- Per tutti Endpoint Security piattaforme, configurare il Elementi da sottoporre a scansione impostazione di ZZZ nella scansione all'accesso policy:
- Nella pagina Endpoint Security client
- Fare clic su Prevenzione delle minacce.
- Fare clic su Mostra avanzate.
- Fare clic su Scansione all'accesso.
- Scorri verso il basso fino alla sezione Impostazioni dei processi.
- Trova il Elementi da sottoporre a scansione impostazione.
- Fare clic su Solo tipi di file specificati.
- Immettere un valore di ZZZ.
- Fare clic su Applica.
- Se l'opzione riportata di seguito è attivata, fare clic sul pulsante Rischio elevato e Rischio basso schede della sezione tipi di processo e ripetere la procedura descritta sopra.
Configurazione di impostazioni diverse per i processi ad alto rischio e a basso rischio
- In ePolicy Orchestrat:
- Aprire Catalogo delle policy e selezionare il Scansione all'accesso policy.
- Fare clic su Mostra avanzate.
- Scorri verso il basso fino alla sezione Impostazioni dei processi.
- Trova il Elementi da sottoporre a scansione impostazione.
- Fare clic su Solo tipi di file specificati.
- Immettere un valore di ZZZ.
- Fare clic su Salva.
- Se Configurazione di impostazioni diverse per i processi ad alto rischio e a basso rischio è attivato, fare clic sul pulsante Rischio elevato e Rischio basso schede della sezione tipi di processo e ripetere la procedura descritta sopra.
- Nella pagina Endpoint Security client
- Per MOVE AV senza Agent/Multi-Platform, impostare il Tipi di file da sottoporre a scansione per ZZZ nella scansione all'accesso policy:
- In ePolicy Orchestrator, aprire Catalogo delle policy.
- Fare clic sul pulsante Scansione all'accesso policy.
- Fare clic su Mostra avanzate.
- Scorri verso il basso fino a Tipi di file da sottoporre a scansione.
- Fare clic su Solo dopo.
- Fare clic su Aggiungi.
- Immettere un valore di ZZZ.
- Fare clic su OK.
- Rimuovere tutte le altre estensioni già elencate.
- Salvare il policy.
- Utilizzare una chiamata di attivazione Agent con l'opzione policy forzata e applicare la policy nel sistema. In alternativa, in SVMs senza Agent, utilizzare il
cmdagent -c -e funzione da/opt/McAfee/agent/bin/ nella console, o in SVMs multi-piattaforma, utilizzare il Verifica nuova policy sul monitor di stato Agent di tale sistema.
- Per VirusScan Enterprise, impostare il Elementi da sottoporre a scansione Proprietà su ZZZ nel modulo scansione all'accesso:
- Nella pagina VirusScan Enterprise client
- Fare clic con il pulsante destro del mouse Scansione all'accesso e selezionare Proprietà.
- Fare clic su Tutti i processi.
- Fare clic sul pulsante Elementi di scansione scheda.
- Per la Elementi da sottoporre a scansione , fare clic su Solo tipi di file specificati.
- Fare clic su Specificato.
- Immettere un valore di ZZZ.
- Fare clic su Aggiungere.
- Fare clic su OK.
- Fare clic su Applicare.
- Ripetere questi passaggi per i processi ad alto rischio e i processi a basso rischio se sono attivati.
- In ePolicy Orchestrat:
- Aprire Catalogo delle policy e selezionare il Policy processi predefiniti scansione all'accesso.
- Fare clic sul pulsante Elementi di scansione scheda.
- Per la Tipi di file da sottoporre a scansione , fare clic su Solo tipi di file specificati.
- Immettere un valore di ZZZ.
- Fare clic su Salva.
- Ripetere questi passaggi per i processi ad alto rischio e i processi a basso rischio se sono attivati.
- Utilizzare una chiamata di attivazione Agent con l'opzione policy forzata e applicare la policy nel sistema. In alternativa, utilizzare il Verifica nuova policy sul monitor di stato Agent di tale sistema.
- Nella pagina VirusScan Enterprise client
- Per VirusScan Enterprise for Linux, impostare il Elementi da sottoporre a scansione Proprietà su ZZZ nella policy di scansione all'accesso:
- In ePolicy Orchestrator, aprire Catalogo delle policy.
- Fare clic sul pulsante Policy di scansione all'accesso.
- Fare clic sul pulsante Rilevamenti scheda.
- Modificare il Elementi da sottoporre a scansione impostazione su Tipi di file specificati.
- Immettere un valore di ZZZ.
- Fare clic su Salva.
- Utilizzare una chiamata di attivazione Agent con l'opzione policy forzata e applicare la policy nel sistema. In alternativa, utilizzare il
cmdagent -c -e funzione da/opt/McAfee/agent/bin/ nella console.
Risoluzione dei problemi della CPU elevata mediante il programma di scansione antimalware in tempo reale
Articoli tecnici ID:
KB89354
Ultima modifica: 23/09/2021
Ultima modifica: 23/09/2021
Ambiente
McAfee Endpoint Security for Linux Prevenzione delle minacce 10.x
McAfee Endpoint Security for Mac Prevenzione delle minacce 10.x
McAfee Endpoint Security Prevenzione delle minacce 10.x
Gestione McAfee per ambienti virtuali ottimizzati (MOVE)
McAfee MOVE AntiVirus senza Agent (MOVE AV Agent)
McAfee MOVE AntiVirus Multi-Platform (MOVE AV Multi-Platform)
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x
McAfee Endpoint Security for Mac Prevenzione delle minacce 10.x
McAfee Endpoint Security Prevenzione delle minacce 10.x
Gestione McAfee per ambienti virtuali ottimizzati (MOVE)
McAfee MOVE AntiVirus senza Agent (MOVE AV Agent)
McAfee MOVE AntiVirus Multi-Platform (MOVE AV Multi-Platform)
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x
Riepilogo
Tutti McAfee scanner antimalware in tempo reale operano inserendo un componente utilizzato per monitorare tutte le richieste di accesso al disco eseguite da qualsiasi processo in esecuzione in memoria. Questo componente intercetta il file e lo recapita al motore di scansione. Il motore di scansione restituisce quindi una decisione che indica se il file è dannoso. Se il file non è dannoso, viene restituito al processo che lo ha richiesto. Se il file è dannoso, viene intrapresa un'azione su di esso. L'utilizzo della CPU antimalware in tempo reale programma di scansione è proporzionale alla quantità di attività del disco che si verifica sul sistema. Se il sistema è inattivo, il programma di scansione è inattivo. Pertanto, si prevede che un programma di scansione antimalware in tempo reale complicherà l'utilizzo esistente della CPU, ma non è la forza motrice del consumo di risorse di sistema.
Poiché McAfee Software Enterprise è presente in una gamma diversificata di ambienti, è impossibile fornire una configurazione predefinita che soddisfi il necessario equilibrio tra protezione e prestazioni in tutti gli ambienti possibili. Gli amministratori dovrebbero sintonizzare ogni istanza del programma di scansione antimalware in tempo reale alle esigenze dell'ambiente specifico.
L'ottimizzazione viene effettuata misurando le prestazioni per la configurazione predefinita o esistente, quindi modificando la configurazione per migliorare le prestazioni e aumentare la sicurezza. A volte, i problemi di prestazioni non possono essere attenuati modificando la configurazione. In questi casi, potrebbe esistere un conflitto tra il programma di scansione antimalware in tempo reale e un programma di terze parti o il sistema stesso. I conflitti di questo tipo devono essere risolti per alleviare i problemi.
Per identificare la causa di un utilizzo elevato della CPU da parte del McAfee programma di scansione antimalware in tempo reale per Endpoint Security, MOVE AV Agent, MOVE AVMulti-Platform o VirusScan Enterprise, utilizzare la procedura di diagnostica in questo articolo. Sono disponibili solo i passaggi generali di remediation.
Nota L'elevato utilizzo della CPU è il sintomo di prestazioni più comune che gli utenti sperimentano. Tuttavia, la risoluzione dei problemi contemplata da questo articolo è pertinente per eventuali prestazioni, stabilità del sistema o problemi di stabilità dell'applicazione che potrebbero verificarsi. Nei passaggi riportati di seguito, l'articolo indirizza le modifiche alla configurazione durante il monitoraggio del modo in cui ogni modifica influisce sull'attività della CPU. Tuttavia, è possibile sostituire questi passaggi per qualsiasi prestazione, stabilità del sistema o sintomo di stabilità dell'applicazione.
Poiché McAfee Software Enterprise è presente in una gamma diversificata di ambienti, è impossibile fornire una configurazione predefinita che soddisfi il necessario equilibrio tra protezione e prestazioni in tutti gli ambienti possibili. Gli amministratori dovrebbero sintonizzare ogni istanza del programma di scansione antimalware in tempo reale alle esigenze dell'ambiente specifico.
L'ottimizzazione viene effettuata misurando le prestazioni per la configurazione predefinita o esistente, quindi modificando la configurazione per migliorare le prestazioni e aumentare la sicurezza. A volte, i problemi di prestazioni non possono essere attenuati modificando la configurazione. In questi casi, potrebbe esistere un conflitto tra il programma di scansione antimalware in tempo reale e un programma di terze parti o il sistema stesso. I conflitti di questo tipo devono essere risolti per alleviare i problemi.
Per identificare la causa di un utilizzo elevato della CPU da parte del McAfee programma di scansione antimalware in tempo reale per Endpoint Security, MOVE AV Agent, MOVE AVMulti-Platform o VirusScan Enterprise, utilizzare la procedura di diagnostica in questo articolo. Sono disponibili solo i passaggi generali di remediation.
Nota L'elevato utilizzo della CPU è il sintomo di prestazioni più comune che gli utenti sperimentano. Tuttavia, la risoluzione dei problemi contemplata da questo articolo è pertinente per eventuali prestazioni, stabilità del sistema o problemi di stabilità dell'applicazione che potrebbero verificarsi. Nei passaggi riportati di seguito, l'articolo indirizza le modifiche alla configurazione durante il monitoraggio del modo in cui ogni modifica influisce sull'attività della CPU. Tuttavia, è possibile sostituire questi passaggi per qualsiasi prestazione, stabilità del sistema o sintomo di stabilità dell'applicazione.
Causa
Utilizzare le procedure di diagnostica riportate di seguito per identificare il componente che causa l'elevato utilizzo della CPU.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
Verificare che il programma di scansione antimalware in tempo reale faccia parte del problema con il test "ZZZ" configurando il programma di scansione antimalware in tempo reale per fornire solo i file con un .zzz estensione al motore di scansione. Questo test Elimina il motore di scansione dal coinvolgimento. Se questo causa un calo significativo dell'utilizzo della CPU, il motore di scansione è la causa.
Se il test ZZZ non allevia l'elevato utilizzo della CPU, il motore di scansione esegue una scansione efficiente di tutti i file inviati. Il passaggio successivo consiste nel determinare esattamente quale sottocomponente del programma di scansione antimalware in tempo reale sta causando il sintomo. Per indagare, disattivare le funzionalità del prodotto, una alla volta. Tra ciascuno di essi, replicare l'evento CPU elevato e osservare se l'elevato utilizzo della CPU viene attenuato.
Dopo aver identificato il componente problematico, è spesso utile esaminare i registri relativi a tale componente. I registri identificano spesso la causa del problema. Ad esempio, il registro di VirusScan Enterprise per la scansione all'accesso potrebbe essere saturo di messaggi di timeout della scansione provenienti da directory specifiche. Questi messaggi potrebbero anche essere tutti associati alla stessa applicazione di terze parti.
La maggior parte dei registri prodotti McAfee Enterprise per i sistemi Windows si trovano in%programdata%\McAfee\ . I registri multi-platform di MOVE AV si trovano nella directory di installazione del prodotto all'indirizzo c:\program files (x86)\McAfee\MOVE AV Server . I registri di McAfee Enterprise dai sistemi Mac e Linux sono più facilmente visibili raccogliendo un file di requisiti minimi di escalation (MER) dal sistema specifico. Per le istruzioni per la raccolta di un file MER, consultare i seguenti articoli:
Può essere utile identificare il programma che causa la maggior parte delle attività del disco, che determina la maggior parte delle attività di scansione. In genere, il processo di scansione (ad esempio McShield.exe , Nails , oppure oasmanager ) è il principale consumatore di risorse e l'applicazione che richiede l'attività del disco è il secondo consumatore di CPU più elevato. Ma non tutti i casi sono così semplici. Se è necessario un ulteriore chiarimento, reintrodurre lo stato CPU elevato e iniziare a chiudere le applicazioni di terze parti. Dopo aver identificato l'applicazione problematica, tentare di disattivare progressivamente i sottocomponenti di tale applicazione, laddove appropriato.
Se nessuna delle suddette disattivazione progressiva ha mostrato un calo dell'utilizzo della CPU, disinstallare il software di scansione antimalware in tempo reale McAfee e quindi controllare lo stato dell'utilizzo della CPU.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
- Per tutti Endpoint Security piattaforme
- Disattiva scansione all'accesso. Se l'utilizzo elevato della CPU scende, riattivare la scansione all'accesso, quindi disattivare le opzioni seguenti e verificarle dopo ciascuna di esse. In caso contrario, passare al passaggio successivo.
- Settori di avvio della scansione
- Processi di scansione su attiva
- Esegui scansione di programmi di installazione affidabili (se è coinvolta un'installazione di un'applicazione)
- ScriptScan
- Esegui scansione su unità di rete
- Esegui scansione durante la scrittura sul disco
- Esegui scansione durante la lettura dal disco
- Trova programmi indesiderati sconosciuti e cavalli di Troia
- Trova minacce di macro sconosciute
- Scansione all'interno degli archivi
- Decodifica file MIME codificati
- Rileva programmi indesiderati
- Disattivare la protezione dell'accesso. Se l'utilizzo elevato della CPU scende, riattivare la protezione dell'accesso e quindi disattivare il blocco e la reportistica su ciascuna delle regole di protezione dell'accesso e verificarle dopo ciascuna di esse. In caso contrario, passare al passaggio successivo.
- Disattiva prevenzione exploit. Se l'elevato utilizzo della CPU scende, riattivare la prevenzione exploit e quindi disattivare ciascuna regola di protezione delle applicazioni e delle firme e verificarla dopo ciascuna di esse.
- Disattiva scansione all'accesso. Se l'utilizzo elevato della CPU scende, riattivare la scansione all'accesso, quindi disattivare le opzioni seguenti e verificarle dopo ciascuna di esse. In caso contrario, passare al passaggio successivo.
- Per MOVE AV senza Agent/Multi-Platform:
- Disabilitare Scansione dei file durante la scrittura sul disco e test. Se l'elevato utilizzo della CPU non scende, passare al passaggio successivo.
- Disabilitare Scansione dei file durante la lettura dal disco e test. Se l'elevato utilizzo della CPU non scende, passare al passaggio successivo.
- Disabilitare Scansione dei file sui volumi montati sulla rete e test.
- Per VirusScan Enterprise:
- Disattiva scansione all'accesso. Se l'utilizzo elevato della CPU scende, riattivare la scansione all'accesso, quindi disattivare i seguenti componenti e verificarli dopo ciascuno di essi. In caso contrario, passare al passaggio successivo.
- Settori di avvio della scansione
- Processi di scansione su attiva
- Esegui scansione di programmi di installazione affidabili (se è coinvolta un'installazione di un'applicazione)
- ScriptScan
- Esegui scansione su unità di rete
- Esegui scansione durante la scrittura sul disco
- Esegui scansione durante la lettura dal disco
- Trova programmi indesiderati sconosciuti e cavalli di Troia
- Trova minacce di macro sconosciute
- Scansione all'interno degli archivi
- Decodifica file MIME codificati
- Rileva programmi indesiderati
- Disattivare la protezione dell'accesso. Se l'utilizzo elevato della CPU scende:
- Riattivare la protezione dell'accesso.
- Disattivare il blocco e la reportistica su ciascuna delle regole di protezione dell'accesso e verificarle dopo ciascuna di esse.
In caso contrario, passare al passaggio successivo.
- Disattiva la scansione della posta elettronica alla consegna. Se l'elevato utilizzo della CPU scende, disattivare tutti i componenti aggiuntivi del programma di scansione della posta elettronica alla consegna e verificarli dopo ciascuno di essi.
- Disattiva scansione all'accesso. Se l'utilizzo elevato della CPU scende, riattivare la scansione all'accesso, quindi disattivare i seguenti componenti e verificarli dopo ciascuno di essi. In caso contrario, passare al passaggio successivo.
- Per VirusScan Enterprise for Linux:
Disattiva scansione all'accesso. Se l'utilizzo elevato della CPU scende, riattivare la scansione all'accesso, quindi disattivare i seguenti componenti e verificarli dopo ciascuno di essi.- Scansione dei file durante la scrittura sul disco
- Scansione dei file durante la lettura dal disco
- Scansione dei file sui volumi montati sulla rete
- Trova virus di programma sconosciuti
- Trova virus macro sconosciuti
- Trova programmi potenzialmente indesiderati
- Trova programmi Joke
- Scansione all'interno di più archivi di file
- Decodifica file MIME codificati
La maggior parte dei registri prodotti McAfee Enterprise per i sistemi Windows si trovano in
- KB88197: raccoglie il file dei requisiti minimi di escalation per Endpoint Security for Linux
- KB87626-raccogliere i requisiti minimi di escalation per Endpoint Protection for Mac, Endpoint Security per Mac o VirusScan per Mac
- KB80097-come generare il MOVE AntiVirus file MER senza Agent
- KB67272-come generare il file VirusScan Enterprise for Linux MER
Soluzione
I risultati della procedura di raccolta dati precedente indicano il problema e forniscono un metodo di ottimizzazione della configurazione per ignorare il componente problematico.
Crea esclusioni:
Se il test ZZZ ha attenuato il problema, è evidente la necessità di escludere una directory, un tipo di file o un processo dal componente scansione all'accesso. Iniziare a catalogare tutte le applicazioni di terze parti affidabili nel sistema. Per ottenere una serie di esclusioni consigliate per il software antimalware, contattare il fornitore per ciascuno di essi. Le esclusioni sono un elenco di cartelle che non vengono sottoposte a scansione e un elenco di processi in esecuzione che non attivano una scansione quando richiedono l'attività del disco. Escludere le cartelle e, se il prodotto antimalware è Endpoint Security o VirusScan Enterprise, aggiungere i processi al profilo dei processi a basso rischio. Assicurarsi di disattivare Scansione in lettura, Scansione su scritturao entrambi, in base alle esigenze.
Se il test ZZZ ha attenuato il problema, è evidente la necessità di escludere una directory, un tipo di file o un processo dal componente scansione all'accesso. Iniziare a catalogare tutte le applicazioni di terze parti affidabili nel sistema. Per ottenere una serie di esclusioni consigliate per il software antimalware, contattare il fornitore per ciascuno di essi. Le esclusioni sono un elenco di cartelle che non vengono sottoposte a scansione e un elenco di processi in esecuzione che non attivano una scansione quando richiedono l'attività del disco. Escludere le cartelle e, se il prodotto antimalware è Endpoint Security o VirusScan Enterprise, aggiungere i processi al profilo dei processi a basso rischio. Assicurarsi di disattivare Scansione in lettura, Scansione su scritturao entrambi, in base alle esigenze.
Quando quanto sopra non allevia completamente il problema, esaminare i registri di scansione per gli eventi di timeout della scansione. Se è presente un pattern coerente, che potrebbe indicare che è necessario un numero maggiore di esclusioni.
Process Monitor, uno strumento del suite di Microsoft Sysinternals, può essere utile anche se è necessario un ulteriore tuning. Il processo di scansione attiva per VirusScan Enterprise e MOVE AV senza agente/multi-piattaforma è McShield.exe . Il processo di scansione attivo per Endpoint Security è enstp.exe .
Se la disattivazione di uno degli altri componenti ha attenuato il problema, ad esempio ScriptScan , Access Protection , oppure Exploit Prevention , creare esclusioni per il componente interessato. Alcuni di questi componenti escludono i percorsi di directory, mentre altri escludono i processi in esecuzione in memoria. Per informazioni dettagliate, consultare la sezione appropriata della guida del prodotto per la versione del prodotto. In questi casi, i registri dei prodotti di solito rivelano l'origine del problema di risorsa.
Conflitti con applicazioni di terze parti:
Un conflitto tra tale applicazione e il software McAfee Enterprise deve essere risolto se:
Un conflitto tra tale applicazione e il software McAfee Enterprise deve essere risolto se:
- La disinstallazione del prodotto antimalware di McAfee Enterprise ha alleviato il problema.
Oppure - L'origine del conflitto può essere identificata mediante la disinstallazione di un'applicazione di terze parti
Di frequente, questi tipi di problemi sono già noti. Assicurarsi che sia il software McAfee Enterprise che il prodotto di terze parti siano aggiornati con gli aggiornamenti o gli hotfix più recenti. Inoltre, esaminare l'articolo sui problemi noti per il prodotto McAfee interessato. Se il problema è già stato documentato, è possibile che si tratti di una soluzione alternativa. Se questo non risolve il problema, per l'indagine sui conflitti delle applicazioni, consultare: KB73182-dichiarazione di supporto McAfee per problemi di compatibilità tra i prodotti McAfee Enterprise e le applicazioni di terze parti. Per Endpoint Security, è disponibile una procedura di raccolta dei dati che può essere utile per fornire informazioni dettagliate sui prodotti McAfee Enterprise. Per istruzioni, consultare: KB86691-procedura minima di raccolta dei dati per problemi di Endpoint Security.
Informazioni correlate
I documenti relativi ai prodotti McAfee sono disponibili sul portale Documentazione del prodotto Enterprise all'indirizzo https://docs.mcafee.com.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Diagnostic Data Collection
Endpoint Security for Linux Threat Prevention 10.x
Endpoint Security for Mac Threat Prevention 10.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
MOVE Antivirus Agentless 4.8.x
MOVE Antivirus Agentless 4.7.x
MOVE Antivirus Multi-platform 4.8.x
MOVE Antivirus Multi-platform 4.7.x
MOVE Antivirus Multi-platform 4.6.x (EOL)
Troubleshooting
VirusScan Enterprise 8.8 (EOL)
VirusScan Enterprise for Linux 1.9.x (EOL)
VirusScan Enterprise for Linux 2.0.x (EOL)
Endpoint Security for Linux Threat Prevention 10.x
Endpoint Security for Mac Threat Prevention 10.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
MOVE Antivirus Agentless 4.8.x
MOVE Antivirus Agentless 4.7.x
MOVE Antivirus Multi-platform 4.8.x
MOVE Antivirus Multi-platform 4.7.x
MOVE Antivirus Multi-platform 4.6.x (EOL)
Troubleshooting
VirusScan Enterprise 8.8 (EOL)
VirusScan Enterprise for Linux 1.9.x (EOL)
VirusScan Enterprise for Linux 2.0.x (EOL)
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified