Questo articolo aiuta a identificare e configurare le esclusioni EDR. Attenersi alla procedura descritta in questo articolo se si riscontrano problemi di prestazioni o problemi di applicazione di terze parti con il client MVISION EDR.
Vengono visualizzati i seguenti problemi di prestazioni:
- CPU/memoria elevata mfemvedr. exe
- Problemi di prestazioni con applicazioni di terze parti quando è installato MVISION EDR
Di seguito sono riportate alcune identificazioni dei problemi riscontrati:
- Il sistema è più lento del normale quando accede alle applicazioni.
- Il Windows Task Manager Mostra elevato consumo di CPU o elevato consumo di memoria su MVEDR. exe.
- Le applicazioni di terze parti vengono bloccate dall'inizio con MVISION EDR installato.
Attenersi alla procedura riportata di seguito per risolvere i problemi relativi alle prestazioni del client EDR:
-
Isolare il plug-in:
-
Aprire e modificare il policy di EDR assegnato nel server ePO (Menu, Catalogo delle policy).
-
Disattivare ogni plug-in uno ad uno (ad esempio, hash di file, Trace, rete) deselezionando la sezione plug-in appropriata in ciascuna scheda della policy riportata di seguito:
Nota Potrebbe essere necessario riavviare il sistema dopo la disattivazione dei plug-in per assicurarsi che il processo venga interrotto completamente a seconda se si tratta di un servizio o meno.
- Attivare la registrazione di debug. Vedere KB94346-come attivare la registrazione di debug per MVISION EDR.
- Dè in grado di Attiva protezione cartelle dati per visualizzare i file di database per i file o le attività più diffusi.
- Riattivare il plug-in che causa il problema delle prestazioni e attendere la ripetizione del problema.
- Quando il problema si ripresenta:
- Raccogliere i file MER dal sistema in cui si verifica il problema per raccogliere tutti i registri e i file di database per la richiesta di assistenza.
- Assicurarsi di tornare indietro e disattivare Registrazione di debug ripristinando le modifiche apportate al passaggio 2, Dopo aver riprodotto il problema e aver raccolto i dati.
- Aprire una richiesta di assistenza con Assistenza tecnica per analizzare i dati se non si desidera risolvere i problemi utilizzando la procedura riportata di seguito.
Risoluzione dei problemi di prestazioni dopo la raccolta dei dati iniziale:
Nota Eseguire la procedura riportata di seguito con i dati raccolti nella procedura riportata sopra.
Se il problema riguarda l'hashing dei file plug-in:
Per comprendere come escludere le cartelle più utilizzate dall'hashing dei file, continuare a esaminare le policy del database:
- Download o installazione SQLite sul sistema da SQLite.
- Estrai il file_hash. DB dal MER al sistema in cui SQLite è installato. In MER, il file salvato si trova in \0\FILE_MAR_LocalDb
- Lancio SQLite, fare clic su Database, quindi fare clic su Aggiunta di un database.
- Selezionare il File_hash. DB file estratto dal passaggio 2.
- Interrogare il File_Hash.db using the below queries:
Per un elenco delle cartelle più utilizzate (per trovare le esclusioni per "Ignora percorsi in Windows" in EDR policy assegnato al sistema):
SELECT dir, count(*) as amount FROM files GROUP BY dir ORDER BY amount DESC LIMIT 20;
For most used file extensions (exclusions for "Ignore extensions on windows" in EDR policy assigned to machine):
SELECT replace(name, rtrim(name, replace(name, '.', '')), '') as extension, count(*) as amount FROM files GROUP BY extension ORDER BY amount DESC LIMIT 20;
- Identify the most used folders or your application location. Add the complete folder path to the end of "Ignore Paths on Windows" to the file hashing policy configuration tab of your assigned EDR Policy in ePO.
- Restart your system or Disable and Re-enable the file hashing plug-in to pick up the change.
- After you complete the above steps, reproduce your performance issue to see if your issue is solved.
- Se il problema persiste dopo l'aggiunta delle esclusioni, aprire una richiesta di assistenza con Assistenza tecnica e caricare il MER richiesto raccolto sopra.
Nota Tutti i file che vengono sottoposti a hash prima di un'esclusione sono stati inseriti, Visualizza file_hash. DB fino a quando non viene ricreato o arrotolato.
- Se è necessario cancellare i vecchi hash o ricostruire completamente il file_hash.db due to large file size, rimuovere e reinstallare EDR dall'attività server ePO o Aggiungi/Rimuovi programmi.
Se la traccia plug-in ha causato il problema di prestazioni:
- Estrai il Trace. log dal MER al sistema per l'analisi. In MER, il file salvato si trova in \\0\FILE_MVEDRDataDir
- Aprire Trace. log in blocco note + +.
- Premere CTRL + F (aprire la finestra trova).
- Interruttore Modalità di ricerca A RegEx (l'opzione nella parte inferiore della finestra di ricerca).
- Nel Trova cosa barra di ricerca: immettere TResult.1..*$ e fare clic su Trova tutto nel documento corrente.
- Nei risultati di ricerca nella parte inferiore della schermata di blocco note + +, Seleziona tutto e copia.
- Aprire un nuovo documento e incollare il risultato copiato.
- Aggiungere il percorso del conteggio delle tracce superiore o il file/percorso dell'applicazione al Generale EDR policy assegnati nella sezione "percorso completo processo ignorato" della scheda traccia.
- Applicare policy al sistema.
- Chiudere e riavviare il processo.
Se è necessario aprire una richiesta di assistenza con Assistenza tecnica per consentire l'identificazione dei processi/file da escludere nella policy di traccia, documentare quanto segue nella richiesta di assistenza:
L'utente ha interrotto e avviato il processo dopo averla esclusa da EDR? Se si dispone di, si è tentato di escludere il processo principale dell'applicazione in "percorso completo processo ignorato" della policy.
Segnalare quanto segue nella richiesta di assistenza:
- Tempo e durata del problema.
- Viene visualizzato il comportamento e il messaggio di errore.
- Nome dell'applicazione.
- Percorso dell'applicazione.
Se si desidera continuare a esaminare le policy del database prima di aprire una richiesta di assistenza con Assistenza tecnica per comprendere cosa escludere da Trace. DB:
- Download o installazione SQLite sul sistema da SQLite.
- Copiare questo file in un altro percorso in cui è stato SQLite installato o estratto dal MER dai passaggi precedenti. In MER, il file salvato si trova in \0\FILE_MAR_LocalDb
- Lancio SQLite, fare clic su Database, quindi fare clic su Aggiunta di un database.
- Selezionare il Trace. DB file estratto sopra.
- Interrogare il Trace.db using below query:
Per visualizzare i file di tracce inviate superiori a 100 MB, eseguire il query seguente:
SELECT id, parent_id, trace_id, status, data FROM data WHERE data RegEXP '"size":[0-9]{7,}'
- Quando il percorso dell'applicazione o il file più tracciato dal database viene identificato, escludere il processo principale dell'applicazione in "percorso completo processo ignorato" della policy.
- Applicare il policy.
- Arrestare e riavviare l'applicazione per verificare se il problema non viene visualizzato.
Se la rete plug-in ha causato il problema:
- Creare una richiesta di assistenza con Registrazione di debug e raccogliere i file di database con il problema riprodotto.
- Spiegare il nome e il comportamento dell'applicazione con gli eventuali errori o messaggi visualizzati quando la plug-in di rete è attivata.
