Freigeben über

Behandeln von Leistungsproblemen für Microsoft Defender for Endpoint unter Linux

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

In diesem Artikel wird beschrieben, wie Leistungsprobleme im Zusammenhang mit Defender für Endpunkt unter Linux eingegrenzt werden. Diagnosetools sind verfügbar, um vorhandene Ressourcenengpässe und Prozesse zu verstehen und zu beheben, die sich auf die Leistung auswirken. Diese Diagnosetools können auch verwendet werden, um die Sichtbarkeit innerhalb des Microsoft Defender-Portals zu verbessern. Engpässe in einem oder mehreren Hardwaresubsystemen verursachen hauptsächlich Leistungsprobleme, abhängig vom Profil der Ressourcenauslastung auf dem System. Manchmal sind Anwendungen empfindlich auf Datenträger-E/A-Ressourcen und benötigen möglicherweise mehr CPU-Kapazität, und manchmal sind einige Konfigurationen nicht nachhaltig, lösen möglicherweise zu viele neue Prozesse aus und öffnen zu viele Dateideskriptoren.

Abhängig von den Anwendungen, die Sie ausführen, und den Merkmalen Ihres Geräts kann es zu einer suboptimalen Leistung bei der Ausführung von Defender für Endpunkt unter Linux führen. Insbesondere Anwendungen oder Systemprozesse, die über einen kurzen Zeitraum auf viele Ressourcen wie CPU, Datenträger und Arbeitsspeicher zugreifen, können in Defender für Endpunkt unter Linux zu Leistungsproblemen führen.

Warnung

Stellen Sie vor dem Start sicher, dass andere Sicherheitsprodukte derzeit nicht auf dem Gerät ausgeführt werden. Mehrere Sicherheitsprodukte können in Konflikt geraten und die Hostleistung beeinträchtigen.

Es gibt drei verschiedene Möglichkeiten, mit den Diagnosetools von Microsoft Defender for Endpoint unter Linux probleme mit lauten Prozessen und Verzeichnissen zu beheben:

  • Verwenden von Echtzeitschutzstatistiken
  • Verwenden von Quellen für heiße Ereignisse
  • Verwenden von eBPF-Statistiken

Behandeln von Leistungsproblemen mithilfe von Echtzeitschutzstatistiken

Gilt für:

  • Nur Leistungsprobleme im Zusammenhang mit Antivirensoftware

Echtzeitschutz (Real-Time Protection, RTP) ist ein Feature von Defender für Endpunkt unter Linux, das Ihr Gerät kontinuierlich überwacht und vor Bedrohungen schützt. Es besteht aus Datei- und Prozessüberwachung und anderen Heuristiken.

Die folgenden Schritte können verwendet werden, um diese Probleme zu beheben und zu beheben:

  1. Deaktivieren Sie den Echtzeitschutz mit einer der folgenden Methoden, und beobachten Sie, ob sich die Leistung verbessert. Dieser Ansatz hilft dabei einzugrenzen, ob Defender für Endpunkt unter Linux zu den Leistungsproblemen beiträgt. Wenn Ihr Gerät nicht von Ihrem organization verwaltet wird, kann der Echtzeitschutz über die Befehlszeile deaktiviert werden:

    mdatp config real-time-protection --value disabled

    Configuration property updated

    Wenn Ihr organization Ihr Gerät verwaltet, kann Ihr Administrator den Echtzeitschutz mithilfe der Anweisungen unter Festlegen von Einstellungen für Defender für Endpunkt unter Linux deaktivieren.

    Hinweis

    Wenn das Leistungsproblem weiterhin besteht, während der Echtzeitschutz deaktiviert ist, kann der Ursprung des Problems auch die EDR-Komponente (Endpoint Detection and Response) sein. In diesem Fall müssen Sie globale Ausschlüsse aus Antivirus und EDR hinzufügen. Führen Sie in diesem Fall die Schritte im Abschnitt Behandeln von Leistungsproblemen mithilfe von Heißen Ereignisquellen aus.

  2. Um die Anwendungen zu finden, die die meisten Überprüfungen auslösen, können Sie Echtzeitstatistiken verwenden, die von Defender für Endpunkt für Linux gesammelt werden.

    Hinweis

    Dieses Feature ist in Version 100.90.70 oder höher verfügbar.

    Dieses Feature ist standardmäßig für die Dogfood Kanäle und InsiderFast aktiviert. Wenn Sie einen anderen Updatekanal verwenden, kann dieses Feature über die Befehlszeile aktiviert werden:

    mdatp config real-time-protection-statistics --value enabled

    Für dieses Feature muss der Echtzeitschutz aktiviert sein. Führen Sie den folgenden Befehl aus, um die status des Echtzeitschutzes zu überprüfen:

    mdatp health --field real_time_protection_enabled

    Vergewissern Sie sich, dass der real_time_protection_enabled Eintrag ist true. Führen Sie andernfalls den folgenden Befehl aus, um ihn zu aktivieren:

    mdatp config real-time-protection --value enabled

    Configuration property updated

    Um aktuelle Statistiken zu erfassen, führen Sie Folgendes aus:

    mdatp diagnostic real-time-protection-statistics --output json

    Hinweis

    Die Verwendung von --output json (beachten Sie den doppelten Bindestrich) stellt sicher, dass das Ausgabeformat für die Analyse bereit ist.

    Die Ausgabe dieses Befehls zeigt alle Prozesse und die zugehörigen Scanaktivitäten an.

  3. Geben Sie die folgenden Befehle ein:

    mdatp diagnostic real-time-protection-statistics --sort --top 4

    Die Ausgabe ist eine Liste der vier wichtigsten Mitwirkenden an Leistungsproblemen. Die Ausgabe des Befehls sieht beispielsweise wie folgt aus:

    =====================================
Process id: 560
Name: NetworkManager
Path: "/usr/sbin/NetworkManager"
Total files scanned: 261
Scan time (ns): "3070788919"
Status: Active
=====================================
Process id: 1709561
Name: snapd
Path: "/snap/snapd/23545/usr/lib/snapd/snapd"
Total files scanned: 247
Scan time (ns): "19926516003"
Status: Active
=====================================
Process id: 596
Name: systemd-logind
Path: "/usr/lib/systemd/systemd-logind"
Total files scanned: 29
Scan time (ns): "716836547"
Status: Active
=====================================
Process id: 1977683
Name: cupsd
Path: "/usr/sbin/cupsd"
Total files scanned: 20
Scan time (ns): "985110892"
Status: Active
=====================================

    Um die Leistung von Defender für Endpunkt unter Linux zu verbessern, suchen Sie das Objekt mit der höchsten Zahl unter der Total files scanned Zeile, und fügen Sie einen Antivirenausschluss dafür hinzu (prüfen Sie sorgfältig, ob sie sicher ausgeschlossen werden kann). Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Defender für Endpunkt unter Linux.

    Hinweis

    Die Anwendung speichert Statistiken im Arbeitsspeicher und verfolgt nur die Dateiaktivität nach, seit sie gestartet und der Echtzeitschutz aktiviert wurde. Prozesse, die vor oder in Zeiträumen gestartet wurden, in denen der Echtzeitschutz deaktiviert war, werden nicht gezählt. Darüber hinaus werden nur Ereignisse gezählt, die Überprüfungen ausgelöst haben.

Behandeln von Leistungsproblemen mithilfe von Quellen für heiße Ereignisse

Gilt für:

  • Leistungsprobleme in Dateien und ausführbaren Dateien, die die meisten CPU-Zyklen im gesamten Dateisystem verbrauchen.

Heiße Ereignisquellen sind ein Feature, mit dem Kunden ermitteln können, welcher Prozess oder welches Verzeichnis für den hohen Ressourcenverbrauch verantwortlich ist. Führen Sie die folgenden Schritte aus, um zu untersuchen, welcher Prozess bzw. welche ausführbare Datei das meiste Rauschen erzeugt.

Hinweis

Für diese Befehle müssen Sie über Stammberechtigungen verfügen. Stellen Sie sicher, dass sudo verwendet werden kann.

Überprüfen Sie zunächst die Protokollebene auf Ihrem Computer.

mdatp health --field log_level

Wenn es sich nicht auf "debug" befindet, müssen Sie es ändern, um einen detaillierten Bericht zu heißen Dateien/ausführbaren Dateien zu erstellen.

sudo mdatp log level set --level debug

Log level configured successfully

So sammeln Sie aktuelle Statistiken (für Dateien)

sudo mdatp diagnostic hot-event-sources files

Die Ausgabe sieht in der Konsole in etwa wie folgt aus (dies ist nur ein Codeausschnitt der gesamten Ausgabe). Hier zeigt die erste Zeile die Anzahl (Häufigkeit des Vorkommens) und die zweite den Dateipfad an.

Total Events: 11179 Time: 12s. Throughput: 75.3333 events/sec. 
=========== Top 684 Hot Event Sources ===========
count   file path
2832    /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5
632     /mnt/RamDisk/postgres_data/base/635594/2601
619     /mnt/RamDisk/postgres_data/base/635597/2601
618     /mnt/RamDisk/postgres_data/base/635596/2601
618     /mnt/RamDisk/postgres_data/base/635595/2601
616     /mnt/RamDisk/postgres_data/base/635597/635610
615     /mnt/RamDisk/postgres_data/base/635596/635602
614     /mnt/RamDisk/postgres_data/base/635595/635606
514     /mnt/RamDisk/postgres_data/base/635594/635598_fsm
496     /mnt/RamDisk/postgres_data/base/635597/635610_fsm

Dieser Befehl generiert einen Hot-Ereignisquellenbericht, der in Ihrem lokalen Ordner gespeichert wird, der weiter untersucht werden kann. Die Ausgabe sieht in der JSON-Datei wie folgt aus.

{
    "startTime": "1729535104539160",
    "endTime": "1729535117570766",
    "totalEvent": "11373",
    "eventSource": [
        {
            "authCount": "2832",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5",
            "pidCount": "1",
            "teamId": ""
        },
        {
            "authCount": "632",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/base/635594/2601",
            "pidCount": "1",
            "teamId": ""
        }
    ]
}

Im Beispiel sehen Wir, dass die Datei /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5 die meiste Aktivität generiert. Auch, ähnlich für die ausführbaren Dateien,

sudo mdatp diagnostic hot-event-sources executables

Die Ausgabe sieht in der Konsole in etwa wie folgt aus.

Total Events: 47382 Time: 18s. Throughput: 157 events/sec.
=========== Top 23 Hot Event Sources ===========
count    executable path
8216    /usr/lib/postgresql/12/bin/psql
5721    /usr/lib/postgresql/12/bin/postgres (deleted)
3557    /usr/bin/bash
378     /usr/bin/clamscan
88      /usr/bin/sudo
70      /usr/bin/dash
30      /usr/sbin/zabbix_agent2
10      /usr/bin/grep
8       /usr/bin/gawk
6       /opt/microsoft/mdatp/sbin/wdavdaemonclient
4       /usr/bin/sleep

Dies ist die Ausgabe, die im Bericht "Heiße Ereignisquelle" in JSON gespeichert ist.

{
    "startTime": "1729534260988396",
    "endTime": "1729534280026883",
    "totalEvent": "48165",
    "eventSource": [
        {
            "authCount": "8126",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/psql",
            "pidCount": "2487",
            "teamId": ""
        },
        {
            "authCount": "5127",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/postgres",
            "pidCount": "2144",
            "teamId": ""
        }
    ]
}

In diesem Beispiel zeigt der Befehl nach 18s an, dass die ausführbare Datei; /usr/lib/postgresql/12/bin/psql und /usr/lib/postgresql/12/bin/postgres generieren die meisten Aktivitäten.

Nachdem Sie die Untersuchung abgeschlossen haben, können Sie den Protokolliergrad wieder in "Info" ändern.

sudo mdatp log level set --level info

Log level configured successfully

Um die Leistung von Defender für Endpunkt unter Linux zu verbessern, suchen Sie den Pfad mit der höchsten Zahl in der Zeile "Count", und fügen Sie einen globalen Prozessausschluss (wenn es sich um eine ausführbare Datei handelt) oder einen globalen Datei-/Ordnerausschluss (wenn es sich um eine Datei handelt) für ihn hinzu (prüfen Sie sorgfältig, ob sie sicher ausgeschlossen werden können). Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Defender für Endpunkt unter Linux.

Behandeln von Leistungsproblemen mithilfe von eBPF-Statistiken

Gilt für:

  • Alle Datei-/Prozessereignisse, einschließlich systemaufrufbasierter Leistungsprobleme.

Der eBPF-Statistikbefehl (extended Berkeley Packet Filter) bietet Einblicke in das wichtigste Ereignis bzw. den wichtigsten Prozess, der die meisten Dateiereignisse zusammen mit ihren Syscall-IDs generiert. Wenn Systemaufrufe vom System aus erfolgen, wird auf Ihrem System eine hohe Workload generiert. eBPF-Statistiken können verwendet werden, um solche Probleme zu identifizieren.

Um aktuelle Statistiken mithilfe von eBPF-Statistiken zu erfassen, führen Sie Folgendes aus:

mdatp diagnostic ebpf-statistics

Die Ausgabe wird direkt in der Konsole angezeigt und sieht in etwa wie folgt aus (dies ist nur ein Codeausschnitt der gesamten Ausgabe):

Top initiator paths:
/usr/lib/postgresql/12/bin/psql : 902
/usr/bin/clamscan : 349
/usr/sbin/zabbix_agent2 : 27
/usr/lib/postgresql/12/bin/postgres : 10

Top syscall ids:
80 : 9034
57 : 8932
60 : 8929
59 : 4942
112 : 4898
90 : 179
87 : 170
119 : 32
288 : 19
41 : 15

Dieser Befehl überwacht das System 20 Sekunden lang und zeigt die Ergebnisse an. Hier zeigt der oberste Initiatorpfad (postgresql/12/bin/psql) den Pfad des Prozesses an, der die meisten Systemaufrufe generiert hat.

Um die Leistung von Defender für Endpunkt unter Linux zu verbessern, suchen Sie das Objekt mit dem höchsten count in der Top initiator path Zeile, und fügen Sie dafür einen globalen Prozessausschluss hinzu (prüfen Sie sorgfältig, ob sie sicher ausgeschlossen werden kann). Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Defender für Endpunkt unter Linux.

Konfigurieren von globalen Ausschlüssen für eine bessere Leistung

Konfigurieren Sie Microsoft Defender for Endpoint unter Linux mit Ausschlüssen für die Prozesse oder Datenträgerspeicherorte, die zu den Leistungsproblemen beitragen. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender für Endpunkt unter Linux. Wenn weiterhin Leistungsprobleme auftreten, wenden Sie sich an den Support, um weitere Anweisungen und Abhilfemaßnahmen zu erhalten.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.