AMTrace é uma ferramenta interna para coletar dados de registro em log deAMCore (última atualização em 11 de outubro de 2018). Para usarAMTrace para coletar dados de registro deAMCore :- Preparar
AMTrace :- Fazer download do pacote zip
ENSDataCollect.zip na guia Associação deste artigo. - Extraia o conteúdo para a área de trabalho.
- Fazer download do pacote zip
- Executa
AMTrace :- Clique Começo, digite
cmd.exe na barra de pesquisa, clique com o botão direito do mousecmd.exe na lista e clique em Executa como administrador. - Quando estiver pronto para iniciar um rastreamento, use a opção de comando abaixo, exigida pela seção de coleta de dados relevante.
INDICADO A seguir estão os caminhos para oAMTrace.exe locais arquivo:C:\Users\username\Desktop\ENSDataCollect\AMTracex86 C:\Users\username\Desktop\ENSDataCollect\AMTracex64
AMTrace opções de comando:- Para usar o
AMTrace onboot opção, execute o seguinte comando:AMTrace.exe -b onboot -m 4GB
ANOTAÇÕES- O "GB" diferencia maiúsculas e minúsculas. Este exemplo limita o tamanho do registro a 4 GB. 10 MB é o valor mínimo aceito e 2 GB é o padrão, se não especificado.
- Essa opção não é compatível com os modos de registro alternativos descritos abaixo.
- Para usar
AMTrace com o Ora opção, execute o seguinte comando:
AMTrace.exe -b now -m 4GB
Important OAMTrace Agora usa o revisão opção por padrão.Este comando instrui a ferramenta a iniciar um rastreamento imediatamentee para limitar o tamanho do registro a 4 GB por.etl arquivo. Quando o registro atingir 4 GB, um novo registro será criado. Cada registro é anexado com _1, _2e assim por diante até que você interrompa o rastreamento, o usuário efetuará logoff ou encerrará o sistema.
INDICADO O "GB" diferencia maiúsculas e minúsculas. - Para usar
AMTrace tenha a opção de sobreposição:Escolha um método de registro apropriado para o problema que você deseja registrar:
AMTrace.exe -b now -m 4GB -L stop
AMTrace.exe -b now -m 4GB -L circular
O Stop o modo cria uma sessão de rastreamento que para de entrar em log depois de atingir o limite de tamanho.
O circular o modo cria uma sessão de rastreamento que registra um arquivo único. Depois de atingir o tamanho máximo, os eventos mais antigos são sobrescritos.
INDICADO Os "L" e "GB" diferenciam maiúsculas de minúsculas.
- Interrompa o rastreamento e salve o log. Use o seguinte comando:
AMTrace -e
- Quando possível,
AMTrace tenta renomear automaticamente os arquivos ETL resultantes para incluir a hora de início e a hora de término do registro no nome do arquivo. Por exemplo,amtrace_20200704.010203-010305.etl indicaria que o registro começou 2020-07-04 (4 de julho de 2020) às 1:02:03 e continuau até 1:03:05.
MesmoAMTrace Não é possível renomear o arquivo quando o log for interrompido, ainda é possível renomear o arquivo manualmente com outroAMTrace preta
AMTrace.exe --datestamp *.etl
Esse comando aceita caracteres curinga (* Quanto? ) para fazer referência a vários caracteres ou um único caractere, respectivamente. Esse comando renomeia o arquivo ou os arquivos especificados para incluir as horas de início e de término no nome do arquivo. Ele não afeta arquivos que já tenham o é adicionado.
- Clique Começo, digite
AMTrace estiver em andamento, execute o comando a seguir para listar todos os rastreamentos ativos:
AMTrace -q
Para uma demonstração de como coletarAMTrace dados com este procedimento, Assista ao seguinte vídeo:
- Preparar
GFlags permite que você ative e desative recursos avançados de diagnóstico e solução de problemas do sistema interno. Você pode executarGFlags a partir de uma janela de prompt de comando ou usar a caixa de diálogo interface gráfica do usuário. Em geral, é usado para ativar os indicadores que outras ferramentas rastreiam, contabilizam e registram.- MER coleta logs de eventos, arquivo detalhes da versão, arquivos, detalhes do processo e detalhes do registro de McAfee produtos instalados no computador. O Suporte técnico usa dados coletados para solucionar problemas. Para obter mais informações, consulte: ARTIGO KB59385-como usar as ferramentas do MER com produtos McAfee compatíveis.
