Megosztás a következőn keresztül:

A Linuxon futó Végponthoz készült Microsoft Defender teljesítményproblémáinak elhárítása

  • Cikk

Érintett szolgáltatás:

  • Végponthoz készült Microsoft Defender kiszolgálókhoz
  • Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ez a cikk a Végponthoz készült Defender linuxos verziójával kapcsolatos teljesítményproblémák leszűkítését ismerteti. Diagnosztikai eszközök állnak rendelkezésre a teljesítményt befolyásoló meglévő erőforráshiányok és folyamatok megértéséhez és enyhítéséhez. Ezek a diagnosztikai eszközök a Microsoft Defender portálon belüli láthatóság növelésére is használhatók. Egy vagy több hardveralrendszer szűk keresztmetszetei főként teljesítményproblémákat okoznak, a rendszer erőforrás-kihasználtságának profiljától függően. Előfordulhat, hogy az alkalmazások érzékenyek a lemez I/O-erőforrásaira, és nagyobb processzorkapacitásra lehet szükségük, egyes konfigurációk pedig nem fenntarthatók, és túl sok új folyamatot aktiválhatnak, és túl sok fájlleírót nyithatnak meg.

A futtatott alkalmazásoktól és az eszköz jellemzőitől függően a Végponthoz készült Defender Linuxon való futtatásakor a teljesítmény rosszabb lehet. Különösen azok az alkalmazások vagy rendszerfolyamatok vezethetnek teljesítményproblémákhoz, amelyek rövid idő alatt férnek hozzá számos erőforráshoz, például a CPU-hoz, a lemezhez és a memóriához.

Figyelmeztetés

Mielőtt hozzákezd, győződjön meg arról, hogy más biztonsági termékek jelenleg nem futnak az eszközön. Több biztonsági termék ütközhet, és hatással lehet a gazdagép teljesítményére.

Három különböző módon háríthatja el a zajos folyamatokat és könyvtárakat a linuxos Végponthoz készült Microsoft Defender diagnosztikai eszközeivel:

  • Valós idejű védelmi statisztikák használata
  • Gyakori elérésű eseményforrások használata
  • Az eBPF statisztikáinak használata

Teljesítményproblémák elhárítása valós idejű védelmi statisztikák használatával

Érintett szolgáltatás:

  • Csak a víruskeresővel kapcsolatos teljesítményproblémák

A valós idejű védelem (RTP) a Végponthoz készült Defender linuxos funkciója, amely folyamatosan figyeli és védi az eszközt a fenyegetések ellen. Fájl- és folyamatmonitorozásból és egyéb heurisztikai elemekből áll.

A következő lépésekkel elháríthatja és elháríthatja ezeket a problémákat:

  1. Tiltsa le a valós idejű védelmet az alábbi módszerek egyikével, és figyelje meg, hogy javul-e a teljesítmény. Ez a megközelítés segít leszűkíteni, hogy a Végponthoz készült Defender a Linuxon hozzájárul-e a teljesítményproblémákhoz. Ha az eszközt nem a szervezete felügyeli, a valós idejű védelem letiltható a parancssorból:

    mdatp config real-time-protection --value disabled

    Configuration property updated

    Ha a szervezete felügyeli az eszközt, a rendszergazda letilthatja a valós idejű védelmet a Végponthoz készült Defender beállításainak megadása Linuxon című témakörben található utasítások alapján.

    Megjegyzés:

    Ha a teljesítménnyel kapcsolatos probléma továbbra is fennáll, miközben a valós idejű védelem ki van kapcsolva, a probléma forrása lehet a végpontészlelés és -válasz (EDR) összetevő is. Ebben az esetben globális kizárásokat kell hozzáadnia a víruskeresőből és az EDR-ből. Ebben az esetben kövesse a Teljesítményproblémák elhárítása gyakori elérésű eseményforrásokkal című szakasz lépéseit.

  2. A legtöbb vizsgálatot kiváltó alkalmazások megkereséséhez használhatja a Végponthoz készült Defender által a Linuxon gyűjtött valós idejű statisztikákat.

    Megjegyzés:

    Ez a funkció a 100.90.70-es vagy újabb verzióban érhető el.

    Ez a funkció alapértelmezés szerint engedélyezve van a és InsiderFast a Dogfood csatornán. Ha másik frissítési csatornát használ, ez a szolgáltatás a parancssorból engedélyezhető:

    mdatp config real-time-protection-statistics --value enabled

    Ehhez a funkcióhoz engedélyezni kell a valós idejű védelmet. A valós idejű védelem állapotának ellenőrzéséhez futtassa a következő parancsot:

    mdatp health --field real_time_protection_enabled

    Ellenőrizze, hogy a real_time_protection_enabled bejegyzés értéke true. Ellenkező esetben futtassa a következő parancsot az engedélyezéséhez:

    mdatp config real-time-protection --value enabled

    Configuration property updated

    Az aktuális statisztikák gyűjtéséhez futtassa a következőt:

    mdatp diagnostic real-time-protection-statistics --output json

    Megjegyzés:

    A használatával --output json (jegyezze fel a dupla gondolatjelet) biztosítja, hogy a kimeneti formátum készen álljon az elemzésre.

    A parancs kimenete megjeleníti az összes folyamatot és a hozzájuk tartozó vizsgálati tevékenységet.

  3. Írja be a következő parancsokat:

    mdatp diagnostic real-time-protection-statistics --sort --top 4

    A kimenet a teljesítményproblémák négy legfontosabb közreműködőjének listája. A parancs kimenete például a következőhöz hasonló:

    =====================================
Process id: 560
Name: NetworkManager
Path: "/usr/sbin/NetworkManager"
Total files scanned: 261
Scan time (ns): "3070788919"
Status: Active
=====================================
Process id: 1709561
Name: snapd
Path: "/snap/snapd/23545/usr/lib/snapd/snapd"
Total files scanned: 247
Scan time (ns): "19926516003"
Status: Active
=====================================
Process id: 596
Name: systemd-logind
Path: "/usr/lib/systemd/systemd-logind"
Total files scanned: 29
Scan time (ns): "716836547"
Status: Active
=====================================
Process id: 1977683
Name: cupsd
Path: "/usr/sbin/cupsd"
Total files scanned: 20
Scan time (ns): "985110892"
Status: Active
=====================================

    A Végponthoz készült Defender teljesítményének javítása érdekében keresse meg a sor alatt Total files scanned a legmagasabb számmal rendelkezőt, és adjon hozzá egy víruskereső-kizárást (gondosan értékelje ki, hogy biztonságos-e kizárni). További információ: Végponthoz készült Defender kizárásainak konfigurálása és érvényesítése Linuxon.

    Megjegyzés:

    Az alkalmazás a memóriában tárolja a statisztikákat, és csak a fájltevékenységet követi nyomon az indítás óta, és a valós idejű védelem engedélyezve lett. A valós idejű védelem kikapcsolása előtt vagy alatt indított folyamatok nem számítanak bele. Emellett csak azokat az eseményeket számolja meg a rendszer, amelyek aktiválták a vizsgálatot.

Teljesítményproblémák elhárítása gyakori elérésű eseményforrásokkal

Érintett szolgáltatás:

  • A teljes fájlrendszerben a legtöbb CPU-ciklust használó fájlok és végrehajtható fájlok teljesítményproblémái.

A gyakori elérésű eseményforrások egy olyan funkció, amellyel az ügyfelek azonosíthatják, hogy melyik folyamat vagy címtár felelős a magas erőforrás-használatért. Annak vizsgálatához, hogy melyik folyamat/végrehajtható fájl hozza létre a legnagyobb zajt, kövesse az alábbi lépéseket.

Megjegyzés:

Ezekhez a parancsokhoz gyökérszintű engedélyekkel kell rendelkeznie. Győződjön meg arról, hogy a sudo használható.

Először ellenőrizze a gép naplózási szintjét.

mdatp health --field log_level

Ha nem a "hibakeresésen" van, módosítania kell a gyakori elérésű fájlokkal /végrehajtható fájlokkal kapcsolatos részletes jelentéshez.

sudo mdatp log level set --level debug

Log level configured successfully

Az aktuális statisztikák összegyűjtése (fájlok esetében)

sudo mdatp diagnostic hot-event-sources files

A kimenet az alábbihoz hasonlóan néz ki a konzolon (ez csak a teljes kimenet egy részlete). Itt az első sor a darabszámot (az előfordulás gyakoriságát), a második pedig a fájl elérési útját mutatja.

Total Events: 11179 Time: 12s. Throughput: 75.3333 events/sec. 
=========== Top 684 Hot Event Sources ===========
count   file path
2832    /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5
632     /mnt/RamDisk/postgres_data/base/635594/2601
619     /mnt/RamDisk/postgres_data/base/635597/2601
618     /mnt/RamDisk/postgres_data/base/635596/2601
618     /mnt/RamDisk/postgres_data/base/635595/2601
616     /mnt/RamDisk/postgres_data/base/635597/635610
615     /mnt/RamDisk/postgres_data/base/635596/635602
614     /mnt/RamDisk/postgres_data/base/635595/635606
514     /mnt/RamDisk/postgres_data/base/635594/635598_fsm
496     /mnt/RamDisk/postgres_data/base/635597/635610_fsm

Ez a parancs létrehoz egy gyakori elérésű eseményforrás-jelentést, amelyet a rendszer a helyi mappába ment, amely tovább vizsgálható. A kimenet a következőképpen néz ki a json-fájlban;

{
    "startTime": "1729535104539160",
    "endTime": "1729535117570766",
    "totalEvent": "11373",
    "eventSource": [
        {
            "authCount": "2832",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5",
            "pidCount": "1",
            "teamId": ""
        },
        {
            "authCount": "632",
            "csId": "",
            "notifyCount": "0",
            "path": "/mnt/RamDisk/postgres_data/base/635594/2601",
            "pidCount": "1",
            "teamId": ""
        }
    ]
}

A példában láthatjuk, hogy az /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5 fájl hozza létre a legtöbb tevékenységet. Hasonlóképpen a végrehajtható fájlok esetében is:

sudo mdatp diagnostic hot-event-sources executables

A kimenet a következőhöz hasonlóan néz ki a konzolon.

Total Events: 47382 Time: 18s. Throughput: 157 events/sec.
=========== Top 23 Hot Event Sources ===========
count    executable path
8216    /usr/lib/postgresql/12/bin/psql
5721    /usr/lib/postgresql/12/bin/postgres (deleted)
3557    /usr/bin/bash
378     /usr/bin/clamscan
88      /usr/bin/sudo
70      /usr/bin/dash
30      /usr/sbin/zabbix_agent2
10      /usr/bin/grep
8       /usr/bin/gawk
6       /opt/microsoft/mdatp/sbin/wdavdaemonclient
4       /usr/bin/sleep

Ez a json-fájlban a gyakori eseményforrás jelentésében mentett kimenet;

{
    "startTime": "1729534260988396",
    "endTime": "1729534280026883",
    "totalEvent": "48165",
    "eventSource": [
        {
            "authCount": "8126",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/psql",
            "pidCount": "2487",
            "teamId": ""
        },
        {
            "authCount": "5127",
            "csId": "",
            "notifyCount": "0",
            "path": "/usr/lib/postgresql/12/bin/postgres",
            "pidCount": "2144",
            "teamId": ""
        }
    ]
}

Ebben a példában a 18s után a parancs azt mutatja, hogy a végrehajtható fájlok; A /usr/lib/postgresql/12/bin/psql és /usr/lib/postgresql/12/bin/postgres hozza létre a legtöbb tevékenységet.

A vizsgálat befejezése után a naplószintet visszaállíthatja "info" értékre.

sudo mdatp log level set --level info

Log level configured successfully

A Végponthoz készült Defender teljesítményének javításához keresse meg a legnagyobb számmal rendelkező elérési utat a darabszám sorban, és adjon hozzá globális folyamatkizárást (ha végrehajtható fájl) vagy globális fájl/mappa kizárást (ha fájlról van szó) (gondosan értékelje ki, hogy biztonságos-e kizárni). További információ: Végponthoz készült Defender kizárásainak konfigurálása és érvényesítése Linuxon.

Teljesítményproblémák elhárítása eBPF-statisztikák használatával

Érintett szolgáltatás:

  • Minden fájl- vagy folyamatesemény, beleértve a rendszerhívás-alapú teljesítményproblémákat is.

Az eBPF (extended Berkeley Packet Filter) statistics parancs betekintést nyújt a legtöbb fájleseményt létrehozó legfelső eseménybe/folyamatba a syscall-azonosítókkal együtt. Amikor rendszerhívásokat kezdeményez a rendszerből, nagy mennyiségű számítási feladat jön létre a rendszeren. Az eBPF-statisztikák az ilyen problémák azonosítására használhatók.

Az aktuális statisztikák eBPF-statisztikák használatával történő gyűjtéséhez futtassa a következőt:

mdatp diagnostic ebpf-statistics

A kimenet közvetlenül a konzolon jelenik meg, és az alábbihoz hasonlóan nézne ki (ez csak a teljes kimenet kódrészlete):

Top initiator paths:
/usr/lib/postgresql/12/bin/psql : 902
/usr/bin/clamscan : 349
/usr/sbin/zabbix_agent2 : 27
/usr/lib/postgresql/12/bin/postgres : 10

Top syscall ids:
80 : 9034
57 : 8932
60 : 8929
59 : 4942
112 : 4898
90 : 179
87 : 170
119 : 32
288 : 19
41 : 15

Ez a parancs 20 másodpercig figyeli a rendszert, és megjeleníti az eredményeket. Itt a legfelső kezdeményező elérési útja (postgresql/12/bin/psql) a legtöbb rendszerhívást generáló folyamat elérési útját mutatja.

A Végponthoz készült Defender teljesítményének javításához keresse meg azt, amelyik a legmagasabb countTop initiator path a sorban, és adjon hozzá globális folyamatkizárást (gondosan értékelje ki, hogy biztonságos-e kizárni). További információ: Végponthoz készült Defender kizárásainak konfigurálása és érvényesítése Linuxon.

Globális kizárások konfigurálása a jobb teljesítmény érdekében

Konfigurálja a linuxos Végponthoz készült Microsoft Defender a teljesítményproblémákhoz hozzájáruló folyamatok vagy lemezhelyek kizárásával. További információért lásd: A Végponthoz készült Microsoft Defender kizárásainak konfigurálása és érvényesítése Linuxon. Ha továbbra is teljesítménnyel kapcsolatos problémákat tapasztal, további útmutatásért és megoldásért forduljon az ügyfélszolgálathoz.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.