針對 macOS 上適用於端點的 Microsoft Defender 的效能問題進行疑難排解

本文提供一些一般步驟，可用來縮小與 macOS 上適用於端點的 Defender 相關的效能問題。

根據您執行的應用程式和裝置特性，您在 macOS 上執行 適用於端點的 Microsoft Defender 時可能會遇到效能不佳的情況。 特別是，在短時間內存取許多資源的應用程式或系統進程可能會導致 macOS 上適用於端點的 Defender 的效能問題。

使用即時保護統計資料來疑難排解效能問題

適用於：

• 只有與Microsoft Defender防毒軟體相關的效能問題 (wdavdaemon_unprivileged) 。

RTP) (即時保護是 macOS 上適用於端點的 Defender 的一項功能，可持續監視並保護您的裝置免受威脅。 它包含檔案和進程監控以及其他啟發式方法。

必要條件：

• 適用於端點的 Microsoft Defender 版本 (平台更新) 100.90.70 或更新版本
• 如果您在封鎖模式下開啟了 篡改防護 ，請使用 疑難排解模式 來擷取即時保護統計資料。 否則，您會得到空值結果。

若要針對效能問題進行疑難排解和緩解，請遵循下列步驟：

1. 使用下表中的其中一種方法停用即時保護，然後觀察效能是否改善。 此方法有助於縮小 macOS 上的適用於端點的 Microsoft Defender 是否會導致效能問題。

   裝置管理	方法
   裝置不受組織管理	使用者介面：在 macOS 上開啟適用於端點的 Microsoft Defender，然後流覽至 [管理設定]。
   裝置不受組織管理	終端機：在終端機中，執行下列命令： mdatp config real-time-protection --value disabled
   裝置由組織管理	請參閱在 macOS 上設定適用於端點的 Microsoft Defender 喜好設定。

   如果效能問題在即時保護關閉時持續存在，則問題的來源可能是端點偵測和回應元件。 在這種情況下，請聯絡客戶支援以取得進一步的說明和緩解措施。

2. 開啟 Finder 並導航至 應用程式>實用程式。 開啟 「活動監視器 」並分析哪些應用程式正在使用系統上的資源。 典型的例子包括軟體更新程式和編譯器。

3. 此功能需要啟用即時保護。 若要檢查即時保護的狀態，請執行下列命令：

   mdatp health --field real_time_protection_enabled
   

   驗證 real_time_protection_enabled 條目是否 為true。 否則，請執行下列命令來啟用它：

   mdatp config real-time-protection --value enabled
   

   Configuration property updated
   

4. 若要尋找觸發最多掃描的應用程式，您可以使用適用於端點的 Defender 在 macOS 上收集的即時統計資料。 執行下列命令以啟用它：

   mdatp config real-time-protection-statistics --value enabled
   

   提示

   在繼續擷取資料之前，請確定wdavdaemon_unprivileged中出現高 CPU 使用率，方法是執行 top 或開啟 activity monitor。

5. 若要輸出至 json 檔案，請執行下列命令：

   mdatp diagnostic real-time-protection-statistics --output json > real_time_protection.json
   

   注意事項

   使用 --output json (注意雙破折號) 可確保輸出格式已準備好進行解析。 此指令的輸出會顯示所有處理程序及其相關聯的掃描活動。

6. 在您的 macOS 系統上，使用以下命令下載範例 Python 剖析器 high_cpu_parser.py ：

   curl -O https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/linux/diagnostic/high_cpu_parser.py
   

   此命令的輸出應類似下列內容：

   --2020-11-14 11:27:27-- https://raw.githubusercontent.com/microsoft.
   mdatp-xplat/master/linus/diagnostic/high_cpu_parser.py
   Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.xxx.xxx
   Connecting to raw.githubusercontent.com (raw.githubusercontent.com)| 151.101.xxx.xxx| :443... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 1020 [text/plain]
   Saving to: 'high_cpu_parser.py'
   100%[===========================================>] 1,020    --.-K/s   in
   0s
   

7. 輸入下列命令：

   chmod +x high_cpu_parser.py
   

   cat real_time_protection.json | python high_cpu_parser.py  > real_time_protection.log
   

   輸出應該是效能問題的主要貢獻者的清單。 第一欄是 PID) (程序識別碼，第二欄是程序名稱，最後一欄是掃描的檔案數，依影響排序。 以下為範例:

   ... > python ~/repo/mdatp-xplat/linux/diagnostic/high_cpu_parser.py <~Downloads/output.json | head -n 10
   27432 None 76703
   73467 actool     1249
   73914 xcodebuild 1081
   73873 bash 1050
   27475 None 836
   1    launchd    407
   73468 ibtool     344
   549  telemetryd_v1   325
   4764 None 228
   125  CrashPlanService 164
   

8. 若要改善適用於端點的 Defender 在 macOS 上的效能，請找出 [ 掃描的檔案總數 ] 資料列下具有最高數字的專案，然後新增排除專案。 如需詳細資訊，請參閱 在 macOS 上設定和驗證適用於端點的 Defender 的排除專案。

   注意事項

   該應用程式將統計資料儲存在記憶體中，並且僅追蹤自啟動並啟用即時保護以來的檔案活動。 在即時保護關閉之前或期間啟動的程序不會計算在內。 此外，只會計算觸發掃描的事件。

9. 在 macOS 上設定適用於端點的 Microsoft Defender，並排除導致效能問題的進程或磁碟位置，並重新啟用即時保護。

   請參閱在 macOS 上設定和驗證 適用於端點的 Microsoft Defender 的排除項目。

疑難排解行為監控的效能問題

請參閱我們支援頁面上的行為 監控指南。

針對適用於端點的 Microsoft Defender 用戶端分析器來排解效能問題

適用於端點的 Microsoft Defender Client Analyzer (MDECA) 可以收集追蹤、日誌和診斷資訊，以便對macOS上已上線裝置上的效能問題進行疑難排解。

若要執行用戶端分析器以疑難排解效能問題，請參閱 在 macOS 和 Linux 上執行用戶端分析器。