- Para todos los Endpoint Security plataformas, configure Qué analizar la configuración a ZZZ en la Directiva análisis en tiempo real:
- En la Endpoint Security cliente
- Pulsar Prevención de amenazas.
- Pulsar Mostrar avanzado.
- Pulsar Análisis en tiempo real.
- Desplácese hacia abajo hasta la sección Configuración de procesos.
- Encontrar la Qué analizar configuración.
- Pulsar Solo tipos de archivos especificados.
- Introduzca un valor de Organización.
- Haga clic en Aplicar.
- Si está activada la opción siguiente, haga clic en el botón Riesgo alto así Riesgo bajo las fichas de la sección tipos de procesos y repita los pasos anteriores.
Configuración de diferentes configuraciones para procesos de riesgo alto y bajo riesgoSEÑALAR Si utiliza la configuración de análisis de procesos de alto y bajo riesgo, podría resultar útil probar estas opciones de una en una.
- En ePolicy Orchestrator:
SEÑALAR Puede optar por definir una directiva exclusiva para esta prueba y asignarla solo a los sistemas de prueba. Copie la Directiva de producción o la directiva predeterminada McAfee y realice los siguientes cambios. Para modificar la asignación de directivas, utilice el Modificar la Directiva en un solo sistema función del Árbol de sistemas Medida menú.
- Abiertos Catálogo de directivas y seleccione el Análisis en tiempo real políticas.
- Pulsar Mostrar avanzado.
- Desplácese hacia abajo hasta la sección Configuración de procesos.
- Encontrar la Qué analizar configuración.
- Pulsar Solo tipos de archivos especificados.
- Introduzca un valor de Organización.
- Haga clic en Guardar.
- Si Configuración de diferentes configuraciones para procesos de riesgo alto y bajo riesgo está activado, haga clic en el botón Riesgo alto así Riesgo bajo las fichas de la sección tipos de procesos y repita los pasos anteriores.
SEÑALAR Si utiliza la configuración de análisis de procesos de alto y bajo riesgo, podría resultar útil probar estas opciones de una en una.
- En la Endpoint Security cliente
- Las MOVE AV sin agente/multiplataforma, establezca la Tipos de archivos que analizar a ZZZ en la Directiva análisis en tiempo real:
SEÑALAR Puede optar por definir una directiva exclusiva para esta prueba y asignarla solo a los sistemas de prueba. Copie la Directiva de producción o la directiva predeterminada McAfee y realice los siguientes cambios. Utilice la Modificar la Directiva en un solo sistema función del Árbol de sistemas Medida menú y modificar asignación de directiva.
- En ePolicy Orchestrator, abra Catálogo de directivas.
- Haga clic en la Análisis en tiempo real políticas.
- Pulsar Mostrar avanzado.
- Desplácese hacia abajo hasta Tipos de archivos que analizar.
- Pulsar Siguiente solo.
- Haga clic en Agregar.
- Introduzca un valor de Organización.
- Haga clic en Aceptar.
- Elimine cualquier otra extensión que ya aparezca en la lista.
- Guarde la Directiva.
- Utilice una llamada de activación de Agent con la opción de directiva forzada y aplique la Directiva en el sistema. O bien, en SVMs sin agente, utilice la
cmdagent -c -e función desde/opt/McAfee/agent/bin/ en la consola o en SVMs multiplataforma, utilice la función Comprobar nueva Directiva en el monitor estado de Agent del sistema.
- Las VirusScan Enterprise, establezca la Qué analizar propiedad a ZZZ en el módulo Análisis en tiempo real:
- En la VirusScan Enterprise cliente
- Haga clic con el botón derecho Análisis en tiempo real y seleccione Propiedades.
- Pulsar Todos los procesos.
- Haga clic en la Elementos de análisis pestaña.
- Para la Qué analizar propiedad, haga clic en Solo tipos de archivos especificados.
- Pulsar Especifique.
- Introduzca un valor de Organización.
- Pulsar Agreg.
- Pulsar VALE.
- Pulsar Vuelva.
- Repita estos pasos para los procesos de alto riesgo y los procesos de riesgo bajo si están activados.
SEÑALAR Si utiliza la configuración de análisis de procesos de alto y bajo riesgo, podría resultar útil probar estas opciones de una en una.
- En ePolicy Orchestrator:
SEÑALAR Puede optar por definir una directiva exclusiva para esta prueba y asignarla solo a los sistemas de prueba. Copie la Directiva de producción o la directiva predeterminada McAfee y realice los siguientes cambios. Utilice la Modificar la Directiva en un solo sistema función del Árbol de sistemas Medida y modifique la asignación de directivas.
- Abiertos Catálogo de directivas y seleccione el Directiva de procesos predeterminados de análisis en tiempo real.
- Haga clic en la Elementos de análisis pestaña.
- Para la Tipos de archivos que analizar propiedad, haga clic en Solo tipos de archivos especificados.
- Introduzca un valor de Organización.
- Haga clic en Guardar.
- Repita estos pasos para los procesos de alto riesgo y los procesos de riesgo bajo si están activados.
SEÑALAR Si utiliza la configuración de análisis de procesos de alto y bajo riesgo, podría resultar útil probar estas opciones de una en una.
- Utilice una llamada de activación de Agent con la opción de directiva forzada y aplique la Directiva en el sistema. O bien, utilice el Comprobar nueva Directiva en el monitor estado de Agent del sistema.
- En la VirusScan Enterprise cliente
- Las VirusScan Enterprise for Linux, establezca la Qué analizar Property to ZZZ en la Directiva análisis en tiempo real:
SEÑALAR Puede optar por definir una directiva exclusiva para esta prueba y asignarla solo a los sistemas de prueba. Copie la Directiva de producción o la directiva predeterminada McAfee y realice los siguientes cambios. Utilice la Modificar la Directiva en un solo sistema función del Árbol de sistemas Medida y modifique la asignación de directivas.
- En ePolicy Orchestrator, abra Catálogo de directivas.
- Haga clic en la Directiva análisis en tiempo real.
- Haga clic en la Detecciones pestaña.
- Cambiar la Qué analizar configuración para Tipos de archivos especificados.
- Introduzca un valor de Organización.
- Haga clic en Guardar.
- Utilice una llamada de activación de Agent con la opción de directiva forzada y aplique la Directiva en el sistema. O bien, utilice el
cmdagent -c -e función desde/opt/McAfee/agent/bin/ en la consola.
Solucione los problemas de CPU elevados por el analizador antimalware en tiempo real
Artículos técnicos ID:
KB89354
Última modificación: 27/09/2021
Última modificación: 27/09/2021
Entorno
McAfee Endpoint Security for Linux Prevención de amenazas 10.x
McAfee Endpoint Security for Mac Prevención de amenazas 10.x
McAfee Endpoint Security Prevención de amenazas 10.x
Administración de McAfee para entornos virtuales optimizados (MOVE)
McAfee MOVE AntiVirus sin agente (MOVE AV Agentless)
McAfee MOVE AntiVirus Multi-Platform (MOVE AV multiplataforma)
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x
McAfee Endpoint Security for Mac Prevención de amenazas 10.x
McAfee Endpoint Security Prevención de amenazas 10.x
Administración de McAfee para entornos virtuales optimizados (MOVE)
McAfee MOVE AntiVirus sin agente (MOVE AV Agentless)
McAfee MOVE AntiVirus Multi-Platform (MOVE AV multiplataforma)
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x
Resumen
Todos los analizadores McAfee en tiempo real de malware funcionan insertando un componente que se utiliza para monitor todas las solicitudes de acceso a disco realizadas por cualquier proceso que se esté ejecutando en la memoria. Este componente intercepta el archivo y lo entrega al motor de análisis. A continuación, el motor de análisis devuelve una decisión sobre si el archivo es malicioso o no. Si el archivo no es malicioso, se devuelve al proceso que lo solicitó. Si el archivo es malicioso, se realiza una acción en él. El uso de la CPU analizador en tiempo real antimalware es proporcional a la cantidad de actividad de disco que se produce en el sistema. Si el sistema está inactivo, el analizador está inactivo. Por lo tanto, se espera que un analizador de antimalware en tiempo real componga la utilización de la CPU existente, pero no es la fuerza impulsora tras el consumo de recursos del sistema.
Dado que McAfee software empresarial existe en una amplia gama de entornos, es imposible proporcionar una configuración predeterminada que cumpla el equilibrio necesario entre protección y rendimiento en todos los entornos posibles. Se espera que los administradores ajusten cada instancia del antimalware en tiempo real analizador a las necesidades del entorno específico.
El ajuste se lleva a cabo midiendo el rendimiento de la configuración predeterminada o existente y, a continuación, modificando la configuración para mejorar el rendimiento y aumentar la seguridad. En ocasiones, los problemas de rendimiento no se pueden aliviar cambiando la configuración. En estos casos, puede existir un conflicto entre el analizador de antimalware en tiempo real y un programa de terceros o el propio sistema. Los conflictos de este tipo se deben resolver para aliviar los problemas.
Para identificar la causa del uso intensivo de la CPU por parte del analizador de McAfee empresarial antimalware en tiempo real para Endpoint Security, MOVE AV sin agente, MOVE AVMulti-Platform o VirusScan Enterprise, utilice el procedimiento de diagnóstico descrito en este artículo. Solo se proporcionan pasos de corrección generales.
SEÑALAR El elevado uso de la CPU es el síntoma de rendimiento más habitual que experimentan los usuarios. No obstante, la solución de problemas descrita en este artículo es relevante para cualquier problema de rendimiento, estabilidad del sistema o estabilidad de la aplicación que se pueda producir. En los pasos siguientes, el artículo dirige los cambios de configuración mientras supervisa la forma en que cada cambio afecta a la actividad de la CPU. No obstante, puede sustituir estos pasos por cualquier síntoma de rendimiento, estabilidad del sistema o estabilidad de aplicación que se haya dado.
Dado que McAfee software empresarial existe en una amplia gama de entornos, es imposible proporcionar una configuración predeterminada que cumpla el equilibrio necesario entre protección y rendimiento en todos los entornos posibles. Se espera que los administradores ajusten cada instancia del antimalware en tiempo real analizador a las necesidades del entorno específico.
El ajuste se lleva a cabo midiendo el rendimiento de la configuración predeterminada o existente y, a continuación, modificando la configuración para mejorar el rendimiento y aumentar la seguridad. En ocasiones, los problemas de rendimiento no se pueden aliviar cambiando la configuración. En estos casos, puede existir un conflicto entre el analizador de antimalware en tiempo real y un programa de terceros o el propio sistema. Los conflictos de este tipo se deben resolver para aliviar los problemas.
Para identificar la causa del uso intensivo de la CPU por parte del analizador de McAfee empresarial antimalware en tiempo real para Endpoint Security, MOVE AV sin agente, MOVE AVMulti-Platform o VirusScan Enterprise, utilice el procedimiento de diagnóstico descrito en este artículo. Solo se proporcionan pasos de corrección generales.
SEÑALAR El elevado uso de la CPU es el síntoma de rendimiento más habitual que experimentan los usuarios. No obstante, la solución de problemas descrita en este artículo es relevante para cualquier problema de rendimiento, estabilidad del sistema o estabilidad de la aplicación que se pueda producir. En los pasos siguientes, el artículo dirige los cambios de configuración mientras supervisa la forma en que cada cambio afecta a la actividad de la CPU. No obstante, puede sustituir estos pasos por cualquier síntoma de rendimiento, estabilidad del sistema o estabilidad de aplicación que se haya dado.
Motivo
Utilice los siguientes procedimientos de diagnóstico para identificar el componente que provoca el uso intensivo de la CPU.
Contenido
Haga clic para expandir la sección que desee ver:
Verifique que el analizador de antimalware en tiempo real forme parte del problema con la prueba "ZZZ" Configurando el analizador de antimalware en tiempo real para que solo entregue los archivos con un .zzz extensión al motor de análisis. Esta prueba elimina el motor de análisis de la implicación. Si esto provoca que la utilización de la CPU se produzca de forma significativa, el motor de análisis es la causa.
Si la prueba ZZZ no reduce el uso elevado de la CPU, el motor de análisis analiza de forma eficaz todos los archivos que se le envían. El siguiente paso es determinar exactamente qué subcomponente del analizador antimalware en tiempo real provoca el síntoma. Para investigar, desactive las funciones del producto de una en una. Entre cada una de ellas, replique el evento de CPU alto y observe si se ha solucionado el uso elevado de la CPU.
Una vez identificado el componente problemático, a menudo resulta útil revisar los registros correspondientes a ese componente. Los registros identifican con frecuencia la causa del problema. Por ejemplo, el registro de VirusScan Enterprise para el análisis en tiempo real podría saturar los mensajes de tiempos de espera de análisis procedentes de directorios específicos. Estos mensajes pueden asociarse incluso a la misma aplicación de terceros.
La mayoría de McAfee registros de productos empresariales para sistemas Windows se encuentran en%programdata%\McAfee\ . MOVE registros de AV Multi-Platform se encuentran en el directorio de instalación del producto en c:\program files (x86)\McAfee\MOVE AV Server . McAfee registros empresariales de Mac y Linux sistemas se ven más fácilmente recopilando un archivo de requisitos mínimos de escalación (MER) del sistema en cuestión. Consulte los siguientes artículos para obtener instrucciones sobre cómo recopilar un archivo MER:
Puede resultar útil identificar qué programa está causando la mayor actividad del disco, lo que provoca la mayor actividad de análisis. Normalmente, el proceso de análisis (por ejemplo McShield.exe , Nails , o bien oasmanager ) es el principal consumidor de recursos y la aplicación que solicita la actividad del disco es el segundo consumidor de CPU más alto. No obstante, no todos los casos son sencillos. Si se necesita más aclaración, vuelva a introducir el estado de la CPU y, a continuación, empiece a apagar las aplicaciones de terceros. Una vez identificada la aplicación problemática, intente desactivar progresivamente los subcomponentes de esa aplicación donde corresponda.
Si ninguna de las desactivaciones progresivas anteriores ha mostrado una caída en la utilización de la CPU, desinstale el McAfee software de análisis de antimalware en tiempo real y, a continuación, compruebe el estado de la utilización de la CPU.
Contenido
Haga clic para expandir la sección que desee ver:
- Para todos los Endpoint Security ande
- Desactivar el análisis en tiempo real. Si el uso elevado de la CPU disminuye, vuelva a activar análisis en tiempo real y, a continuación, desactive las siguientes opciones y haga una prueba tras cada una de ellas. De lo contrario, continúe con el paso siguiente.
- Analizar sectores de arranque
- Análisis de procesos en activar
- Analizar instaladores de confianza (si hay una instalación de aplicaciones implicada)
- ScriptScan
- Analizar en unidades de red
- Analizar al escribir en el disco
- Analizar al leer del disco
- Buscar programas desconocidos no deseados y troyanos
- Buscar amenazas de macro desconocidas
- Analizar dentro de archivos
- Descodificar archivos MIME codificados
- Detectar programas no deseados
- Desactive la protección de acceso. Si el uso elevado de la CPU baja, vuelve a activar la protección de acceso y, a continuación, desactiva el bloqueo y la generación de informes en cada una de las reglas de protección de acceso y prueba después de cada uno. De lo contrario, continúe con el paso siguiente.
- Desactivar prevención de exploits. Si el alto uso de la CPU disminuye, vuelva a activar prevención de exploit y, después, desactive cada regla de protección de aplicaciones y firmas y haga una prueba después de cada una.
- Desactivar el análisis en tiempo real. Si el uso elevado de la CPU disminuye, vuelva a activar análisis en tiempo real y, a continuación, desactive las siguientes opciones y haga una prueba tras cada una de ellas. De lo contrario, continúe con el paso siguiente.
- Las MOVE AV sin agente/multiplataforma:
- Habilite Analizar archivos al escribir en el disco y prueba. Si la utilización alta de la CPU no se elimina, continúe con el paso siguiente.
- Habilite Analizar archivos al leer del disco y prueba. Si la utilización alta de la CPU no se elimina, continúe con el paso siguiente.
- Habilite Analizar archivos en volúmenes de red montados y prueba.
- Las VirusScan Enterprise:
- Desactivar el análisis en tiempo real. Si el uso elevado de la CPU cae, vuelva a activar análisis en tiempo real y, a continuación, desactive los siguientes componentes y pruebe después de cada uno de ellos. De lo contrario, continúe con el paso siguiente.
- Analizar sectores de arranque
- Análisis de procesos en activar
- Analizar instaladores de confianza (si hay una instalación de aplicaciones implicada)
- ScriptScan
- Analizar en unidades de red
- Analizar al escribir en el disco
- Analizar al leer del disco
- Buscar programas desconocidos no deseados y troyanos
- Buscar amenazas de macro desconocidas
- Analizar dentro de archivos
- Descodificar archivos MIME codificados
- Detectar programas no deseados
- Desactive la protección de acceso. Si el uso elevado de la CPU es menor:
- Vuelva a activar la protección de acceso.
- Desactive el bloqueo y la generación de informes en cada una de las reglas de protección de acceso y pruebe después de cada uno.
De lo contrario, continúe con el paso siguiente.
- Desactive el analizador de correo electrónico durante la recepción. Si el uso elevado de la CPU se interrumpe, desactive todos los subcomponentes del analizador de correo electrónico durante la recepción y compruébelos después de cada uno.
- Desactivar el análisis en tiempo real. Si el uso elevado de la CPU cae, vuelva a activar análisis en tiempo real y, a continuación, desactive los siguientes componentes y pruebe después de cada uno de ellos. De lo contrario, continúe con el paso siguiente.
- Las VirusScan Enterprise for Linux:
Desactivar el análisis en tiempo real. Si el uso elevado de la CPU cae, vuelva a activar análisis en tiempo real y, a continuación, desactive los siguientes componentes y pruebe después de cada uno de ellos.- Analizar archivos al escribir en el disco
- Analizar archivos al leer del disco
- Analizar archivos en volúmenes de red montados
- Buscar virus de programa desconocidos
- Buscar virus de macro desconocidos
- Buscar programas potencialmente no deseados
- Buscar programas de broma
- Analizar dentro de archivos de varios archivos
- Descodificar archivos MIME codificados
La mayoría de McAfee registros de productos empresariales para sistemas Windows se encuentran en
- KB88197-recopilar el archivo de requisitos mínimos de escalación para Endpoint Security for Linux
- KB87626: recopile los requisitos mínimos de escalación para Endpoint Protection for Mac, Endpoint Security para Mac o VirusScan para Mac
- KB80097-cómo generar el archivo de MER sin agente de MOVE AntiVirus
- KB67272-cómo generar el archivo de MER de VirusScan Enterprise for Linux
Solución
Los resultados de los pasos de recopilación de datos anteriores indican cuál es la causa del problema y proporcionan un método para ajustar la configuración a fin de omitir el componente problemático.
Crear exclusiones:
Si la prueba ZZZ alivia el problema, hay una clara necesidad de excluir un directorio, tipo de archivo o proceso del componente análisis en tiempo real. Empiece por catalogar todas las aplicaciones de terceros de confianza en el sistema. Póngase en contacto con el proveedor para obtener una serie de exclusiones recomendadas para el software antimalware. Las exclusiones son una lista de carpetas que no se analizan y una lista de procesos en ejecución que no activan un análisis cuando solicitan actividad del disco. Excluya las carpetas y, si el producto antimalware es Endpoint Security o VirusScan Enterprise, agregue los procesos al perfil de procesos de bajo riesgo. Asegúrese de desactivar Analizar al leer, Analizar al escribir, o ambos, según sea necesario.
Si la prueba ZZZ alivia el problema, hay una clara necesidad de excluir un directorio, tipo de archivo o proceso del componente análisis en tiempo real. Empiece por catalogar todas las aplicaciones de terceros de confianza en el sistema. Póngase en contacto con el proveedor para obtener una serie de exclusiones recomendadas para el software antimalware. Las exclusiones son una lista de carpetas que no se analizan y una lista de procesos en ejecución que no activan un análisis cuando solicitan actividad del disco. Excluya las carpetas y, si el producto antimalware es Endpoint Security o VirusScan Enterprise, agregue los procesos al perfil de procesos de bajo riesgo. Asegúrese de desactivar Analizar al leer, Analizar al escribir, o ambos, según sea necesario.
Cuando lo anterior no reconozca completamente el problema, revise los registros de análisis en busca de eventos de tiempo de espera de análisis. Si existe un patrón coherente, esto podría indicar que necesita más exclusiones.
Process Monitor, una herramienta de la Microsoft suite Sysinternals, también puede ayudar si se necesita más ajustes. El proceso de análisis activo de VirusScan Enterprise y MOVE AV sin agente/multiplataforma es McShield.exe . El proceso de análisis activo de Endpoint Security es enstp.exe .
Si la desactivación de uno de los otros componentes ha solucionado el problema, como ScriptScan , Access Protection , o bien Exploit Prevention , cree exclusiones para el componente afectado. Algunos de estos componentes excluyen las rutas de directorio, mientras que otros excluyen los que se ejecutan en la memoria. Revise la sección adecuada de la guía del producto de la versión del producto para obtener más información. En estos casos, los registros del producto suelen revelar el origen del problema de recurso.
Conflictos con aplicaciones de terceros:
Se debe resolver un conflicto entre esa aplicación y el software de McAfee Enterprise si:
Se debe resolver un conflicto entre esa aplicación y el software de McAfee Enterprise si:
- La desinstalación del producto antimalware de McAfee Enterprise ha solucionado el problema.
O - El origen del conflicto se puede identificar desinstalando una aplicación de terceros
Con frecuencia, estos tipos de problemas ya se conocen. Asegúrese de que tanto el software de McAfee Enterprise como el del producto de terceros estén actualizados con las últimas actualizaciones o HotFixes. Además, revise el artículo de problemas conocidos correspondiente al producto de McAfee afectado. Si el problema ya está documentado, es posible que exista una solución. Si esto no resuelve el problema, consulte: KB73182: Declaración de compatibilidad de McAfee para problemas de compatibilidad entre McAfee productos empresariales y aplicaciones de terceros. Por Endpoint Security, existe un procedimiento de recopilación de datos que puede resultar útil a fin de proporcionar información detallada sobre los productos de McAfee Enterprise. Para obtener instrucciones, consulte: KB86691: pasos de recopilación de datos mínimos para problemas de Endpoint Security.
Información relacionada
Para obtener documentos de productos de McAfee, vaya al portal Documentación de producto empresarial en https://docs.mcafee.com.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Diagnostic Data Collection
Endpoint Security for Linux Threat Prevention 10.x
Endpoint Security for Mac Threat Prevention 10.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
MOVE Antivirus Agentless 4.8.x
MOVE Antivirus Agentless 4.7.x
MOVE Antivirus Multi-platform 4.8.x
MOVE Antivirus Multi-platform 4.7.x
MOVE Antivirus Multi-platform 4.6.x (EOL)
Troubleshooting
VirusScan Enterprise 8.8 (EOL)
VirusScan Enterprise for Linux 1.9.x (EOL)
VirusScan Enterprise for Linux 2.0.x (EOL)
Endpoint Security for Linux Threat Prevention 10.x
Endpoint Security for Mac Threat Prevention 10.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
MOVE Antivirus Agentless 4.8.x
MOVE Antivirus Agentless 4.7.x
MOVE Antivirus Multi-platform 4.8.x
MOVE Antivirus Multi-platform 4.7.x
MOVE Antivirus Multi-platform 4.6.x (EOL)
Troubleshooting
VirusScan Enterprise 8.8 (EOL)
VirusScan Enterprise for Linux 1.9.x (EOL)
VirusScan Enterprise for Linux 2.0.x (EOL)
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified
