Linux'ta Uç Nokta için Microsoft Defender performans sorunlarını giderme
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Sunucusu
- Sunucular için Microsoft Defender
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Bu makalede, Linux'ta Uç Nokta için Defender ile ilgili performans sorunlarının nasıl daraltıldığı açıklanır. Tanılama araçları, performansı etkileyen mevcut kaynak yetersizliklerini ve işlemlerini anlamanıza ve azaltmanıza yardımcı olur. Bu tanılama araçları, Microsoft Defender portalında görünürlüğü artırmak için de kullanılabilir. Bir veya daha fazla donanım alt sistemindeki performans sorunları, sistemdeki kaynak kullanımı profiline bağlı olarak temel olarak performans sorunlarına neden olur. Bazen uygulamalar disk G/Ç kaynaklarına duyarlıdır ve daha fazla CPU kapasitesine ihtiyaç duyar ve bazen bazı yapılandırmalar sürdürülebilir değildir ve çok fazla yeni işlem tetikleyebilir ve çok fazla dosya tanımlayıcısı açabilir.
Çalıştırdığınız uygulamalara ve cihazınızın özelliklerine bağlı olarak, Linux'ta Uç Nokta için Defender'ı çalıştırırken iyi olmayan performansla karşılaşabilirsiniz. Özellikle CPU, Disk ve Bellek gibi birçok kaynağa kısa bir süre boyunca erişen uygulamalar veya sistem işlemleri Linux üzerinde Uç Nokta için Defender'da performans sorunlarına yol açabilir.
Uyarı
Başlamadan önce, cihazda şu anda diğer güvenlik ürünlerinin çalışmadığından emin olun. Birden çok güvenlik ürünü çakışabilir ve konak performansını etkileyebilir.
Linux'ta Uç Nokta için Microsoft Defender tanılama araçlarını kullanarak gürültülü işlemleri ve dizinleri gidermenin üç farklı yolu vardır:
- Gerçek Zamanlı Koruma İstatistiklerini Kullanma
- Sık Erişimli Olay Kaynaklarını Kullanma
- eBPF İstatistiklerini Kullanma
Gerçek Zamanlı Koruma İstatistiklerini kullanarak performans sorunlarını giderme
Şunlar için geçerlidir:
- Yalnızca virüsten koruma ile ilgili performans sorunları
Gerçek zamanlı koruma (RTP), Linux'ta cihazınızı sürekli izleyen ve tehditlere karşı koruyan bir Uç Nokta için Defender özelliğidir. Dosya ve süreç izleme ve diğer buluşsal yöntemlerden oluşur.
Bu sorunları gidermek ve azaltmak için aşağıdaki adımlar kullanılabilir:
Aşağıdaki yöntemlerden birini kullanarak gerçek zamanlı korumayı devre dışı bırakın ve performansın iyileşip iyileşmediğini gözlemleyin. Bu yaklaşım, Linux'ta Uç Nokta için Defender'ın performans sorunlarına katkıda bulunup bulunmadığını daraltmaya yardımcı olur. Cihazınız kuruluşunuz tarafından yönetilmiyorsa, gerçek zamanlı koruma komut satırından devre dışı bırakılabilir:
mdatp config real-time-protection --value disabledConfiguration property updatedKuruluşunuz cihazınızı yönetiyorsa, yöneticiniz Linux'ta Uç Nokta için Defender tercihlerini ayarlama başlığı altındaki yönergeleri kullanarak gerçek zamanlı korumayı devre dışı bırakabilir.
Not
Gerçek zamanlı koruma kapalıyken performans sorunu devam ederse, sorunun kaynağı uç nokta algılama ve yanıt (EDR) bileşeni de olabilir. Bu durumda Virüsten Koruma ve EDR'den genel dışlamalar eklemeniz gerekir. Bu durumda Sık Erişimli Olay Kaynaklarını kullanarak performans sorunlarını giderme bölümündeki adımları izleyin.
En çok taramayı tetikleyen uygulamaları bulmak için, Linux'ta Uç Nokta için Defender tarafından toplanan gerçek zamanlı istatistikleri kullanabilirsiniz.
Not
Bu özellik 100.90.70 veya daha yeni sürümlerde kullanılabilir.
Bu özellik ve
InsiderFastkanallarındaDogfoodvarsayılan olarak etkindir. Farklı bir güncelleştirme kanalı kullanıyorsanız, bu özellik komut satırından etkinleştirilebilir:mdatp config real-time-protection-statistics --value enabledBu özelliğin etkinleştirilmesi için gerçek zamanlı koruma gerekir. Gerçek zamanlı korumanın durumunu denetlemek için aşağıdaki komutu çalıştırın:
mdatp health --field real_time_protection_enabledGirdinin
real_time_protection_enabledolduğunutruedoğrulayın. Aksi takdirde, etkinleştirmek için aşağıdaki komutu çalıştırın:mdatp config real-time-protection --value enabledConfiguration property updatedGeçerli istatistikleri toplamak için şunu çalıştırın:
mdatp diagnostic real-time-protection-statistics --output jsonNot
Kullanmak
--output json(çift çizgiye dikkat edin), çıkış biçiminin ayrıştırma için hazır olmasını sağlar.Bu komutun çıkışı tüm işlemleri ve bunların ilişkili tarama etkinliğini gösterir.
Aşağıdaki komutları yazın:
mdatp diagnostic real-time-protection-statistics --sort --top 4Çıkış, performans sorunlarına en çok katkıda bulunan dört listenin listesidir. Örneğin, komutun çıkışı aşağıdakine benzer:
===================================== Process id: 560 Name: NetworkManager Path: "/usr/sbin/NetworkManager" Total files scanned: 261 Scan time (ns): "3070788919" Status: Active ===================================== Process id: 1709561 Name: snapd Path: "/snap/snapd/23545/usr/lib/snapd/snapd" Total files scanned: 247 Scan time (ns): "19926516003" Status: Active ===================================== Process id: 596 Name: systemd-logind Path: "/usr/lib/systemd/systemd-logind" Total files scanned: 29 Scan time (ns): "716836547" Status: Active ===================================== Process id: 1977683 Name: cupsd Path: "/usr/sbin/cupsd" Total files scanned: 20 Scan time (ns): "985110892" Status: Active =====================================Linux'ta Uç Nokta için Defender'ın performansını geliştirmek için satırın altında
Total files scanneden yüksek sayıya sahip olanı bulun ve bunun için bir virüsten koruma dışlaması ekleyin (dışlanması güvenli olup olmadığını dikkatlice değerlendirin). Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Defender dışlamalarını yapılandırma ve doğrulama.Not
Uygulama istatistiği bellekte depolar ve yalnızca başlatıldığından ve gerçek zamanlı koruma etkinleştirildiğinden beri dosya etkinliğini izler. Gerçek zamanlı korumanın kapalı olduğu dönemlerde veya öncesinde başlatılan işlemler sayılmaz. Ayrıca, yalnızca taramaları tetikleyen olaylar sayılır.
Sık Erişimli Olay Kaynaklarını kullanarak performans sorunlarını giderme
Şunlar için geçerlidir:
- Dosya sisteminin tamamında cpu döngülerinin çoğunu kullanan dosyalarda ve yürütülebilir dosyalarda performans sorunları.
Sık erişimli olay kaynakları, müşterilerin yüksek kaynak tüketiminden hangi sürecin veya dizinin sorumlu olduğunu belirlemesine olanak tanıyan bir özelliktir. En çok gürültü oluşturan işlemi/yürütülebilir dosyayı araştırmak için aşağıdaki adımları izleyin.
Not
Bu komutlar kök izinlere sahip olmanız gerekir. Sudo'un kullanılabildiğinden emin olun.
İlk olarak makinenizdeki günlük düzeyini denetleyin.
mdatp health --field log_level
"Hata ayıklama" üzerinde değilse sık erişimli dosyalar / yürütülebilir dosyalar ile ilgili ayrıntılı bir rapor için bunu değiştirmeniz gerekir.
sudo mdatp log level set --level debug
Log level configured successfully
Geçerli istatistikleri toplamak için (dosyalar için),
sudo mdatp diagnostic hot-event-sources files
Çıkış, konsolda aşağıdakine benzer (bu yalnızca çıkışın tamamının bir parçacığıdır). Burada, ilk satır sayıyı (oluşum sıklığı) ve ikinci satır dosya yolunu gösterir.
Total Events: 11179 Time: 12s. Throughput: 75.3333 events/sec.
=========== Top 684 Hot Event Sources ===========
count file path
2832 /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5
632 /mnt/RamDisk/postgres_data/base/635594/2601
619 /mnt/RamDisk/postgres_data/base/635597/2601
618 /mnt/RamDisk/postgres_data/base/635596/2601
618 /mnt/RamDisk/postgres_data/base/635595/2601
616 /mnt/RamDisk/postgres_data/base/635597/635610
615 /mnt/RamDisk/postgres_data/base/635596/635602
614 /mnt/RamDisk/postgres_data/base/635595/635606
514 /mnt/RamDisk/postgres_data/base/635594/635598_fsm
496 /mnt/RamDisk/postgres_data/base/635597/635610_fsm
Bu komut, daha fazla araştırılabilen yerel klasörünüzde kaydedilen bir Etkin olay kaynağı raporu oluşturur. Çıkış, json dosyasında aşağıdaki gibi görünür;
{
"startTime": "1729535104539160",
"endTime": "1729535117570766",
"totalEvent": "11373",
"eventSource": [
{
"authCount": "2832",
"csId": "",
"notifyCount": "0",
"path": "/mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5",
"pidCount": "1",
"teamId": ""
},
{
"authCount": "632",
"csId": "",
"notifyCount": "0",
"path": "/mnt/RamDisk/postgres_data/base/635594/2601",
"pidCount": "1",
"teamId": ""
}
]
}
Örnekte, /mnt/RamDisk/postgres_data/pg_wal/0000000100000014000000A5 dosyasının en fazla etkinliği oluşturduğunu görebiliriz. Ayrıca, yürütülebilir dosyalar için de benzer şekilde,
sudo mdatp diagnostic hot-event-sources executables
Çıkış, konsolda aşağıdakine benzer.
Total Events: 47382 Time: 18s. Throughput: 157 events/sec.
=========== Top 23 Hot Event Sources ===========
count executable path
8216 /usr/lib/postgresql/12/bin/psql
5721 /usr/lib/postgresql/12/bin/postgres (deleted)
3557 /usr/bin/bash
378 /usr/bin/clamscan
88 /usr/bin/sudo
70 /usr/bin/dash
30 /usr/sbin/zabbix_agent2
10 /usr/bin/grep
8 /usr/bin/gawk
6 /opt/microsoft/mdatp/sbin/wdavdaemonclient
4 /usr/bin/sleep
Bu, json'daki etkin olay kaynağı raporuna kaydedilen çıkıştır;
{
"startTime": "1729534260988396",
"endTime": "1729534280026883",
"totalEvent": "48165",
"eventSource": [
{
"authCount": "8126",
"csId": "",
"notifyCount": "0",
"path": "/usr/lib/postgresql/12/bin/psql",
"pidCount": "2487",
"teamId": ""
},
{
"authCount": "5127",
"csId": "",
"notifyCount": "0",
"path": "/usr/lib/postgresql/12/bin/postgres",
"pidCount": "2144",
"teamId": ""
}
]
}
Bu örnekte, 18'lerden sonra komut yürütülebilir dosyaları gösterir; /usr/lib/postgresql/12/bin/psql ve /usr/lib/postgresql/12/bin/postgres en fazla etkinliği oluşturur.
Araştırmayı tamamladıktan sonra günlük düzeyini "bilgi" olarak değiştirebilirsiniz.
sudo mdatp log level set --level info
Log level configured successfully
Linux'ta Uç Nokta için Defender'ın performansını geliştirmek için, sayım satırında en yüksek sayıya sahip yolu bulun ve genel işlem dışlaması (yürütülebilir bir dosyaysa) veya genel dosya/klasör dışlaması (dosyaysa) ekleyin (dışlanması güvenli olup olmadığını dikkatlice değerlendirin). Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Defender dışlamalarını yapılandırma ve doğrulama.
eBPF İstatistiklerini kullanarak performans sorunlarını giderme
Şunlar için geçerlidir:
- Sistem çağrısı tabanlı performans sorunları da dahil olmak üzere tüm dosya/işlem olayları.
eBPF (genişletilmiş Berkeley Paket Filtresi) istatistik komutu, syscall kimlikleriyle birlikte en fazla dosya olayını oluşturan en önemli olay/işlem hakkında içgörüler sağlar. Sistemden sistem çağrıları yapılırken sisteminizde yüksek miktarda iş yükü oluşturulur. Bu tür sorunları tanımlamak için eBPF istatistikleri kullanılabilir.
eBPF istatistiklerini kullanarak geçerli istatistikleri toplamak için şunu çalıştırın:
mdatp diagnostic ebpf-statistics
Çıkış doğrudan konsolunda gösterilir ve aşağıdakine benzer olacaktır (bu yalnızca çıkışın tamamının bir parçacığıdır):
Top initiator paths:
/usr/lib/postgresql/12/bin/psql : 902
/usr/bin/clamscan : 349
/usr/sbin/zabbix_agent2 : 27
/usr/lib/postgresql/12/bin/postgres : 10
Top syscall ids:
80 : 9034
57 : 8932
60 : 8929
59 : 4942
112 : 4898
90 : 179
87 : 170
119 : 32
288 : 19
41 : 15
Bu komut sistemi 20 saniye boyunca izler ve sonuçları gösterir. Burada en üst başlatıcı yolu (postgresql/12/bin/psql), en çok sistem çağrısını oluşturan işlemin yolunu gösterir.
Linux'ta Uç Nokta için Defender'ın performansını geliştirmek için, satırda Top initiator path en count yüksek olanını bulun ve bunun için genel bir işlem dışlaması ekleyin (dışlamanın güvenli olup olmadığını dikkatlice değerlendirin). Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Defender dışlamalarını yapılandırma ve doğrulama.
Daha iyi performans için Genel Dışlamaları yapılandırma
Performans sorunlarına katkıda bulunan işlemler veya disk konumları için dışlamalarla Linux'ta Uç Nokta için Microsoft Defender yapılandırın. Daha fazla bilgi için bkz. Linux'ta Uç Nokta için Microsoft Defender dışlamaları yapılandırma ve doğrulama. Hala performans sorunlarınız varsa, daha fazla yönerge ve risk azaltma için desteğe başvurun.
Ayrıca bkz.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.