Loading...

エンドポイントセキュリティ、 MOVE Antivirus エージェントレス/マルチプラットフォーム、または VirusScan Enterprise 用の McAfee リアルタイムマルウェア対策スキャナによる高い CPU 使用率のトラブルシューティング方法
技術的な記事 ID:   KB89354
最終更新:  2019/06/17
評価:


環境

McAfee Endpoint Security for Linux Threat Prevention 10.x
McAfee Endpoint Security for Mac Threat Prevention 10.x
McAfee Endpoint Security Threat Prevention 10.x
McAfee MOVE Antivirus (AV) Agentless 4.x, 3.x
McAfee MOVE AV Multi-platform 4.x, 3.x
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x

概要

すべての McAfee リアルタイムマルウェア対策スキャナは、メモリ上で実行されているすべてのプロセスによって行われたすべてのディスクアクセス要求を監視するために使用されるコンポーネントを挿入することによって動作します。 このコンポーネントはファイルを傍受し、スキャンエンジンに配信します。スキャンエンジンはファイルが悪質かどうかの判断を返します。 そのファイルが悪意のあるものでない場合は、そのファイルを要求したプロセスに返されます。 ファイルが悪意のある場合は、そのファイルに対して処理が行われます。 リアルタイムマルウェア対策スキャナの CPU 使用率は、システムで発生しているディスクアクティビティの量に比例します。 システムがアイドル状態の場合、スキャナはアイドル状態でなければなりません。 したがって、リアルタイムマルウェア対策スキャナは、既存の CPU 使用率を合成することが期待されますが、システムリソース消費の背後にある原動力であってはなりません。

McAfee ソフトウェアはさまざまな環境に存在するため、すべての可能な環境で保護とパフォーマンスの間の必要なバランスを満たすデフォルト構成を提供することは不可能です。 管理者は、リアルタイムマルウェア対策スキャナの各インスタンスを特定の環境のニーズに合わせて調整することが期待されています。

チューニングは、デフォルトまたは既存の構成のパフォーマンスを測定し、構成を変更してパフォーマンスを向上させ、セキュリティを強化することによって行われます。 場合によっては、構成を変更することでパフォーマンスの問題を緩和することはできません。 このような場合、リアルタイムマルウェア対策スキャナとサードパーティプログラムまたはシステム自体の間に競合が存在する可能性があります。 問題を軽減するには、このタイプの競合を解決する必要があります。

この記事の診断手順を使用して、エンドポイントセキュリティ、 MOVE AV エージェントレス/マルチプラットフォーム、または VirusScan Enterprise の McAfee リアルタイムマルウェア対策スキャナによる CPU 使用率の高い原因を特定します。 一般的な修復手順のみが提供されます。

注:ユーザーが経験する最も一般的なパフォーマンスの症状は、 CPU 使用率が高いうちですが、パフォーマンス、システムの安定性、またはアプリケーションの安定性に関連する問題が発生する可能性があります。 以下の手順では、各変更が CPU アクティビティにどのように影響するかを監視しながら、構成変更を指示します。 しかし、これは、任意の所与の性能、​​システム安定性、または適用安定性に関連する症状を置換することができる。

原因

次の診断手順を使用して、 CPU 使用率が高いコンポーネントを特定します。
リソースの使用に関する問題に関与するMcAfeeソフトウェアのコンポーネントを特定します。
スキャンエンジンに .zzz 拡張子のファイルのみを配信するようにリアルタイムマルウェア対策スキャナを構成することにより、リアルタイムのマルウェア対策スキャナが「 ZZZ 」テストの問題の一部であることを確認します。 これにより、スキャンエンジンが関与しなくなります。 これにより CPU 使用率が大幅に低下した場合、スキャンエンジンが原因です。
  • すべての Endpoint Security プラットフォームで、オンアクセス検索ポリシーの [What to Scan] 設定をZZZに設定します。
    • On the client:
      1. クリックして 脅威対策 します。
      2. クリックして 詳細を表示 します。
      3. クリックして オンアクセス スキャン します。
      4. セクションまでスクロール プロセスの設定 します。
      5. What to Scan setting を探します。
      6. クリックして 指定したファイルの種類のみ します。
      7. ZZZの値を入力します。
      8. クリックして 適用 します。
      9. [ハイリスク]および[低リスク]プロセスの異なる設定を有効にする場合は、[プロセスタイプ]セクションの[ハイリスク]タブと[低リスク]タブをクリックし、上記の手順を繰り返します。
        注:危険度の高いプロセススキャン設定を使用している場合は、これらを一度にテストすると便利です。
    • In ePolicy Orchestrator:
      注: このテストに固有のポリシーを設定し、テストシステムにのみ割り当てることができます。 運用ポリシーまたは McAfee のデフォルトポリシーをコピーし、以下の変更を加えます。 システムツリーの[操作]メニューの[単一のシステムでポリシーを変更する]機能を使用して、ポリシーの割り当てを変更します。
      1. Open Policy Catalog and select the On-Access Scan policy.
      2. クリックして 詳細を表示 します。
      3. セクションまでスクロール プロセスの設定 します。
      4. What to Scan setting を探します。
      5. クリックして 指定したファイルの種類のみ します。
      6. ZZZの値を入力します。
      7. クリックして 保存 します。
      8. [ハイリスク]および[低リスク]プロセスの異なる設定を有効にする場合は、[プロセスタイプ]セクションの[ハイリスク]タブと[低リスク]タブをクリックし、上記の手順を繰り返します。
        注:危険度の高いプロセススキャン設定を使用している場合は、これらを一度にテストすると便利です。
  • For MOVE AV Agentless/Multi-platform 4.0.x or 4.5.x, set the File Types to Scan to ZZZ in the On-Access Scan policy:
    注: このテストに固有のポリシーを設定し、テストシステムにのみ割り当てることができます。 運用ポリシーまたは McAfee のデフォルトポリシーをコピーし、以下の変更を加えます。 システムツリーの[操作]メニューの[単一のシステムでポリシーを変更する]機能を使用して、ポリシーの割り当てを変更します。
    1. Policy Catalogを開きます。
    2. クリックして、 のオンアクセス スキャン ポリシー。
    3. クリックして 詳細を表示 します。
    4. Scroll down to File Types to Scan.
    5. クリックして のみ次 します。
    6. クリックして 追加 します。
    7. ZZZの値を入力します。
    8. クリックして OK します。
    9. 他の拡張ファイル リストに追加済みを削除します。
    10. ポリシーを保存します。
    11. ポリシーを強制的に適用するには、エージェントのウェイクアップコールを強制ポリシーオプションとともに使用します。 または、エージェントレス SVM の場合は、コンソールまたはマルチプラットフォームSVMで/ opt / McAfee / agent / bin / cmdagent -c -e 関数を使用し、そのシステムのエージェントステータスモニタで[新しいポリシーの確認]ボタンを使用します。
  • MOVE AV Agentless / Multi-platform 3.6.x では、オンアクセス検索ポリシーで[ファイルの種類]を[ZZZにスキャン]に設定します。
    注: このテストに固有のポリシーを設定し、テストシステムにのみ割り当てることができます。 運用ポリシーまたは McAfee のデフォルトポリシーをコピーし、以下の変更を加えます。 システムツリーの[操作]メニューの[単一のシステムでポリシーを変更する]機能を使用して、ポリシーの割り当てを変更します。
    • For Agentless:
      1. In ePolicy Orchestrator, open Policy Catalog.
      2. Click the Scan policy.
      3. Scroll down to File Types to Scan.
      4. Click Following only.
      5. Click Add.
      6. Enter a value of ZZZ.
      7. Click OK.
      8. すでに入力されている他の拡張機能を削除します。
      9. ポリシーを保存します。
      10. ポリシーを強制的に適用するには、エージェントのウェイクアップコールを強制ポリシーオプションとともに使用します。 または、コンソールで / opt / McAfee / agent / bin /cmdagent -c -e 関数を使用します。
    • For Multi-platform:
      1. In ePolicy Orchestrator, open Policy Catalog.
      2. Select MOVE AV [Multi-Platform] Client 3.6.1 from the Product drop-down menu.
      3. Click the General policy.
      4. Click the Scan Items tab.
      5. Scroll down to File Types to Scan.
      6. Click Following only.
      7. Click Add.
      8. Enter a value of ZZZ.
      9. Click OK.
      10. すでに入力されている他の拡張機能を削除します。
      11. ポリシーを保存します。
      12. ポリシーを強制的に適用するには、エージェントのウェイクアップコールを強制ポリシーオプションとともに使用します。 または、そのシステムの AgentStatus Monitor で「 Check New Policy 」ボタンを使用します。
  • VirusScan Enterprise の場合、オンアクセス検索モジュールで、スキャン対象のプロパティを ZZZ に設定します。
    • On the client:
      1. Right-click On-Access Scan and select Properties.
      2. Click All Processes.
      3. Click the Scan Items tab.
      4. For the What to scan property, click Specified File Types Only.
      5. Click Specified.
      6. Enter a value of ZZZ.
      7. Click Add.
      8. Click OK.
      9. Click Apply.
      10. High Risk プロセスと Low Risk プロセスが有効になっている場合は、これらの手順を繰り返します。
        注:危険度の高いプロセススキャン設定を使用している場合は、これらを一度にテストすると便利です。
    • In ePolicy Orchestrator:
      注: このテストに固有のポリシーを設定し、テストシステムにのみ割り当てることができます。 運用ポリシーまたは McAfee のデフォルトポリシーをコピーし、以下の変更を加えます。 システムツリーの[操作]メニューの[単一のシステムでポリシーを変更する]機能を使用して、ポリシーの割り当てを変更します。
      1. Open Policy Catalog and select the On-Access Scan Default Processes Policy.
      2. Click the Scan Items tab.
      3. For the File Types to Scan property, click Specified File Types Only.
      4. Enter a value of ZZZ.
      5. クリックして 保存 します。
      6. High Risk プロセスと Low Risk プロセスが有効になっている場合は、これらの手順を繰り返します。
        注: 危険度の高いプロセススキャン設定を使用している場合は、これらを一度にテストすると便利です。
      7. ポリシーを強制的に適用するには、エージェントのウェイクアップコールを強制ポリシーオプションとともに使用します。 または、そのシステムの AgentStatus Monitor で「Check New Policy」ボタンを使用します。
  • VirusScan Enterprise for Linux の場合、オンアクセススキャンポリシーで、スキャン対象のプロパティを ZZZ に設定します。
    注: このテストに固有のポリシーを設定し、テストシステムにのみ割り当てることができます。 運用ポリシーまたは McAfee のデフォルトポリシーをコピーし、以下の変更を加えます。 システムツリーの[操作]メニューの[単一のシステムでポリシーを変更する]機能を使用して、ポリシーの割り当てを変更します。
    1. In ePolicy Orchestrator, open Policy Catalog.
    2. Click the On-Access Scanning Policy.
    3. Click the Detections tab.
    4. Change the What to Scan setting to Specified file types.
    5. Enter a value of ZZZ.
    6. クリックして 保存 します。
    7. ポリシーを強制的に適用するには、エージェントのウェイクアップコールを強制ポリシーオプションとともに使用します。 また、コンセントで/ opt / McAfee / agent / bin /cmdagent -c -e関数を使用します。
リソース使用の問題に関与する特定のコンポーネントを見つけるために、 McAfee ソフトウェアのコンポーネントを漸進的に無効にします。
ZZZ テストで CPU 使用率が低下しない場合、スキャンエンジンは送信されたすべてのファイルを効率的にスキャンします。 次のステップは、リアルタイムマルウェア対策スキャナのどのサブコンポーネントが症状を引き起こしているかを正確に判断することです。 調査するには、製品のさまざまな機能を 1 つずつ無効にします。 それぞれの間で、高い CPU イベントを複製し、高い CPU 使用率が緩和されているかどうかを観察します。
  • すべての Endpoint Security プラットフォーム。
    1. オンアクセス スキャンを無効にします。 高い CPU 使用率になると、オンアクセス スキャンを再度有効にし、次のオプションを無効にしてし後にテストします。 次のステップに進んでください。
      • ブート セクターをスキャンします。
      • スキャン プロセスを有効にします。
      • (関連するアプリケーションのインストールが) の場合は、信頼されたインストーラーをスキャンします。
      • スクリプト スキャン
      • ネットワーク ドライブ上をスキャンします。
      • スキャンする場合にディスクへの書き込み
      • ディスクからの読み取り時スキャンします。
      • 未知の不審なプログラムとトロイの木馬
      • 未知のマクロ脅威を検索します。
      • アーカイブの内部をスキャンします。
      • MIME 形式のファイルをデコードします。
      • 不審なプログラムを検出します。
    2. アクセス保護を無効にします。 高い CPU 使用率になると、アクセス保護を再度有効にし、ブロックとそれぞれの後に、アクセス保護ルールとテストでレポートを無効にします。 次のステップに進んでください。
    3. エクスプロイト対策を無効にします。 CPU 使用率が高くなる場合、エクスプロイト対策を再度有効にし、各シグネチャとアプリケーション保護ルールを無効にし、後にテストします。
  • For MOVE AV Agentless/Multi-platform 3.6.x and 4.x:
    1. ディスクへの書き込みおよびテスト時にファイルをスキャンしないようにします。 高い CPU 使用率が削除されない場合、次の手順に進みます。
    2. 無効にする ディスクからの読み取り時にファイルをスキャン してテストします。 高い CPU 使用率が削除されない場合、次の手順に進みます。
    3. 無効にする マウントされたボリュームをネットワーク上でファイルをスキャン してテストします。
  • VirusScan Enterprise :
    1. オンアクセス スキャンを無効にします。 高い CPU 使用率になると、オンアクセス スキャンを再度有効にし、次のコンポーネントを無効にしてし後にテストします。 次のステップに進んでください。
      • ブート セクターをスキャンします。
      • スキャン プロセスを有効にします。
      • (関連するアプリケーションのインストールが) の場合は、信頼されたインストーラーをスキャンします。
      • スクリプト スキャン
      • ネットワーク ドライブ上をスキャンします。
      • スキャンする場合にディスクへの書き込み
      • ディスクからの読み取り時スキャンします。
      • 未知の不審なプログラムとトロイの木馬
      • 未知のマクロ脅威を検索します。
      • アーカイブの内部をスキャンします。
      • MIME 形式のファイルをデコードします。
      • 不審なプログラムを検出します。
    2. アクセス保護を無効にします。 高い CPU 使用率になると、アクセス保護を再度有効にし、ブロックとそれぞれの後に、アクセス保護ルールとテストでレポートを無効にします。 次のステップに進んでください。
    3. 配信時のメール スキャナーを無効にします。 CPU 使用率が高くなる場合、すべてのテスト、On Delivery Email Scanner のサブコンポーネントを後に無効にします。
  • VirusScan Enterprise for Linux :
    、オンアクセス スキャンを無効にします。 高い CPU 使用率になると、オンアクセス スキャンを再度有効にし、次のコンポーネントを無効にしてし後にテストします。
    • スキャンの場合、ファイルをディスクに書き込んでいます
    • ディスクからの読み取り時にファイルをスキャンします。
    • マウントされたネットワーク ボリューム上のファイルをスキャンします。
    • 未知のプログラム ウイルスを検索します。
    • 未知のマクロ ウイルスを検索します。
    • 不審なプログラムを検索します。
    • ジョーク プログラムを検索します。
    • アーカイブ ファイルの内部をスキャンします。
    • MIME 形式のファイルをデコードします。

問題のあるコンポーネントのログを確認します。
問題のあるコンポーネントを特定したら、そのコンポーネントのログを確認すると役立ちます。 ログは、問題の原因を頻繁に識別します。 たとえば、オンアクセススキャンの VirusScan Enterprise ログは、特定のディレクトリからのスキャンタイムアウトメッセージで飽和している可能性があります。 これらはすべて、同じサードパーティアプリケーションに関連付けられている場合もあります。

Windows システム用のほとんどの McAfee 製品ログは、%programdata%\McAfee\にあります。 MOVE AV マルチプラットフォームログは、製品のインストールディレクトリにあります。 c:\program files (x86)\McAfee\MOVE AV Server Mac および Linux システムからの McAfee ログは、特定のシステムから最小エスカレーション要件(MER)ファイルを収集することで、より簡単に閲覧できます。 MER ファイルを収集する手順については、次の記事を参照してください。

KB88197 - How to collect the Minimum Escalation Requirements file for Endpoint Security for Linux Threat Prevention
KB87626 - How to collect Minimum Escalation Requirements for Endpoint Protection for Mac, Endpoint Security for Mac, and VirusScan for Mac
KB80097 - How to generate the MOVE AV AntiVirus Agentless MER file
KB67272 - How to generate the VirusScan Enterprise for Linux MER file

Identify third-party applications involved in the issue:
It can be very helpful to identify which program is causing the most disk activity, thereby resulting in the most scan activity. 通常、スキャンプロセス(McShield.exe、Nails、oasmanagerなど)はリソースの一番上になり、すべてのディスクアクティビティを促すアプリケーションは 2 番目に高い CPU 消費者になります。 しかし、すべてのケースがそれほど単純ではありません。 詳しい説明が必要な高 CPU の状態を再導入し、サードパーティのアプリケーションをシャット ダウンを開始します。 問題のあるアプリケーションを特定したら、適切な場合は、そのアプリケーションのサブコンポーネントを徐々に無効にします。

Uninstall McAfee software:
上記のプログレッシブディセーブルが CPU 使用率の低下を示していない場合は、 McAfee リアルタイムマルウェアスキャンソフトウェアをアンインストールし、 CPU 使用率の状態を確認してください。

解決策

以前のデータ収集手順の結果は、問題の原因を示し、問題のあるコンポーネントをバイパスするように構成をチューニングする方法を示します。

Create exclusions:
ZZZ テストで問題が緩和された場合、オンアクセス検索コンポーネントからディレクトリ、ファイルタイプ、またはプロセスを除外する必要があります。 カタログ、システム上ですべての信頼できるサードパーティのアプリケーションを開始します。 マルウェア対策ソフトウェアの推奨される除外の設定を取得するごとに、ベンダーにお問い合わせください。 これは、スキャン除外するディレクトリのリストとがディスクのアクティビティの要求時に、プロセスを実行中のリストは、スキャンをトリガーしない必要があります。 ディレクトリを除外し、マルウェア対策製品が Endpoint Security または VirusScan Enterprise の場合は、プロセスを Low Risk プロセスプロファイルに追加し、必要に応じてスキャン時の読み取り書き込み時のスキャン、またはその両方を無効にします。

完全に問題は緩和がない場合は、スキャン タイムアウト イベントのスキャン ログを確認します。 一貫したパターンがある場合、それは追加の必要な除外を示す可能性があります。

プロセス モニターを Microsoft SysInternals スイートからツールは、さらに調整が必要な場合にも役立ちます。 詳細を確認してください。 KB50981 VirusScan Enterprise および MOVE AV Agentless/マルチ ・ プラットフォームのアクティブなスキャン プロセスは、McShield.exe です。 エンドポイントセキュリティのアクティブスキャンプロセスは、 enstp.exe です。

ScriptScan、アクセス保護、エクスプロイト防止などの問題を緩和する他のコンポーネントの 1 つを無効にする場合は、影響を受けるコンポーネントの除外対象を作成します。 メモリーで実行されているプロセスを除外する他のユーザーに、これらのコンポーネントがディレクトリ パスを除外します。 詳細については、製品バージョンの製品ガイドの該当セクションを確認します。 このような場合、製品ログには通常、リソースの問題の原因が明らかになります。

サードパーティのアプリケーションとの競合 :
マカフィーアンチマルウェアシステムをアンインストールして問題を緩和し、サードパーティアプリケーションをアンインストールすることによって競合の原因を特定できる場合、そのアプリケーションと解決する必要がある McAfee ソフトウェアとの間に競合があります。 頻繁に、これらのタイプの問題は既に知られています。 McAfee ソフトウェアとサードパーティ製品の両方が最新のパッチまたは hotfix を完全に最新の状態であることを確認します。 また、影響を受ける McAfee 製品の既知の問題の記事を確認します。 問題の説明はすでに、回避策がある可能性があります。 解決されない場合は次を参照して下さい。KB73182 Endpoint Security のデータ収集手順が記載されている次を参照して下さい。 KB86691 サード パーティ製のマカフィー製品に関する詳細情報を提供することで役に立つことができます。

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese