استكشاف مشكلات الأداء Microsoft Defender لنقطة النهاية على Linux وإصلاحها

ينطبق على:

• Microsoft Defender لنقطة النهاية للخوادم
• Microsoft Defender للخوادم الخطة 1 أو الخطة 2

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

توضح هذه المقالة كيفية تضييق نطاق مشكلات الأداء المتعلقة ب Defender لنقطة النهاية على Linux. تتوفر أدوات التشخيص لمساعدتك على فهم حالات نقص الموارد والعمليات الحالية التي تؤثر على الأداء والتخفيف من حدتها. يمكن استخدام أدوات التشخيص هذه لتحسين الرؤية داخل مدخل Microsoft Defender أيضا. تتسبب الازدحامات في نظام فرعي واحد أو أكثر من الأجهزة بشكل رئيسي في حدوث مشكلات في الأداء، اعتمادا على ملف تعريف استخدام الموارد على النظام. في بعض الأحيان تكون التطبيقات حساسة لموارد إدخال/إخراج القرص وقد تحتاج إلى المزيد من سعة وحدة المعالجة المركزية، وأحيانا تكون بعض التكوينات غير مستدامة، وقد تؤدي إلى تشغيل عدد كبير جدا من العمليات الجديدة، وفتح عدد كبير جدا من واصفات الملفات.

اعتمادا على التطبيقات التي تقوم بتشغيلها وخصائص جهازك، قد تواجه أداء دون المستوى الأمثل عند تشغيل Defender لنقطة النهاية على Linux. على وجه الخصوص، يمكن أن تؤدي التطبيقات أو عمليات النظام التي تصل إلى العديد من الموارد مثل وحدة المعالجة المركزية والقرص والذاكرة على مدى فترة زمنية قصيرة إلى مشكلات في الأداء في Defender لنقطة النهاية على Linux.

هناك ثلاث طرق مميزة لاستكشاف أخطاء العمليات والدلائل الصاخبة وإصلاحها باستخدام أدوات التشخيص من Microsoft Defender لنقطة النهاية على Linux:

• استخدام إحصائيات الحماية في الوقت الحقيقي
• استخدام مصادر الأحداث الساخنة
• استخدام إحصائيات eBPF

استكشاف مشكلات الأداء وإصلاحها باستخدام إحصائيات الحماية في الوقت الحقيقي

ينطبق على:

• مشكلات الأداء المتعلقة ب برنامج الحماية من الفيروسات فقط

الحماية في الوقت الحقيقي (RTP) هي ميزة من ميزات Defender لنقطة النهاية على Linux التي تراقب جهازك وتحميه باستمرار من التهديدات. وهو يتكون من مراقبة الملفات والعملية وغيرها من الأساليب الإرشادية.

يمكن استخدام الخطوات التالية لاستكشاف هذه المشكلات والتخفيف من حدتها:

1. قم بتعطيل الحماية في الوقت الحقيقي باستخدام إحدى الطرق التالية ولاحظ ما إذا كان الأداء يتحسن أم لا. يساعد هذا النهج على تضييق نطاق ما إذا كان Defender لنقطة النهاية على Linux يساهم في مشكلات الأداء. إذا لم تتم إدارة جهازك من قبل مؤسستك، يمكن تعطيل الحماية في الوقت الحقيقي من سطر الأوامر:

   mdatp config real-time-protection --value disabled
   

   Configuration property updated
   

   إذا كانت مؤسستك تدير جهازك، فيمكن للمسؤول تعطيل الحماية في الوقت الحقيقي باستخدام الإرشادات الواردة في تعيين تفضيلات Defender لنقطة النهاية على Linux.

   ملاحظة

   إذا استمرت مشكلة الأداء أثناء إيقاف الحماية في الوقت الحقيقي، فقد يكون أصل المشكلة هو مكون الكشف عن نقطة النهاية والاستجابة لها (EDR) أيضا. في هذه الحالة، تحتاج إلى إضافة استثناءات عمومية من مكافحة الفيروسات وEDR. في هذه الحالة، اتبع الخطوات الواردة في القسم، استكشاف مشكلات الأداء وإصلاحها باستخدام مصادر الأحداث الساخنة.

2. للعثور على التطبيقات التي تقوم بتشغيل معظم عمليات الفحص، يمكنك استخدام الإحصائيات في الوقت الحقيقي التي جمعها Defender لنقطة النهاية على Linux.

   ملاحظة

   تتوفر هذه الميزة في الإصدار 100.90.70 أو الأحدث.

   يتم تمكين هذه الميزة بشكل افتراضي على القنوات Dogfood و InsiderFast . إذا كنت تستخدم قناة تحديث مختلفة، يمكن تمكين هذه الميزة من سطر الأوامر:

   mdatp config real-time-protection-statistics --value enabled
   

   تتطلب هذه الميزة تمكين الحماية في الوقت الحقيقي. للتحقق من حالة الحماية في الوقت الحقيقي، قم بتشغيل الأمر التالي:

   mdatp health --field real_time_protection_enabled
   

   تحقق من أن real_time_protection_enabled الإدخال هو true. وإلا، قم بتشغيل الأمر التالي لتمكينه:

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

   لتجميع الإحصائيات الحالية، قم بتشغيل:

   mdatp diagnostic real-time-protection-statistics --output json
   

   ملاحظة

   يضمن استخدام --output json (لاحظ الشرطة المزدوجة) أن تنسيق الإخراج جاهز للتحلل.

   يظهر إخراج هذا الأمر جميع العمليات ونشاط الفحص المرتبط بها.

3. اكتب الأوامر التالية:

   mdatp diagnostic real-time-protection-statistics --sort --top 4
   

   الإخراج هو قائمة بالمساهمين الأربعة الأوائل في مشكلات الأداء. على سبيل المثال، إخراج الأمر هو شيء مثل ما يلي:

   =====================================
   Process id: 560
   Name: NetworkManager
   Path: "/usr/sbin/NetworkManager"
   Total files scanned: 261
   Scan time (ns): "3070788919"
   Status: Active
   =====================================
   Process id: 1709561
   Name: snapd
   Path: "/snap/snapd/23545/usr/lib/snapd/snapd"
   Total files scanned: 247
   Scan time (ns): "19926516003"
   Status: Active
   =====================================
   Process id: 596
   Name: systemd-logind
   Path: "/usr/lib/systemd/systemd-logind"
   Total files scanned: 29
   Scan time (ns): "716836547"
   Status: Active
   =====================================
   Process id: 1977683
   Name: cupsd
   Path: "/usr/sbin/cupsd"
   Total files scanned: 20
   Scan time (ns): "985110892"
   Status: Active
   =====================================
   

   لتحسين أداء Defender لنقطة النهاية على Linux، حدد موقع الذي يحتوي على أعلى عدد ضمن Total files scanned الصف وأضف استثناء من الفيروسات له (قم بتقييم ما إذا كان من الآمن استبعاده). لمزيد من المعلومات، راجع تكوين استثناءات Defender لنقطة النهاية والتحقق من صحتها على Linux.

   ملاحظة

   يخزن التطبيق الإحصائيات في الذاكرة ويتعقب نشاط الملف فقط منذ بدء تشغيله وتم تمكين الحماية في الوقت الحقيقي. لا يتم حساب العمليات التي تم تشغيلها قبل أو خلال الفترات التي تم فيها إيقاف الحماية في الوقت الحقيقي. بالإضافة إلى ذلك، يتم حساب الأحداث التي تم تشغيلها فقط.

استكشاف مشكلات الأداء وإصلاحها باستخدام مصادر الأحداث الساخنة

ينطبق على:

• مشكلات الأداء في الملفات والملفات التنفيذية التي تستهلك معظم دورات وحدة المعالجة المركزية في نظام الملفات بأكمله.

مصادر الأحداث الساخنة هي ميزة تسمح للعملاء بتحديد العملية أو الدليل المسؤول عن استهلاك الموارد العالي. للتحقيق في العملية/القابلة للتنفيذ التي تولد أكبر قدر من الضوضاء، اتبع هذه الخطوات.

أولا، تحقق من مستوى السجل على جهازك.

mdatp health --field log_level

إذا لم يكن على "تصحيح الأخطاء"، فأنت بحاجة إلى تغييره لتقرير مفصل بشأن الملفات الساخنة / الملفات التنفيذية.

sudo mdatp log level set --level debug

Log level configured successfully

لجمع الإحصائيات الحالية (للملفات)،

sudo mdatp diagnostic hot-event-sources files

يبدو الإخراج مشابها للآتي على وحدة التحكم (هذه مجرد قصاصة برمجية للإخراج بأكمله). هنا، يعرض الصف الأول العدد (تكرار التكرار) ويعرض الصف الثاني مسار الملف.

Total Events: 11179 Time: 12s. Throughput: 75.3333 events/sec. 
=========== Top 684 Hot Event Sources ===========
count   file path
2832    /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5
632     /mnt/RamDisk/postgres_data/base/635594/2601
619     /mnt/RamDisk/postgres_data/base/635597/2601
618     /mnt/RamDisk/postgres_data/base/635596/2601
618     /mnt/RamDisk/postgres_data/base/635595/2601
616     /mnt/RamDisk/postgres_data/base/635597/635610
615     /mnt/RamDisk/postgres_data/base/635596/635602
614     /mnt/RamDisk/postgres_data/base/635595/635606
514     /mnt/RamDisk/postgres_data/base/635594/635598_fsm
496     /mnt/RamDisk/postgres_data/base/635597/635610_fsm

ينشئ هذا الأمر تقرير مصدر حدث ساخن يتم حفظه في المجلد المحلي الذي يمكن التحقق منه بشكل أكبر. يبدو الإخراج كما يلي على ملف json؛

{
    "startTime": "1729535104539160",
    "endTime": "1729535117570766",
    "totalEvent": "11373",
    "eventSource": [
        {
            "authCount": "2832",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5",
            "pidCount": "1",
            "teamId": ""
        },
        {
            "authCount": "632",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/base/635594/2601",
            "pidCount": "1",
            "teamId": ""
        }
    ]
}

في المثال، يمكننا أن نرى أن الملف /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5 ينشئ معظم النشاط. أيضا، وبالمثل بالنسبة للملفات التنفيذية،

sudo mdatp diagnostic hot-event-sources executables

يبدو الإخراج مشابها للآتي على وحدة التحكم.

Total Events: 47382 Time: 18s. Throughput: 157 events/sec.
=========== Top 23 Hot Event Sources ===========
count    executable path
8216    /usr/lib/postgresql/12/bin/psql
5721    /usr/lib/postgresql/12/bin/postgres (deleted)
3557    /usr/bin/bash
378     /usr/bin/clamscan
88      /usr/bin/sudo
70      /usr/bin/dash
30      /usr/sbin/zabbix_agent2
10      /usr/bin/grep
8       /usr/bin/gawk
6       /opt/microsoft/mdatp/sbin/wdavdaemonclient
4       /usr/bin/sleep

هذا هو الإخراج المحفوظ في تقرير مصدر الحدث الساخن في json؛

{
    "startTime": "1729534260988396",
    "endTime": "1729534280026883",
    "totalEvent": "48165",
    "eventSource": [
        {
            "authCount": "8126",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/psql",
            "pidCount": "2487",
            "teamId": ""
        },
        {
            "authCount": "5127",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/postgres",
            "pidCount": "2144",
            "teamId": ""
        }
    ]
}

في هذا المثال، بعد 18s يظهر الأمر أن الملفات التنفيذية؛ /usr/lib/postgresql/12/bin/psql و/usr/lib/postgresql/12/bin/postgres تولد معظم النشاط.

بمجرد الانتهاء من التحقيق، يمكنك تغيير مستوى السجل مرة أخرى إلى "معلومات".

sudo mdatp log level set --level info

Log level configured successfully

لتحسين أداء Defender لنقطة النهاية على Linux، حدد موقع المسار الذي يحتوي على أعلى عدد في صف العد وأضف استبعاد عملية عمومية (إذا كان قابلا للتنفيذ) أو استبعاد ملف/مجلد عمومي (إذا كان ملفا) له (تقييم بعناية ما إذا كان من الآمن استبعاده). لمزيد من المعلومات، راجع تكوين استثناءات Defender لنقطة النهاية والتحقق من صحتها على Linux.

استكشاف مشكلات الأداء وإصلاحها باستخدام إحصائيات eBPF

ينطبق على:

• جميع أحداث الملفات/ العمليات، بما في ذلك مشكلات الأداء المستندة إلى استدعاء النظام.

يعطي أمر إحصائيات eBPF (عامل تصفية حزمة Berkeley الموسع) رؤى حول الحدث/العملية العلوية التي تولد معظم أحداث الملفات، جنبا إلى جنب مع معرفات syscall الخاصة بها. عند إجراء استدعاءات النظام من النظام، هناك كمية كبيرة من حمل العمل الذي تم إنشاؤه على نظامك. يمكن استخدام إحصائيات eBPF لتحديد مثل هذه المشكلات.

لتجميع الإحصائيات الحالية باستخدام إحصائيات eBPF، قم بتشغيل:

mdatp diagnostic ebpf-statistics

يتم عرض الإخراج مباشرة على وحدة التحكم وسيبدو مشابها لما يلي (هذه ليست سوى قصاصة برمجية من الإخراج بأكمله):

Top initiator paths:
/usr/lib/postgresql/12/bin/psql : 902
/usr/bin/clamscan : 349
/usr/sbin/zabbix_agent2 : 27
/usr/lib/postgresql/12/bin/postgres : 10

Top syscall ids:
80 : 9034
57 : 8932
60 : 8929
59 : 4942
112 : 4898
90 : 179
87 : 170
119 : 32
288 : 19
41 : 15

يراقب هذا الأمر النظام لمدة 20 ثانية ويعرض النتائج. هنا يظهر مسار البادئ العلوي (postgresql/12/bin/psql) مسار العملية التي أنشأت معظم استدعاءات النظام.

لتحسين أداء Defender لنقطة النهاية على Linux، حدد موقع الذي يحتوي على أعلى count مستوى في Top initiator path الصف وأضف استثناء عملية عمومية له (قم بتقييم ما إذا كان الاستبعاد آمنا بعناية). لمزيد من المعلومات، راجع تكوين استثناءات Defender لنقطة النهاية والتحقق من صحتها على Linux.

تكوين الاستثناءات العمومية للحصول على أداء أفضل

تكوين Microsoft Defender لنقطة النهاية على Linux مع استثناءات للعمليات أو مواقع القرص التي تساهم في مشكلات الأداء. للمزيد من المعلومات، راجع تكوين الاستثناءات والتحقق من صحتها في Microsoft Defender لنقطة النهاية على Linux. إذا كنت لا تزال تواجه مشكلات في الأداء، فاتصل بالدعم للحصول على مزيد من الإرشادات والتخفيف.

راجع أيضًا

• التحقق من مشاكل صحة الوكيل