- Monitor do processo o é uma ferramenta da Microsoft que monitora e exibe todas as atividades do sistema arquivo em um sistema operacional Windows em tempo real. Use a ferramenta de administração de sistemas, perícia de computador e depuração de aplicativos. Como usar o Process Monitor:
- Prepare Monitoramento de processo:
- Faça download do monitor de processos no Página de downloads do Process Monitor.
- Extrato
Procmon.exe para a área de trabalho.
- Execute o Monitoramento de processo:
- Quando estiver pronto para iniciar o monitor do processo, use a opção abaixo, exigida pela seção de coleta de dados relevante.
- Para iniciar o Monitoramento de processo imediatamente:
- Executa
Procmon.exe e começará automaticamente a capturar as informações do processo. - Para parar o Monitoramento de processo, pressione Ctrl+E ou clique em Arquivo e desmarque Capturar eventos. Pressione Ctrl+E novamente para retomar a coleta de dados.
- Para salvar o log, clique em Arquivo, Salvar... (selecione Todos os eventos e use o formato de PML nativo).
- Executa
- Para ativar a opção de registro de inicialização do monitor de processos, se necessário, na seção coleta de dados relevantes:
- Abra o console do Monitoramento de processo.
- Clique em Opções.
- Clique em Ativar registro em log da inicialização.
- Clique em OK na janela de pop-up. Na próxima vez que ocorrer uma reinicialização, um log de rastreamento de inicialização será criado.
- Para salvar o log, execute o Monitoramento de processo novamente e clique em Arquivo, Salvar... (selecione Todos os eventos e use o formato de PML nativo).
- Para iniciar o Monitoramento de processo imediatamente:
- Quando estiver pronto para iniciar o monitor do processo, use a opção abaixo, exigida pela seção de coleta de dados relevante.
Para ver uma demonstração de como coletar dados do monitor de processos com esse procedimento, Assista ao seguinte vídeo:
- Prepare Monitoramento de processo:
Procdump o é um utilitário de linha de comando usado para monitor um aplicativo para picos de CPU. Ele gera despejos de falhas durante um pico que um administrador ou desenvolvedor pode usar para determinar a causa do pico.Perfmon o é uma ferramenta que os administradores podem usar para examinar como os programas, que estão sendo executados em seus computadores, afetam o desempenho do computador. Use a ferramenta em tempo real para analisar como os programas em execução afetam o desempenho do sistema. Você também pode usar essa ferramenta para coletar informações de arquivo de log para análise de dados de desempenho do sistema mais tarde.- Olmo exibe os dados que o sistema operacional coleta sobre alocações de memória dos pools de kernel paginados e não-paginados do sistema, e os pools de memória usados para as sessões dos serviços de terminal. Os dados são agrupados por marca de alocação de pool. Microsoft Suporte técnico usa essas informações para encontrar vazamentos de memória no modo de kernel.
- Conversor de VMware o é um utilitário gratuito da VMware que ajuda a converter sistemas físicos com base em Windows e Linux para VMware máquinas virtuais. Você também pode usá-lo para converter formatos de imagem de terceiros, como imagens de backup e outras máquinas virtuais, para VMware máquinas virtuais. Use essa ferramenta para criar máquinas virtuais a fim de fornecer Suporte técnico para a solução de problemas.
- WinDbg é um Microsoft depurador distribuído para o sistema operacional Windows. Use essa ferramenta para depurar aplicativos de modo de usuário, drivers de dispositivo e o próprio sistema operacional no modo kernel. Ele tem uma interface gráfica de usuário e é mais potente do que o depurador do Visual Studio.
- O Windows Performance Recorder (WPR) é uma ferramenta de gravação de desempenho de Microsoft baseada no rastreamento de eventos do Windows (ETW). Ele registra eventos do sistema que podem ser analisados usando o Windows Performance Analyzer (WPA). Como usar o WPR:
- Clique Começo, digite
cmd.exe na barra de pesquisa, clique com o botão direito do mousecmd.exe na lista e clique em Executar como administrador. - Ferência
wprui.exe e pressione ENTER para iniciar o WPR.- Para obter Windows SDK, consulte o Página de downloads do SDK do Windows.
- Para obter Windows o kit de avaliação e distribuição, consulte o Página de downloads do kit de avaliação e distribuição do Windows.
- Optar por usar um Cenário de desempenho e outras configurações, conforme recomendado na tabela a seguir:
Problemas de performanceCenário de desempenhoNível de detalheModo de registro em log
Perfis a serem incluídos Número de iterações Inicialização ou entrada lentaInicializaçãoVeja abaixoArquivoTriagem de primeiro nível, uso de CPU, atividade de E/S do arquivo, atividade de E/S do minifiltro Pelo menos 1 Alta utilização de CPUGeralVeja abaixoArquivoTriagem de primeiro nível, uso de CPU, atividade de E/S do arquivo, atividade de E/S do minifiltro N/A O aplicativo está lento ou não está respondendoGeral Veja abaixo Arquivo Triagem de primeiro nível, uso de CPU, atividade de E/S do arquivo, atividade de E/S do minifiltro N/D
O uso do WPR coloca uma sobrecarga extra no sistema, que pode alterar ou mascarar o problema original que você deseja investigar. Colete dois conjuntos de dados com diferentes níveis de detalhes. Use a configuração Resumida para mostrar o problema e a configuração Detalhada para permitir um conjunto de dados adequado para uma análise detalhada. Capture pelo menos 30 segundos.
Quando possível, colete um registro do WPR sem o problema enquanto executa a mesma tarefa, para fins de comparação. Um conjunto de dados sem ENS presente é necessário para estabelecer o benchmark do desempenho esperado.
Para ver uma demonstração de como coletar dados do WPR com esse procedimento, Assista ao seguinte vídeo:
- Clique Começo, digite
Etapas mínimas de coleta de dados para problemas de Endpoint Security
Artigos técnicos ID:
KB86691
Última modificação: 23/09/2021
Última modificação: 23/09/2021
Ambiente
McAfee Endpoint Security (ENS) Proteção adaptável contra ameaças (ATP) 10.x
McAfee ENS Firewall 10.x
Plataforma McAfee ENS 10.x
McAfee ENS Prevenção contra ameaças 10.x
McAfee ENS Controle da Web 10.x
McAfee ENS Firewall 10.x
Plataforma McAfee ENS 10.x
McAfee ENS Prevenção contra ameaças 10.x
McAfee ENS Controle da Web 10.x
Resumo
Este artigo fornece informações básicas sobre as etapas da Coleta mínima de dados para solucionar problemas comuns do ENS.
Verifique se todos os registros são coletados do mesmo sistema que enfrentam o problema e que todos os registros são coletados ao mesmo tempo. Os carimbos de data e hora dos dados do registro em log podem ser usados para solucionar o problema.
Registros incompatíveis de sistemas diferentes ou registros coletados em momentos diferentes, não podem ser usados para a solução de problemas. Tais registros podem fazer com que o recolete todos os logs de coleta de dados mínimos.
As seções a seguir descrevem os dados a serem coletados para cada tipo de problema:
Para obter instruções, consulte: KB91797-registro de depuração de Ativar para solucionar problemas de Endpoint Security.
Execute as etapas desta seção se os sintomas forem qualquer um dos seguintes:
AMTrace e Process Monitor:
AMTrace e Process Monitor:
AMTrace :
Execute as etapas desta seção se os sintomas forem qualquer um dos seguintes:
Execute as etapas desta seção se os sintomas forem qualquer um dos seguintes:
Execute as etapas nesta seção se houver suspeita de perda de kernel de memória envolvendo um processo de McAfee.
Execute as etapas nesta seção se os sintomas envolvem o Device Guard ou o Credential Guard.
Execute as etapas de coleta de dados nesta seção se um ou mais componentes do ENS não puderem ser instalados.
INDICADO Verifique se você coleta os dados durante a instalação local do ENS. Solucione os problemas de cada módulo como um produto separado.
Execute as etapas desta seção se os sintomas forem qualquer um dos seguintes:
Execute as etapas desta seção se os sintomas estiverem relacionados ao TIE:
Verifique se todos os registros são coletados do mesmo sistema que enfrentam o problema e que todos os registros são coletados ao mesmo tempo. Os carimbos de data e hora dos dados do registro em log podem ser usados para solucionar o problema.
Registros incompatíveis de sistemas diferentes ou registros coletados em momentos diferentes, não podem ser usados para a solução de problemas. Tais registros podem fazer com que o recolete todos os logs de coleta de dados mínimos.
Important Os arquivos a seguir são necessários para Suporte técnico:
- Requisitos mínimos de escalonamento (MER) arquivos com log de depuração para ENS são necessários para todos os problemas. Para obter informações sobre o log de depuração, consulte Verificar se o registro em log da depuração do ENS está ativado. Para obter informações sobre os arquivos do MER, consulte: ARTIGO KB59385-como usar as ferramentas do MER com produtos McAfee compatíveis. O registro em log de depuração deve ser ativado para o Real Protect
RC.log a ser gerado.
- Inicialização ou inicialização lenta
- Entrada lenta
- Inicialização lenta do aplicativo (reproduzível ou aleatório)
- Desempenho lento do aplicativo (reproduzível ou aleatório)
- Desempenho lento do sistema (reproduzível ou aleatório)
- Travamento ou bloqueio do sistema
- Verificação de bug do sistema (tela azul)
- Bloqueio ou interrupção do aplicativo (não respondendo e não recuperando)
- Falha do aplicativo
- Vazamento de memória (modo de usuário ou de kernel)
- Problemas relacionados ao Device Guard ou ao Credential Guard
- Falha na instalação de um ou mais componentes do ENS
- O status de ENS é: Plataforma do Endpoint Security não está sendo executado!
- Injeção de DLL de terceiros
- Problemas relacionados ao Threat Intelligence Exchange (TIE)
- Problemas relacionados ao Firewall do ENS
- Inicialização lenta
- Entrada lenta
- Começo
AMTrace com oonboot alternativa. - Inicie o Monitoramento de processo e ative a opção de registro em log da inicialização.
- Reinicialize o sistema.
- Reproduza o problema.
- Entre no sistema.
- Stop
AMTrace e salve o registro. - Abra o Monitoramento de processo e salve o log da inicialização.
- Execute o WPR.
- Configure o cenário de desempenho de Inicialização .
- Inicie a captura.
- Reinicialize o sistema.
- Reproduza o problema.
- Entre no sistema.
- Permita que o WPR: rastreamento de inicialização seja concluído.
- Capture os arquivos ETL salvos.
Execute as etapas nesta seção se os sintomas forem reproduzidos e forem um dos seguintes:
- Inicialização lenta de aplicativo
- Desempenho lento de aplicativo
- Desempenho lento do sistema
- Iniciar Monitoramento de processo.
- Começo
AMTrace com o Ora alternativa. - Reproduza o problema.
- Stop
AMTrace e salve o registro. - Interrompa o Monitoramento de processo e salve o log.
- Execute o WPR.
- Configure o cenário de desempenho Geral .
- Inicie o rastreamento.
- Reproduza o problema.
- Interrompa o rastreamento.
- Capture o arquivo ETL salvo.
Execute as etapas nesta seção se os sintomas ocorrerem aleatoriamente e se forem um dos seguintes:
- Inicialização lenta de aplicativo
- Desempenho lento de aplicativo
- Desempenho lento do sistema
- Começo
AMTrace com o revisão alternativa. - Quando o problema ocorrer, pare
AMTrace e salve o registro.
- Execute o WPR.
- Configurar o Ti Cenário de desempenho com Rowset como o modo de registro em log.
- Inicie o rastreamento.
- Reproduza o problema.
- Salve o rastreamento assim que possível depois de reproduzir o problema.
- Capture o arquivo ETL salvo.
- Travamento ou bloqueio do sistema
- Verificação de bug do sistema (tela azul)
-
Configure o sistema para criar um memory.dmp completo. Exibidas KB56023-criar um despejo de memória para análise por Suporte técnico.
- Configure o sistema para permitir uma falha de teclado. Ver este Microsoft artigo para forçar uma falha no teclado.
- Crie o arquivo de descarregar quando o problema ocorrer. Geralmente, quanto mais tempo você puder esperar antes de gerar a arquivo de despejo, mais fácil será identificar a condição de travamento no despejo.
- Configure o sistema para criar um memory.dmp completo. Exibidas KB56023-criar um despejo de memória para análise por Suporte técnico.
- Colete a arquivo de despejo completo quando a verificação de bug do sistema (tela azul) ocorrer.
- Abra um prompt de comando administrativo.
- Ferência
fltmc . - Colete a saída do
fltmc preta.
- Interrupção ou bloqueio do aplicativo (não respondendo e não recuperando)
- Falha do aplicativo
- Faça download do ProcDump no Página de downloads do ProcDump.
- Extraia o ProcDump para a área de trabalho.
- Abra um prompt de comando administrativo e altere o diretório para
C:\Users\username\Desktop\Procdump . - Execute o seguinte comando:
procdump -ma - Colete o arquivo de descarga criado, que está no
Procdump pasta.
- Se o processo de travamento for um processo de ENS, desative o ENS autoprotection.
- Descarregar
ProcDump na guia Página de downloads do ProcDump. - Extrato
ProcDump para a área de trabalho. - Abra um prompt de comando administrativo e altere o diretório para
C:\Users\username\Desktop\Procdump . - Execute o seguinte comando:
procdump -ma -e ProcDump para gerar um despejo na próxima vez que o processo falhar. - Aguarde até que o processo falhe novamente.
- Colete o arquivo de descarga criado, que está no
Procdump pasta. - Reative a autoproteção do ENS.
Execute as etapas nesta seção se os sintomas envolverem um modo de usuário ou um vazamento de memória de aplicativo. Coletar três (3) Despejos de falha do aplicativo ou modo de usuário para análise.
- Faça download do ProcDump no Página de downloads do ProcDump.
- Extraia o ProcDump para a área de trabalho.
- Identifique o nome do processo que está vazando a memória.
- Ativar um rastreamento de pilha no processo de vazamento. Exibidas KB91252-como ativar um rastreamento de pilha usando o utilitário Gflags. exe.
- Aguarde até que o processo suspeito mostre o uso de memória alta.
- Abra um prompt de comando administrativo e altere o diretório para
C:\Users\username\Desktop\Procdump . - Execute o seguinte comando:
procdump -ma - Colete o arquivo de descarga criado, que está no
Procdump pasta. - Repita as etapas e colete três (3) descargas de falha do aplicativo ou do modo de usuário para análise.
- Desativar o rastreamento de pilha no processo assim que todos os arquivos de despejo de falha são coletados. Exibidas KB91252-como ativar um rastreamento de pilha usando o utilitário Gflags. exe.
Execute as etapas nesta seção se houver suspeita de perda de kernel de memória envolvendo um processo de McAfee.
- Familiarize-se com
Poolmon emPerfmon uso e configuração descritas em KB74951-como solucionar problemas de alta utilização de memória em sistemas. - Configure o sistema para criar um memory.dmp completo. Exibidas KB56023-criar um despejo de memória para análise por Suporte técnico.
- Configure o sistema para permitir uma falha de teclado. Ver este Microsoft artigo para forçar uma falha no teclado.
- Reinicialize o sistema relatado para mostrar uma perda de memória.
- Use a configuração para
Poolmon emPerfmon descrito em KB74951-como solucionar problemas de alta utilização de memória em sistemas. Iniciar oPoolmon emPerfmon coleta de dados. - Aguarde até que o sistema mostre o uso de memória alta.
- Stop
Poolmon emPerfmon e colete os dados resultantes. - Forçar o sistema a executar uma verificação de bug, enquanto o uso de memória alta ainda é exibido.
- Colete a descarga de memória.
- Colete os dados de ENS apropriados para o sintoma observado, conforme descrito neste artigo.
- Além disso, colete um rastreamento de ETW (rastreamento de eventos para Windows) com o seguinte comando, executado em um prompt de comando administrativo:
@echo off
ECHO These commands enable tracing:
@echo on
logman create trace "base_DeviceGuard" -ow -o c:base_DeviceGuard.etl -p "Microsoft-Windows-DeviceGuard" 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
@echo off
echo
ECHO Reproduce your issue and enter any key to stop tracing
@echo on
pause
logman stop "base_DeviceGuard" -ets
@echo off
echo Tracing has been captured and saved successfully at c:base_DeviceGuard.etl
pause
INDICADO Verifique se você coleta os dados durante a instalação local do ENS. Solucione os problemas de cada módulo como um produto separado.
- Faça download e descompacte o pacote independente no Site de downloads de produtos.
- Iniciar Monitoramento de processo.
- Começo
AMTrace com o revisão alternativa. - Recrie o problema. Execute a instalação local (
setupEP.exe ) como administrador e selecione o único módulo para o qual você está Solucionando problemas. - Stop
AMTrace e salve o registro. - Interrompa o Monitoramento de processo e salve o log.
- Colete um arquivo de Requisitos mínimos de escalonamento (MER) (execute como administrador).
- O status de ENS é: Plataforma do Endpoint Security não está sendo executado!
- Injeção de DLL de terceiros
- Iniciar Monitoramento de processo.
- Começo
AMTrace com o Ora alternativa. - Abra e feche o console do ENS para recriar o problema.
- Stop
AMTrace e salve o registro. - Interrompa o Monitoramento de processo e salve o log.
- Colete um arquivo MER (execute como administrador).
- Exporte e colete uma cópia da política Opções de Em Comum do Endpoint Security atribuída.
- Colete os dados apropriados com base nos sintomas descritos neste artigo.
- Além disso, colete o registro do servidor TIE no servidor TIE appliance em /var/McAfee/tieserver/logs/tieserver.log.
Solução
Para entrar em contato com o Suporte técnico, entre no ServicePortal e vá para a página Criar uma solicitação de serviço em https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Se você for um usuário registrado, digite sua ID de usuário e Senha e clique em Entrar.
- Se não for um usuário registrado, clique em Registrar e preencha os campos obrigatórios. Você receberá um e-mail com as instruções de senha e acesso.
Informações relacionadas
McAfee a suporte de autoatendimento (SSO) Orchestrator:
O SSS Orchestrator é uma ferramenta de coleta de dados. Ele apresenta as ferramentas de suporte mencionadas acima em um único orquestrador. A ferramenta chama a ferramenta adequada no momento certo e alivia o esforço de coleta de dados. Essa ferramenta captura o contexto no qual ocorre a coleta de dados, o que ajuda a relatar dados de telemetria adequados. Para obter mais informações, consulte: KB92519-ferramenta de coleta de dados do Orchestrator para suporte automático.
O SSS Orchestrator é uma ferramenta de coleta de dados. Ele apresenta as ferramentas de suporte mencionadas acima em um único orquestrador. A ferramenta chama a ferramenta adequada no momento certo e alivia o esforço de coleta de dados. Essa ferramenta captura o contexto no qual ocorre a coleta de dados, o que ajuda a relatar dados de telemetria adequados. Para obter mais informações, consulte: KB92519-ferramenta de coleta de dados do Orchestrator para suporte automático.
Anexo
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Diagnostic Data Collection
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Troubleshooting
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Troubleshooting
Idiomas:
Este artigo está disponível nos seguintes idiomas:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified