- Para todas as plataformas do Endpoint Security, defina a configuração O que varrer como ZZZ na política de varredura ao acessar:
- Na guia Endpoint Security Client
- Clique em Prevenção contra ameaças.
- Clique em Mostrar opções avançadas.
- Clique em Varredura ao acessar.
- Role para baixo até a seção Configurações de processos.
- Encontre a configuração O que varrer.
- Clique em Somente tipos de arquivo especificados.
- Insira um valor de ZZZ.
- Clique em Aplicar.
- Se a opção abaixo estiver ativada, clique no botão Alto risco em Baixo risco as guias da seção tipos de processo e repita as etapas acima.
Definir configurações diferentes para processos de alto risco e baixo riscoINDICADO Se você estiver usando configurações de varredura de processos de alto risco e baixo risco, poderá ser útil testar essas configurações uma de cada vez.
- No ePolicy Orchestrator:
INDICADO Você pode optar por definir uma política exclusiva para este teste e atribuí-la somente aos sistemas de teste. Copie a política de produção ou a McAfee política padrão e faça as seguintes alterações. Para modificar a atribuição de políticas, use o Modificar política em um único sistema função de um dos Árvore de sistemas Medidas AdicionarMenu.
- Abra Catálogo de políticas e selecione a política Varredura ao acessar.
- Clique em Mostrar opções avançadas.
- Role para baixo até a seção Configurações de processos.
- Encontre a configuração O que varrer.
- Clique em Somente tipos de arquivo especificados.
- Insira um valor de ZZZ.
- Clique em Salvar.
- Se Definir configurações diferentes para processos de alto risco e baixo risco estiver ativado, clique nas guias Alto risco e Baixo risco da seção Tipos de processo e repita as etapas acima.
INDICADO Se você estiver usando configurações de varredura de processos de alto risco e baixo risco, poderá ser útil testar essas configurações uma de cada vez.
- Na guia Endpoint Security Client
- Procura MOVE AV agentless/multi-Platform, defina o Tipos de arquivo a serem varridos a ZZZ na política de varredura ao acessar:
INDICADO Você pode optar por definir uma política exclusiva para este teste e atribuí-la somente aos sistemas de teste. Copie a política de produção ou a McAfee política padrão e faça as seguintes alterações. Use o Modificar política em um único sistema função de um dos Árvore de sistemas Medidas e modificar a atribuição de políticas.
- No ePolicy Orchestrator, abra Catálogo de políticas.
- Clique na política Varredura ao acessar.
- Clique em Mostrar opções avançadas.
- Role para baixo até Tipos de arquivo a serem varridos.
- Clique em Seguindo somente.
- Clique em Adicionar.
- Insira um valor de ZZZ.
- Clique em OK.
- Remova todas as outras extensões já listadas.
- Salve a política.
- Use uma chamada de ativação de Agent com a opção de política forçada e imponha a política no sistema. Ou, em SVMs sem agente, use o
cmdagent -c -e função de/opt/McAfee/agent/bin/ no console do ou em SVMs de várias plataformas, use o Verificar nova política no monitor de status do Agent do sistema.
- Para VirusScan Enterprise, defina a propriedade O que varrer como ZZZ no módulo da varredura ao acessar:
- Na guia VirusScan Enterprise Client
- Clique com o botão direito do mouse em Varredura ao acessar e selecione Propriedades.
- Clique em Todos os processos.
- Clique na guia Itens para varredura.
- Altere a propriedade O que varrer e clique em Somente tipos de arquivo especificados.
- Clique em Especificado.
- Insira um valor de ZZZ.
- Clique em Adicionar.
- Clique em OK.
- Clique em Aplicar.
- Repita essas etapas para processos de alto risco e processos de baixo risco se eles estiverem ativados.
INDICADO Se você estiver usando configurações de varredura de processos de alto risco e baixo risco, poderá ser útil testar essas configurações uma de cada vez.
- No ePolicy Orchestrator:
INDICADO Você pode optar por definir uma política exclusiva para este teste e atribuí-la somente aos sistemas de teste. Copie a política de produção ou a McAfee política padrão e faça as seguintes alterações. Use o Modificar política em um único sistema função de um dos Árvore de sistemas Medidas e modifique a atribuição de política.
- Abra Catálogo de políticas e selecione a política Processos padrão da varredura ao acessar.
- Clique na guia Itens para varredura.
- Altere a propriedade Tipos de arquivo a serem varridos e clique em Somente tipos de arquivo especificados.
- Insira um valor de ZZZ.
- Clique em Salvar.
- Repita essas etapas para processos de alto risco e processos de baixo risco se eles estiverem ativados.
INDICADO Se você estiver usando configurações de varredura de processos de alto risco e baixo risco, poderá ser útil testar essas configurações uma de cada vez.
- Use uma chamada de ativação de Agent com a opção de política forçada e imponha a política no sistema. Ou, use o Verificar nova política no monitor de status do Agent do sistema.
- Na guia VirusScan Enterprise Client
- Procura VirusScan Enterprise for Linux, defina o O que varrer Propriedade como ZZZ na política de varredura ao acessar:
INDICADO Você pode optar por definir uma política exclusiva para este teste e atribuí-la somente aos sistemas de teste. Copie a política de produção ou a McAfee política padrão e faça as seguintes alterações. Use o Modificar política em um único sistema função de um dos Árvore de sistemas Medidas e modifique a atribuição de política.
- No ePolicy Orchestrator, abra Catálogo de políticas.
- Clique na política Varredura ao acessar.
- Clique na guia Detecções.
- Altere a configuração O que varrer para Tipos de arquivo especificados.
- Insira um valor de ZZZ.
- Clique em Salvar.
- Use uma chamada de ativação de Agent com a opção de política forçada e imponha a política no sistema. Ou, use o
cmdagent -c -e função de/opt/McAfee/agent/bin/ no console do.
Solução de problemas de alta utilização de CPU pela mecanismo de varredura antimalware em tempo real
Artigos técnicos ID:
KB89354
Última modificação: 23/09/2021
Última modificação: 23/09/2021
Ambiente
McAfee Endpoint Security for Linux Prevenção contra ameaças 10.x
McAfee Endpoint Security for Mac Prevenção contra ameaças 10.x
McAfee Endpoint Security Prevenção contra ameaças 10.x
Gerenciamento de McAfee para ambientes virtuais otimizados (MOVE)
McAfee MOVE AntiVirus sem agente (MOVE AV Agent sem agente)
McAfee MOVE AntiVirus multi-Platform (multiplataforma MOVE antivírus)
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x
McAfee Endpoint Security for Mac Prevenção contra ameaças 10.x
McAfee Endpoint Security Prevenção contra ameaças 10.x
Gerenciamento de McAfee para ambientes virtuais otimizados (MOVE)
McAfee MOVE AntiVirus sem agente (MOVE AV Agent sem agente)
McAfee MOVE AntiVirus multi-Platform (multiplataforma MOVE antivírus)
McAfee VirusScan Enterprise 8.8.x
McAfee VirusScan Enterprise for Linux 2.x, 1.x
Resumo
Todos os McAfee mecanismos de varredura antimalware em tempo real funcionam inserindo um componente que é usado para monitor todas as solicitações de acesso ao disco feitas por qualquer processo em execução na memória. Esse componente intercepta o arquivo e o entrega para o mecanismo de varredura. O mecanismo de varredura, em seguida, retorna uma decisão sobre se o arquivo é malicioso. Se o arquivo não for malicioso, ele será devolvido para o processo que o solicitou. Se o arquivo for malicioso, uma ação será executada nele. O uso do Antimalware em tempo real mecanismo de varredura utilização da CPU é proporcional à quantidade de atividade do disco que ocorre no sistema. Se o sistema estiver ocioso, o mecanismo de varredura ficará ocioso. Portanto, uma mecanismo de varredura antimalware em tempo real é esperada para elevar a utilização da CPU existente, mas não é a força que leva por trás o consumo de recursos do sistema.
Como McAfee software corporativo existe em uma variedade diversificada de ambientes, é impossível fornecer uma configuração padrão que atenda ao equilíbrio necessário entre a proteção e o desempenho em todos os ambientes possíveis. Espera-se que os administradores ajustem cada instância do Antimalware em tempo real mecanismo de varredura às necessidades do ambiente específico.
O ajuste é conduzido por meio da medição do desempenho da configuração padrão ou existente e, em seguida, da modificação da configuração para melhorar o desempenho e aumentar a segurança. Às vezes, os problemas de desempenho não podem ser amenizados por meio da alteração da configuração. Nesses casos, pode haver um conflito entre o antimalware em tempo real mecanismo de varredura e um programa de terceiros ou o próprio sistema. Os conflitos desse tipo devem ser resolvidos para aliviar os problemas.
Para identificar a causa da alta utilização da CPU pelo McAfee mecanismo de varredura de antimalware corporativos em tempo real para Endpoint Security, MOVE AV agentless, MOVE AVMulti-Platform ou VirusScan Enterprise, use o procedimento de diagnóstico deste artigo. Somente etapas gerais de correção são fornecidas.
INDICADO O alto nível de utilização da CPU é o sintoma de desempenho mais comum que os usuários enfrentam. No entanto, a solução de problemas coberta por este artigo é relevante para qualquer problema de desempenho, estabilidade do sistema ou instabilidade do aplicativo que possa ocorrer. Nas etapas a seguir, o artigo direciona as alterações de configuração ao monitorar como cada alteração afeta a atividade da CPU. No entanto, você pode substituir essas etapas por qualquer sintoma de desempenho, estabilidade de sistema ou estabilidade de aplicativo específico.
Como McAfee software corporativo existe em uma variedade diversificada de ambientes, é impossível fornecer uma configuração padrão que atenda ao equilíbrio necessário entre a proteção e o desempenho em todos os ambientes possíveis. Espera-se que os administradores ajustem cada instância do Antimalware em tempo real mecanismo de varredura às necessidades do ambiente específico.
O ajuste é conduzido por meio da medição do desempenho da configuração padrão ou existente e, em seguida, da modificação da configuração para melhorar o desempenho e aumentar a segurança. Às vezes, os problemas de desempenho não podem ser amenizados por meio da alteração da configuração. Nesses casos, pode haver um conflito entre o antimalware em tempo real mecanismo de varredura e um programa de terceiros ou o próprio sistema. Os conflitos desse tipo devem ser resolvidos para aliviar os problemas.
Para identificar a causa da alta utilização da CPU pelo McAfee mecanismo de varredura de antimalware corporativos em tempo real para Endpoint Security, MOVE AV agentless, MOVE AVMulti-Platform ou VirusScan Enterprise, use o procedimento de diagnóstico deste artigo. Somente etapas gerais de correção são fornecidas.
INDICADO O alto nível de utilização da CPU é o sintoma de desempenho mais comum que os usuários enfrentam. No entanto, a solução de problemas coberta por este artigo é relevante para qualquer problema de desempenho, estabilidade do sistema ou instabilidade do aplicativo que possa ocorrer. Nas etapas a seguir, o artigo direciona as alterações de configuração ao monitorar como cada alteração afeta a atividade da CPU. No entanto, você pode substituir essas etapas por qualquer sintoma de desempenho, estabilidade de sistema ou estabilidade de aplicativo específico.
Causa
Use os procedimentos de diagnóstico a seguir para identificar o componente que está causando o alto nível de utilização da CPU.
Sumário
Clique para expandir a seção que você deseja exibir:
Verifique se a mecanismo de varredura antimalware em tempo real é parte do problema com o teste "ZZZ" Configurando o mecanismo de varredura antimalware em tempo real para entregar arquivos apenas com um .zzz extensão para o mecanismo de varredura. Esse teste elimina o envolvimento do mecanismo de varredura. Se isso fizer com que a utilização da CPU seja significativamente descartada, o mecanismo de varredura será a causa.
Se o teste de ZZZ não aliviar o alto nível de utilização da CPU, o mecanismo de varredura estará examinando com eficiência todos os arquivos enviados para ele. A próxima etapa é determinar exatamente qual subcomponente do mecanismo de varredura antimalware em tempo real está causando o sintoma. Para investigar, desative os recursos do produto, um de cada vez. Entre cada um deles, replique o evento de alta utilização da CPU e observe se a alta utilização da CPU é aliviada.
Depois de identificar o componente problemático, é muitas vezes útil revisar os registros desse componente. Os registros identificam com frequência a causa do problema. Por exemplo, o log do VirusScan Enterprise para a varredura ao acessar pode ser saturado com mensagens de tempo limite de varredura de diretórios específicos. Essas mensagens podem até estar todas associadas ao mesmo aplicativo de terceiros.
A maioria dos McAfee registros de produtos corporativos para Windows sistemas está localizado em%programdata%\McAfee\ . MOVE logs de multiplataforma do AV estão localizados no diretório de instalação do produto em c:\program files (x86)\McAfee\MOVE AV Server . McAfee registros corporativos de Mac e Linux sistemas são visualizados mais facilmente pela coleta de uma arquivo de requisitos mínimos de escalonamento (MER) a partir do sistema em questão. Revise os artigos a seguir para obter instruções sobre como coletar uma MER arquivo:
Pode ser útil identificar qual programa está causando o maior número de atividade do disco, o que resulta na maior parte da atividade de varredura. Normalmente, o processo de varredura (como McShield.exe , Nails , ou oasmanager ) é o principal consumidor de recursos e o aplicativo que está avisando que a atividade do disco é o segundo consumidor de CPU mais alto. No entanto, nem todos os casos são diretos. Se for necessário mais esclarecimento, reintroduza o estado de alta utilização da CPU e, em seguida, comece a encerrar os aplicativos de terceiros. Depois de identificar o aplicativo problemático, tente desactivar progressivamente os subcomponentes do aplicativo onde for apropriado.
Se nenhuma das desativações progressivas acima tiver mostrado uma queda na utilização da CPU, desinstale o McAfee software de varredura antimalware em tempo real e verifique o estado da utilização da CPU.
Sumário
Clique para expandir a seção que você deseja exibir:
- Para todas as plataformas do Endpoint Security:
- Desative a varredura ao acessar. Se o alto nível de utilização da CPU cair, reative a varredura ao acessar e desative as opções a seguir. Verifique após cada desativação. Caso contrário, vá para a próxima etapa.
- Varrer setores de inicialização
- Varrer processos ao ativar
- Fazer a varredura de instaladores confiáveis (se houver uma instalação de aplicativo envolvida)
- ScriptScan
- Varrer unidades de rede
- Varrer durante a gravação no disco
- Varrer durante a leitura do disco
- Procurar cavalos de troia e programas indesejados
- Procurar ameaças de macros desconhecidas
- Varrer dentro de arquivamentos
- Decodificar arquivos codificados com MIME
- Detectar programas indesejados
- Desative a proteção de acesso. Se o alto nível de utilização da CPU cair, reative a proteção de acesso e desative o bloqueio e o relato de cada regra da proteção de acesso. Verifique após cada desativação. Caso contrário, vá para a próxima etapa.
- Desative a prevenção de exploração. Se o alto nível de utilização da CPU cair, reative a prevenção de exploração e desative cada assinatura e regra de proteção do aplicativo. Verifique após cada desativação.
- Desative a varredura ao acessar. Se o alto nível de utilização da CPU cair, reative a varredura ao acessar e desative as opções a seguir. Verifique após cada desativação. Caso contrário, vá para a próxima etapa.
- Procura MOVE AV agentless/multi-Platform:
- Desative Varrer arquivos durante a gravação no disco e faça o teste. Se o alto nível de utilização da CPU não cair, continue para a etapa seguinte.
- Desative Varrer arquivos durante a leitura do disco e faça o teste. Se o alto nível de utilização da CPU não cair, continue para a etapa seguinte.
- Desative Varrer arquivos em volumes montados na rede e faça o teste.
- Para VirusScan Enterprise:
- Desative a varredura ao acessar. Se o alto nível de utilização da CPU cair, reative a varredura ao acessar e desative os componentes a seguir. Verifique após cada desativação. Caso contrário, vá para a próxima etapa.
- Varrer setores de inicialização
- Varrer processos ao ativar
- Fazer a varredura de instaladores confiáveis (se houver uma instalação de aplicativo envolvida)
- ScriptScan
- Varrer unidades de rede
- Varrer durante a gravação no disco
- Varrer durante a leitura do disco
- Procurar cavalos de troia e programas indesejados
- Procurar ameaças de macros desconhecidas
- Varrer dentro de arquivamentos
- Decodificar arquivos codificados com MIME
- Detectar programas indesejados
- Desative a proteção de acesso. Se o alto nível de utilização da CPU cair:
- Reative a proteção de acesso.
- Desativar o bloqueio e a geração de relatórios sobre cada uma das regras de proteção de acesso e teste após cada uma delas.
Caso contrário, prossiga para a próxima etapa.
- Desative o Mecanismo de varredura de e-mail ao entregar. Se o alto nível de utilização da CPU cair, desative todos os subcomponentes do mecanismo de varredura de E-mail ao entregar e teste após cada um deles.
- Desative a varredura ao acessar. Se o alto nível de utilização da CPU cair, reative a varredura ao acessar e desative os componentes a seguir. Verifique após cada desativação. Caso contrário, vá para a próxima etapa.
- Para VirusScan Enterprise for Linux:
desative a varredura ao acessar. Se o alto nível de utilização da CPU cair, reative a varredura ao acessar e desative os componentes a seguir. Verifique após cada desativação.- Varrer arquivos durante a gravação no disco
- Varrer arquivos durante a leitura do disco
- Varrer arquivos em volumes montados
- Procurar vírus de programa desconhecidos
- Procurar vírus de macro desconhecidos
- Procurar programas potencialmente indesejados
- Procurar programas de piadas
- Examinar dentro de arquivos compactados com vários arquivos
- Decodificar arquivos codificados com MIME
A maioria dos McAfee registros de produtos corporativos para Windows sistemas está localizado em
- KB88197-coleta os requisitos mínimos de escalonamento arquivo para Endpoint Security for Linux
- KB87626-coleta os requisitos mínimos de escalonamento para Endpoint Protection for Mac, Endpoint Security para Mac ou VirusScan para Mac
- KB80097-como gerar o MOVE AntiVirus arquivo do MER Agent
- KB67272-como gerar o VirusScan Enterprise for Linux MER arquivo
Solução
Os resultados das etapas de coleta de dados anteriores indicam o que está causando o problema e fornecem um método de ajuste da configuração para ignorar o componente problemático.
Criar exclusões:
Se o teste ZZZ diminuiu o problema, há uma necessidade de excluir um diretório, um tipo de arquivo ou um processo do componente de varredura ao acessar. Comece catalogando todos os aplicativos de terceiros confiáveis no sistema. Entre em contato com o fornecedor para cada um, para obter um conjunto de exclusões recomendadas para o software antimalware. As exclusões são uma lista de pastas que não são examinadas e uma lista de processos em execução que não disparam uma varredura ao solicitar atividade de disco. Exclua as pastas e, se o produto Antimalware for Endpoint Security ou VirusScan Enterprise, adicione os processos ao perfil processos de baixo risco. Certifique-se de desativar Varredura na leitura, Varrer na gravação, ou ambos, conforme o necessário.
Se o teste ZZZ diminuiu o problema, há uma necessidade de excluir um diretório, um tipo de arquivo ou um processo do componente de varredura ao acessar. Comece catalogando todos os aplicativos de terceiros confiáveis no sistema. Entre em contato com o fornecedor para cada um, para obter um conjunto de exclusões recomendadas para o software antimalware. As exclusões são uma lista de pastas que não são examinadas e uma lista de processos em execução que não disparam uma varredura ao solicitar atividade de disco. Exclua as pastas e, se o produto Antimalware for Endpoint Security ou VirusScan Enterprise, adicione os processos ao perfil processos de baixo risco. Certifique-se de desativar Varredura na leitura, Varrer na gravação, ou ambos, conforme o necessário.
Quando o problema não for totalmente amenizado, revise os logs de varredura para eventos de tempo limite de varredura. Se houver um padrão consistente, isso pode indicar que você precisa de mais exclusões.
O Process Monitor, uma ferramenta do pacote Microsoft Sysinternals, também pode ajudar se for necessário mais ajustes. O processo de varredura ativo para VirusScan Enterprise e o MOVE AV agentless/multi-Platform é McShield.exe . O processo de varredura ativo para Endpoint Security é enstp.exe .
Se a desativação de um dos outros componentes tiver minimizado o problema, como ScriptScan , Access Protection , ou Exploit Prevention , crie exclusões para o componente afetado. Alguns desses componentes excluem caminhos do diretório, enquanto outros excluem processos em execução na memória. Revise a seção apropriada do guia de produto da versão do produto para obter detalhes. Nesses casos, os logs de produtos normalmente revelam a origem do problema do recurso.
Conflitos com aplicativos de terceiros:
Um conflito entre esse aplicativo e o software McAfee Enterprise deve ser resolvido se:
Um conflito entre esse aplicativo e o software McAfee Enterprise deve ser resolvido se:
- A desinstalação do McAfee produto Antimalware empresarial diminuiu o problema.
Ou - A origem do conflito pode ser identificada com a desinstalação de um aplicativo de terceiros.
Freqüentemente, esses tipos de problemas já são conhecidos. Verifique se o software McAfee Enterprise e o produto de terceiros estão atualizados com as atualizações ou hotfixes mais recentes. Além disso, revise o artigo de problemas conhecidos referente ao produto da McAfee afetado. Se o problema já estiver documentado, pode ser uma solução alternativa. Se isso não resolver o problema, para investigação de conflito de aplicativos, consulte: KB73182-McAfee declaração de suporte para problemas de compatibilidade entre McAfee produtos corporativos e aplicativos de terceiros. Por Endpoint Security, há um procedimento de coleta de dados que pode ser útil no fornecimento de informações detalhadas sobre McAfee produtos corporativos. Para obter instruções, consulte: KB86691-etapas mínimas de coleta de dados para problemas de Endpoint Security.
Informações relacionadas
Para obter documentos de produtos da McAfee, acesse o portal de Documentação de produtos para empresas em https://docs.mcafee.com.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Diagnostic Data Collection
Endpoint Security for Linux Threat Prevention 10.x
Endpoint Security for Mac Threat Prevention 10.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
MOVE Antivirus Agentless 4.8.x
MOVE Antivirus Agentless 4.7.x
MOVE Antivirus Multi-platform 4.8.x
MOVE Antivirus Multi-platform 4.7.x
MOVE Antivirus Multi-platform 4.6.x (EOL)
Troubleshooting
VirusScan Enterprise 8.8 (EOL)
VirusScan Enterprise for Linux 1.9.x (EOL)
VirusScan Enterprise for Linux 2.0.x (EOL)
Endpoint Security for Linux Threat Prevention 10.x
Endpoint Security for Mac Threat Prevention 10.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
MOVE Antivirus Agentless 4.8.x
MOVE Antivirus Agentless 4.7.x
MOVE Antivirus Multi-platform 4.8.x
MOVE Antivirus Multi-platform 4.7.x
MOVE Antivirus Multi-platform 4.6.x (EOL)
Troubleshooting
VirusScan Enterprise 8.8 (EOL)
VirusScan Enterprise for Linux 1.9.x (EOL)
VirusScan Enterprise for Linux 2.0.x (EOL)
Idiomas:
Este artigo está disponível nos seguintes idiomas:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified
