 是否造成效能問題。

   裝置管理	方法
   裝置不受組織管理	使用者介面：在macOS上開啟適用於端點的 Microsoft Defender，並流覽至 [管理設定]。
   裝置不受組織管理	終端機：在終端機中，執行下列命令： mdatp config real-time-protection --value disabled
   裝置是由組織管理	請參閱 在macOS上設定適用於端點的 Microsoft Defender 喜好設定。

   如果即時保護關閉時效能問題持續發生，問題來源可能是端點偵測和回應元件。 在此情況下，請連絡客戶支持人員以取得進一步的指示和緩和措施。

2. 開啟 Finder 並瀏覽至 應用程式>公用程式。 開啟 活動監視器 ，並分析哪些應用程式正在使用系統上的資源。 一般範例包括軟體更新程序和編譯程式。

3. 這項功能需要啟用即時保護。 若要檢查即時保護的狀態，請執行下列命令：

   mdatp health --field real_time_protection_enabled
   

   確認 real_time_protection_enabled 專案 為 true。 否則，請執行下列命令加以啟用：

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

4. 若要尋找觸發最多掃描的應用程式，您可以使用適用於 macOS 上適用於端點的 Defender 所收集的即時統計數據。 執行下列命令加以啟用：

   mdatp config real-time-protection-statistics --value enabled.
   

   提示

   繼續擷取數據之前，請先執行 top 或開啟 activity monitor，確定在wdavdaemon_unprivileged中發生高 cpu 使用率。

5. 若要輸出到 json 檔案，請執行下列命令：

   mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
   

   注意事項

   使用 --output json (記下雙虛線) 可確保輸出格式已準備好進行剖析。 此命令的輸出會顯示所有進程及其相關聯的掃描活動。

6. 在 Mac 系統上，使用 命令下載範例 Python 剖析器 high_cpu_parser.py ：

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
   

   此指令輸出應該如下所示：

   --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
   mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
   Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
   Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 1020 [text/plain]
   Saving to: 'high_cpu_parser.py'
   100%[===========================================>] 1,020    --.-K/s   in
   0s
   

7. 輸入下列命令：

   chmod +x high_cpu_parser.py
   

   cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
   

   輸出應該是效能問題的主要參與者清單。 第一個數據行是 PID) (進程識別碼，第二個數據行是進程名稱，而最後一個數據行是依影響排序的掃描檔案數目。 以下為範例:

   ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
   27432 None 76703
   73467 actool     1249
   73914 xcodebuild 1081
   73873 bash 1050
   27475 None 836
   1    launchd    407
   73468 ibtool     344
   549  telemetryd_v1   325
   4764 None 228
   125  CrashPlanService 164
   

8. 若要改善 Mac 上適用於端點的 Defender 的效能，請在 [ 已掃描的檔案總數 ] 資料列底下找出數位最高的值，然後新增其排除範圍。 如需詳細資訊， 請參閱在macOS上設定及驗證適用於端點的Defender排除專案。

   注意事項

   應用程式會將統計數據儲存在記憶體中，並且只追蹤檔案活動啟動後，並啟用即時保護。 未計算在即時保護關閉之前或期間啟動的進程。 此外，只會計算觸發掃描的事件。

9. 在macOS上設定適用於端點的 Microsoft Defender，並排除造成效能問題並重新啟用即時保護的進程或磁碟位置。

   請 參閱在macOS上設定及驗證適用於端點的 Microsoft Defender 排除專案。

使用適用於端點的 Microsoft Defender 用戶端分析器對效能問題進行疑難解答

適用於端點的 Microsoft Defender 用戶端分析器 (MDECA) 可以收集追蹤、記錄和診斷資訊，以針對 macOS 上已上線 裝置 上的效能問題進行疑難解答。

若要執行用戶端分析器以針對效能問題進行疑難解答，請參閱 在macOS和Linux上執行用戶端分析器。

注意事項

適用於端點的 Microsoft Defender 用戶端分析器工具會由 Microsoft 客戶支援服務 (CSS) 定期使用，以收集 (等資訊，但不限於) IP 位址、計算機名稱，可協助針對您在適用於端點的 Microsoft Defender 時可能遇到的問題進行疑難解答。 如需隱私聲明的詳細資訊，請參閱 Microsoft 隱私聲明。