- Pour toutes les plates-formes Endpoint Security, configurez le paramètre Eléments à analyser sur ZZZ dans la stratégie analyse à l’accès :
- Dans la Endpoint Security Il
- Cliquez sur Prévention contre les menaces.
- Cliquez sur Afficher les paramètres avancés.
- Cliquez sur Analyse à l’accès.
- Faites défiler jusqu’à la section Paramètres des processus.
- Recherchez le paramètre Eléments à analyser.
- Cliquez sur Types de fichiers spécifiés uniquement.
- Entrez une valeur de ZZZ.
- Cliquez sur Appliquer.
- Si l’option ci-dessous est activée, cliquez sur le bouton Risque élevé et Risque faible onglets de la section types de processus et répétez les étapes ci-dessus.
Configuration de différents paramètres pour les processus à risque élevé et à risque faible
- Dans ePolicy Orchestrator :
- Ouvrez le Catalogue de stratégies et sélectionnez la stratégie Analyse à l’accès.
- Cliquez sur Afficher les paramètres avancés.
- Faites défiler jusqu’à la section Paramètres des processus.
- Recherchez le paramètre Eléments à analyser.
- Cliquez sur Types de fichiers spécifiés uniquement.
- Entrez une valeur de ZZZ.
- Cliquez sur Enregistrer.
- Si Configurer différents paramètres pour les processus à risque élevé et à risque faible est activé, cliquez sur les onglets Risque élevé et Risque faible de la section Types de processus et répétez les étapes ci-dessus.
- Dans la Endpoint Security Il
- Obtenir MOVE sans agent AV/Multi-Platform, définissez la Types de fichiers à analyser à ZZZ dans la stratégie analyse à l’accès :
- Dans ePolicy Orchestrator, ouvrez le Catalogue de stratégies.
- Cliquez sur la stratégie Analyse à l’accès.
- Cliquez sur Afficher les paramètres avancés.
- Faites défiler jusqu’à Types de fichiers à analyser.
- Cliquez sur Uniquement les éléments suivants.
- Cliquez sur Ajouter.
- Entrez une valeur de ZZZ.
- Cliquez sur OK.
- Supprimez toutes les autres extensions déjà répertoriées.
- Enregistrez la stratégie.
- Utilisez un appel de réactivation Agent avec l’option de stratégie forcée et mettez en œuvre la stratégie sur le système. Ou, sur les SVMs sans agent, utilisez la
cmdagent -c -e fonction de/opt/McAfee/agent/bin/ dans la console ou dans SVMs multiplate-forme, utilisez la fonction Vérifier la nouvelle stratégie dans le moniteur d’État Agent du système.
- Pour VirusScan Enterprise, définissez la propriété Eléments à analyser sur ZZZ dans le module Analyse à l’accès :
- Dans la VirusScan Enterprise Il
- Cliquez avec le bouton droit sur Analyse à l’accès et sélectionnez Sous.
- Cliquez sur Tous les processus.
- Cliquez sur l'onglet Éléments à analyser.
- Pour la propriété Eléments à analyser, cliquez sur Types de fichiers spécifiés uniquement.
- Cliquez sur Spécifié.
- Entrez une valeur de ZZZ.
- Cliquez sur Ajouter.
- Cliquez sur OK.
- Cliquez sur Appliquer.
- Répétez ces étapes pour les processus à risque élevé et les processus à faible risque s’ils sont activés.
- Dans ePolicy Orchestrator :
- Ouvrez le Catalogue de stratégies et sélectionnez Stratégie Analyse à l'accès des processus par défaut.
- Cliquez sur l'onglet Éléments à analyser.
- Pour la propriété Types de fichiers à analyser, cliquez sur Types de fichiers spécifiés uniquement.
- Entrez une valeur de ZZZ.
- Cliquez sur Enregistrer.
- Répétez ces étapes pour les processus à risque élevé et les processus à faible risque s’ils sont activés.
- Utilisez un appel de réactivation Agent avec l’option de stratégie forcée et mettez en œuvre la stratégie sur le système. Ou, utilisez la Vérifier la nouvelle stratégie dans le moniteur d’État Agent du système.
- Dans la VirusScan Enterprise Il
- Obtenir VirusScan Enterprise for Linux, définissez la Eléments à analyser propriété à ZZZ dans la stratégie d’analyse à l’accès :
- Dans ePolicy Orchestrator, ouvrez le Catalogue de stratégies.
- Cliquez sur Stratégie d’analyse à l’accès.
- Cliquez sur l'onglet Détections.
- Modifiez le paramètre Éléments à analyser sur Types de fichiers spécifiés.
- Entrez une valeur de ZZZ.
- Cliquez sur Enregistrer.
- Utilisez un appel de réactivation Agent avec l’option de stratégie forcée et mettez en œuvre la stratégie sur le système. Ou, utilisez la
cmdagent -c -e fonction de/opt/McAfee/agent/bin/ dans la console.
Résolution des problèmes de processeur élevée par le logiciel anti-malware en temps réel analyseur
Articles techniques ID:
KB89354
Date de la dernière modification : 23/09/2021
Date de la dernière modification : 23/09/2021
Environnement
McAfee Endpoint Security for Linux Prévention contre les menaces 10.x
McAfee Endpoint Security for Mac Prévention contre les menaces 10.x
McAfee Endpoint Security Prévention contre les menaces 10.x
Gestion des McAfee pour les environnements virtuels optimisés (MOVE)
McAfee MOVE AntiVirus sans agent (MOVE AV sans agent)
McAfee MOVE AntiVirus multi-plate-forme (MOVE AV Multi-Platform)
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x
McAfee Endpoint Security for Mac Prévention contre les menaces 10.x
McAfee Endpoint Security Prévention contre les menaces 10.x
Gestion des McAfee pour les environnements virtuels optimisés (MOVE)
McAfee MOVE AntiVirus sans agent (MOVE AV sans agent)
McAfee MOVE AntiVirus multi-plate-forme (MOVE AV Multi-Platform)
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x
Synthèse
Tous les McAfee les analyseurs anti-malware en temps réel opèrent en insérant un composant utilisé pour surveiller toutes les demandes d’accès au disque effectuées par tout processus s’exécutant en mémoire. Ce composant intercepte le fichier et le remet au moteur d’analyse. Le moteur d’analyse renvoie ensuite une décision indiquant si le fichier est malveillant. Si le fichier n’est pas malveillant, il est renvoyé au processus qui l’a demandé. Si le fichier est malveillant, une action est entreprise sur celui-ci. Le logiciel anti-malware analyseur l’utilisation du processeur en temps réel est proportionnel à la quantité d’activité du disque qui a lieu sur le système. Si le système est inactif, le analyseur est inactif. Ainsi, une analyseur Antimalware en temps réel est censée commettre l’utilisation processeur existante, mais n’est pas la force motrice derrière la consommation des ressources système.
Etant donné qu’McAfee logiciel d’entreprise existe dans un large éventail d’environnements, il est impossible de fournir une configuration par défaut qui réponde à l’équilibre requis entre la protection et les performances dans tous les environnements possibles. Les administrateurs sont censés régler chaque instance du logiciel anti-malware en temps réel analyseur aux besoins de l’environnement spécifique.
Le réglage est effectué en mesurant les performances de la configuration par défaut ou existante, puis en modifiant la configuration pour améliorer les performances et renforcer la sécurité. Parfois, les problèmes de performances ne peuvent pas être atténués en modifiant la configuration. Dans ce cas, il peut y avoir un conflit entre le logiciel anti-malware en temps réel analyseur et soit un programme tiers, soit le système lui-même. Les conflits de ce type doivent être résolus pour atténuer les problèmes.
Pour identifier la cause de l’utilisation intensive du processeur par le McAfee analyseur anti-logiciel malveillant en temps réel d’entreprise pour Endpoint Security, MOVE agent AV, MOVE AVMulti-Platform ou VirusScan Enterprise, utilisez la procédure de diagnostic de cet article. Seules les étapes générales de correction sont fournies.
Veuillez L’utilisation intensive du processeur est le problème de performances le plus courant que rencontrent les utilisateurs. Toutefois, le dépannage couvert par cet article s’applique aux performances, à la stabilité du système ou au application problème de stabilité pouvant survenir. Dans les étapes suivantes, l’article dirige les modifications de configuration tout en surveillant la manière dont chaque modification affecte l’activité du processeur. Toutefois, vous pouvez remplacer ces étapes pour toute performance, stabilité du système ou symptôme de stabilité application.
Etant donné qu’McAfee logiciel d’entreprise existe dans un large éventail d’environnements, il est impossible de fournir une configuration par défaut qui réponde à l’équilibre requis entre la protection et les performances dans tous les environnements possibles. Les administrateurs sont censés régler chaque instance du logiciel anti-malware en temps réel analyseur aux besoins de l’environnement spécifique.
Le réglage est effectué en mesurant les performances de la configuration par défaut ou existante, puis en modifiant la configuration pour améliorer les performances et renforcer la sécurité. Parfois, les problèmes de performances ne peuvent pas être atténués en modifiant la configuration. Dans ce cas, il peut y avoir un conflit entre le logiciel anti-malware en temps réel analyseur et soit un programme tiers, soit le système lui-même. Les conflits de ce type doivent être résolus pour atténuer les problèmes.
Pour identifier la cause de l’utilisation intensive du processeur par le McAfee analyseur anti-logiciel malveillant en temps réel d’entreprise pour Endpoint Security, MOVE agent AV, MOVE AVMulti-Platform ou VirusScan Enterprise, utilisez la procédure de diagnostic de cet article. Seules les étapes générales de correction sont fournies.
Veuillez L’utilisation intensive du processeur est le problème de performances le plus courant que rencontrent les utilisateurs. Toutefois, le dépannage couvert par cet article s’applique aux performances, à la stabilité du système ou au application problème de stabilité pouvant survenir. Dans les étapes suivantes, l’article dirige les modifications de configuration tout en surveillant la manière dont chaque modification affecte l’activité du processeur. Toutefois, vous pouvez remplacer ces étapes pour toute performance, stabilité du système ou symptôme de stabilité application.
Cause
Utilisez les procédures de diagnostic suivantes pour identifier le composant à l’origine de l’utilisation intensive du processeur.
Table des matières
Cliquez pour développer la section que vous souhaitez afficher :
Vérifiez que le analyseur anti-malware en temps réel fait partie du problème avec le test "ZZZ" en configurant le analyseur anti-malware en temps réel pour qu’il fournisse uniquement les fichiers avec une .zzz extension au moteur d’analyse. Ce test élimine le moteur d’analyse de l’implication. Si cela entraîne une baisse significative de l’utilisation du processeur, le moteur d’analyse en est la cause.
Si le test ZZZ n’atténue pas l’utilisation intensive du processeur, le moteur d’analyse analyse efficacement tous les fichiers qui lui sont envoyés. L’étape suivante consiste à déterminer exactement quel sous-composant du analyseur anti-malware en temps réel est à l’origine du symptôme. Pour examiner, désactivez les fonctionnalités du produit, une à la fois. Entre chaque désactivation, répliquez l’événement d'utilisation processeur élevée et observez si l’utilisation intensive du processeur est atténuée.
Une fois que vous avez identifié le composant problématique, il est souvent utile de consulter les journaux de ce composant. Les journaux identifient fréquemment la cause du problème. Par exemple, le journal de VirusScan Enterprise pour l’analyse à l’accès peut être saturé par des messages d’expiration d’analyse provenant de répertoires spécifiques. Ces messages peuvent même être associés au même application tiers.
La plupart des journaux des produits McAfee Enterprise pour les systèmes Windows se trouvent sous%programdata%\McAfee\ . Les journaux MOVE AV Multi-Platform se trouvent dans le répertoire d’installation du produit à l’adresse c:\program files (x86)\McAfee\MOVE AV Server . Les journaux d’entreprise McAfee à partir de Mac et de systèmes Linux sont plus faciles à consulter en collectant un fichier MER (remontée des incidents) à partir du système en question. Consultez les articles suivants pour obtenir des instructions sur la collecte d’un fichier MER :
Il peut être utile d’identifier quel programme est à l’origine de l’activité la plus élevée, ce qui entraîne l’activité d’analyse la plus élevée. En règle générale, le processus d’analyse (par exemple, McShield.exe , Nails , ou oasmanager ) est le principal consommateur de ressources et le application invitant l’activité du disque est le deuxième consommateur de processeur le plus élevé. Mais tous les cas ne sont pas très simples. Si des précisions sont nécessaires, réintroduisez l’état d'utilisation processeur élevée, puis arrêtez les applications tierces. Une fois que vous avez identifié le application problématique, essayez de désactiver progressivement les sous-composants de ce application, le cas échéant.
Si aucune des désactivations progressives ci-dessus n’a démontré l’utilisation de l’UC, désinstallez le McAfee logiciel d’analyse anti-malware en temps réel, puis vérifiez l’état de l’utilisation du processeur.
Table des matières
Cliquez pour développer la section que vous souhaitez afficher :
- Pour toutes les plates-formes Endpoint Security :
- Désactivez l’analyse à l’accès. Si l’utilisation processeur élevée diminue, réactivez l’analyse à l’accès, puis désactivez les options suivantes et testez-les l'une après l'autre. Sinon, passez à l’étape suivante.
- Analyser les secteurs d’amorçage
- Analyser les processus à l’activation
- Analyser les programmes d’installation approuvés (si une installation application est impliquée)
- ScriptScan
- Analyse sur les lecteurs réseau
- Analyser lors de l’écriture sur le disque
- Analyser lors de la lecture à partir du disque
- Détecter les chevaux de Troie et les programmes indésirables inconnus
- Détecter les menaces de macro inconnues
- Analyser à l’intérieur des archives
- Décoder les fichiers MIME codés
- Détecter les programmes indésirables
- Désactivez la protection de l’accès. Si l’utilisation processeur élevée diminue, réactivez la protection de l’accès, puis désactivez le blocage et la génération de rapports sur chacune des règles de protection de l’accès et testez-les l'une après l'autre. Sinon, passez à l’étape suivante.
- Désactivez la prévention contre les exploits. Si l’utilisation intensive du processeur diminue, réactivez la prévention contre les exploits, puis désactivez chaque signature et règle de protection des applications et testez-les l'une après l'autre.
- Désactivez l’analyse à l’accès. Si l’utilisation processeur élevée diminue, réactivez l’analyse à l’accès, puis désactivez les options suivantes et testez-les l'une après l'autre. Sinon, passez à l’étape suivante.
- Obtenir MOVE sans agent AV/Multi-Platform:
- Désactivez Analyser les fichiers lors de l’écriture sur le disque et faites le test. Si l’utilisation intensive du processeur ne chute pas, passez à l’étape suivante.
- Désactivez Analyser les fichiers lors de la lecture à partir du disque et faites le test. Si l’utilisation intensive du processeur ne chute pas, passez à l’étape suivante.
- Désactivez Analyser les fichiers sur les volumes montés sur le réseau et faites le test.
- Pour VirusScan Enterprise :
- Désactivez l’analyse à l’accès. Si l’utilisation intensive du processeur diminue, réactivez l’analyse à l’accès, puis désactivez les composants suivants et testez-les l'un après l'autre. Sinon, passez à l’étape suivante.
- Analyser les secteurs d’amorçage
- Analyser les processus à l’activation
- Analyser les programmes d’installation approuvés (si une installation application est impliquée)
- ScriptScan
- Analyse sur les lecteurs réseau
- Analyser lors de l’écriture sur le disque
- Analyser lors de la lecture à partir du disque
- Détecter les chevaux de Troie et les programmes indésirables inconnus
- Détecter les menaces de macro inconnues
- Analyser à l’intérieur des archives
- Décoder les fichiers MIME codés
- Détecter les programmes indésirables
- Désactivez la protection de l’accès. Si l’utilisation intensive du processeur est dédescendue :
- Activez à nouveau la protection de l’accès.
- Désactivez le blocage et la génération de rapports sur chaque règle de protection de l’accès et testez-les après chacun d’entre eux.
Sinon, passez à l’étape suivante.
- Désactivez l’Analyseur d’e-mails à la réception. Si l’utilisation intensive du processeur diminue, désactivez tous les sous-composants de l’analyseur d’E-mails à la réception et testez-les après chacun d’entre eux.
- Désactivez l’analyse à l’accès. Si l’utilisation intensive du processeur diminue, réactivez l’analyse à l’accès, puis désactivez les composants suivants et testez-les l'un après l'autre. Sinon, passez à l’étape suivante.
- Pour VirusScan Enterprise for Linux :
désactivez l'analyse à l'accès. Si l’utilisation intensive du processeur diminue, réactivez l’analyse à l’accès, puis désactivez les composants suivants et testez-les l'un après l'autre.- Analyser les fichiers lors de l’écriture sur le disque
- Analyser les fichiers lors de la lecture à partir du disque
- Analyser les fichiers sur les volumes montés sur le réseau
- Détecter les virus de programme inconnus
- Détecter les virus de macro inconnus
- Détecter les programmes potentiellement indésirables
- Rechercher des programmes canulars
- Analyser à l’intérieur des archives à plusieurs fichiers
- Décoder les fichiers MIME codés
La plupart des journaux des produits McAfee Enterprise pour les systèmes Windows se trouvent sous
- KB88197-collecter le fichier de configuration requise pour la procédure d’escalade minimale pour Endpoint Security for Linux
- KB87626-collecter les exigences minimales relatives à la procédure d’escalade pour Endpoint Protection for Mac, Endpoint Security pour Mac ou VirusScan pour Mac
- KB80097-comment générer le fichier MER sans agent MOVE AntiVirus
- KB67272-comment générer le fichier VirusScan Enterprise for Linux MER
Solution
Les résultats des étapes précédentes de collecte des données indiquent ce qui est à l’origine du problème et fournissent une méthode de réglage de la configuration pour contourner le composant problématique.
Créer des exclusions :
Si le test ZZZ éliminait le problème, il est nécessaire d’exclure un répertoire, un type de fichier ou un processus du composant d’analyse à l’accès. Commencez par le catalogage de toutes les applications tierces approuvées sur le système. Contactez le fournisseur pour chacun d’entre eux afin d’obtenir un ensemble d’exclusions recommandées pour les logiciels anti-malware. Les exclusions sont une liste de dossiers qui ne sont pas analysés, ainsi qu’une liste des processus en cours d’exécution qui ne déclenchent pas d’analyse lors de la demande d’activité du disque. Excluez les dossiers et, si le produit anti-malware est Endpoint Security ou VirusScan Enterprise, ajoutez les processus au profil processus à faible risque. Veillez à désactiver Analyser lors de la lecture, Analyser lors de l’écriture, ou les deux, selon les besoins.
Si le test ZZZ éliminait le problème, il est nécessaire d’exclure un répertoire, un type de fichier ou un processus du composant d’analyse à l’accès. Commencez par le catalogage de toutes les applications tierces approuvées sur le système. Contactez le fournisseur pour chacun d’entre eux afin d’obtenir un ensemble d’exclusions recommandées pour les logiciels anti-malware. Les exclusions sont une liste de dossiers qui ne sont pas analysés, ainsi qu’une liste des processus en cours d’exécution qui ne déclenchent pas d’analyse lors de la demande d’activité du disque. Excluez les dossiers et, si le produit anti-malware est Endpoint Security ou VirusScan Enterprise, ajoutez les processus au profil processus à faible risque. Veillez à désactiver Analyser lors de la lecture, Analyser lors de l’écriture, ou les deux, selon les besoins.
Lorsque ce qui précède ne résout pas complètement le problème, examinez les journaux d’analyse pour rechercher les événements d’expiration d’analyse. S’il existe un modèle cohérent, cela peut indiquer que vous avez besoin d’autres exclusions.
Process Monitor, un outil de la Microsoft Sysinternals suite, peut également vous aider en cas de besoin d’un réglage supplémentaire. Le processus d’analyse actif pour VirusScan Enterprise et MOVE sans agent AV/Multi-Platform est McShield.exe . Le processus d’analyse actif pour Endpoint Security est enstp.exe .
Si la désactivation de l’un des autres composants résout le problème, par exemple ScriptScan , Access Protection , ou Exploit Prevention , créez des exclusions pour le composant concerné. Certains de ces composants excluent les chemins d’accès aux répertoires, tandis que d’autres excluent les processus en mémoire. Pour plus d’informations, consultez la section appropriée du Guide produit de votre version de produit. Dans ce cas, les journaux de produit révèlent généralement la source du problème de ressource.
Conflits avec des applications tierces :
Un conflit entre ce application et le logiciel McAfee Enterprise doit être résolu dans les cas suivants :
Un conflit entre ce application et le logiciel McAfee Enterprise doit être résolu dans les cas suivants :
- La désinstallation de l’McAfee produit Enterprise anti-malware résout le problème.
Ou - La source du conflit peut être identifiée en désinstallant un application tiers
Souvent, ces types de problèmes sont déjà connus. Assurez-vous que vos logiciels McAfee Enterprise et le produit tiers sont à jour avec les mises à jour ou les HotFix les plus récents. Consultez également l’article relatif aux problèmes connus pour le produit McAfee concerné. Si le problème est déjà documenté, il peut y avoir une solution temporaire. Si cela ne résout pas le problème, pour application investigation des conflits, consultez : KB73182-McAfee-prise en charge des problèmes de compatibilité entre les produits McAfee Enterprise et les applications tierces. Pour Endpoint Security, il existe une procédure de collecte de données qui peut être utile pour fournir des informations détaillées sur les produits McAfee Enterprise. Pour obtenir des instructions, consultez : KB86691-étapes de collecte de données minimum pour les problèmes Endpoint Security.
Informations connexes
Pour accéder aux documents sur les produits McAfee, rendez-vous sur le portail de documentation des produits pour entreprises, à l'adresse https://docs.mcafee.com.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Diagnostic Data Collection
Endpoint Security for Linux Threat Prevention 10.x
Endpoint Security for Mac Threat Prevention 10.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
MOVE Antivirus Agentless 4.8.x
MOVE Antivirus Agentless 4.7.x
MOVE Antivirus Multi-platform 4.8.x
MOVE Antivirus Multi-platform 4.7.x
MOVE Antivirus Multi-platform 4.6.x (EOL)
Troubleshooting
VirusScan Enterprise 8.8 (EOL)
VirusScan Enterprise for Linux 1.9.x (EOL)
VirusScan Enterprise for Linux 2.0.x (EOL)
Endpoint Security for Linux Threat Prevention 10.x
Endpoint Security for Mac Threat Prevention 10.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
MOVE Antivirus Agentless 4.8.x
MOVE Antivirus Agentless 4.7.x
MOVE Antivirus Multi-platform 4.8.x
MOVE Antivirus Multi-platform 4.7.x
MOVE Antivirus Multi-platform 4.6.x (EOL)
Troubleshooting
VirusScan Enterprise 8.8 (EOL)
VirusScan Enterprise for Linux 1.9.x (EOL)
VirusScan Enterprise for Linux 2.0.x (EOL)
Langues :
Cet article est disponible dans les langues suivantes :
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified