- SSSO est un outil qui facilite la collecte de données à l’aide de plusieurs outils autonomes à partir d’une seule et même interface. SSSO utilise des règles et des déclencheurs prédéfinis pour automatiser la collecte. Pour plus d’informations, reportez-vous à la section KB92519-self-service Supporting Orchestrator Data collection Tool.
AMTrace est un outil interne permettant de collecter les données de journalisation depuis la dernière mise à jour duAMCore 11 octobre 2018. À utiliserAMTrace pour collecter les données de journalisation à partir deAMCore :- Préparer
AMTrace :- Téléchargez le package
ENSDataCollect.zip zip à partir de la section "pièce jointe" de cet article. - Extrayez le contenu sur le bureau.
- Téléchargez le package
- Exécuter
AMTrace :- Cliquez sur Démarrer, saisissez
cmd.exe dans la barre de recherche, cliquez avec le bouton droitcmd.exe dans la liste, puis cliquez sur exécuter en tant qu’administrateur. - Lorsque vous êtes prêt à démarrer un traçage, utilisez l’option de commande ci-dessous, qui nécessite la section collecte des données pertinente.
Remarque : Les chemins d’accès auxAMTrace.exe emplacements des fichiers sont les suivants :C:\Users\username\Desktop\ENSDataCollect\AMTracex86 C:\Users\username\Desktop\ENSDataCollect\AMTracex64
AMTrace options de commande :- Pour utiliser cette
AMTrace onboot option, exécutez la commande suivante :
AMTrace.exe -b onboot -m 4GB
Cette commande indique à l’outil de commencer un traçage au prochain démarrage.
REMARQUES :- La "" Go est sensible à la casse. Cet exemple limite la taille du journal à 4 Go. 10 Mo est la valeur minimale acceptée, et 2 Go est la valeur par défaut, si elle n’est pas spécifiée.
- Cette option ne prend pas en charge les autres modes de journalisation décrits ci-dessous.
- Pour l’utiliser
AMTrace avec l’option maintenant , exécutez la commande suivante :
AMTrace.exe -b now -m 4GB
important : l'AMTrace option de survol est désormais utilisée par défaut.Cette commande indique à l’outil de commencer immédiatementune trace et de limiter la taille du journal à 4 Go parRemarque : La "" Go est sensible à la casse..etl fichier. Lorsque le journal atteint 4 Go, un nouveau journal est créé. Chaque journal est ajouté avec __ _, _2, etc., jusqu’à ce que vous arrêtiez le traçage, que l’utilisateur se déconnecte ou que vous arrêtiez le système.
- A utiliser
AMTrace sans l’option de substitution :Choisissez une méthode d’enregistrement appropriée pour le problème que vous souhaitez enregistrer :
AMTrace.exe -b now -m 4GB -L stop
AMTrace.exe -b now -m 4GB -L circular
Le mode d' arrêt crée une session de traçage qui arrête la journalisation une fois la limite de taille atteinte.
Le mode circulaire crée une session de traçage qui se connecte à un fichier unique. Une fois la taille maximale atteinte, les événements plus anciens sont écrasés.
Remarque : Les "" L "et" GB sont sensibles à la casse.
- Arrêtez le traçage et enregistrez le journal. Utilisez la commande suivante :
AMTrace -e
- Lorsque cela est possible,
AMTrace tente de renommer automatiquement les fichiers ETL qui en résultent pour inclure l’heure de début et l’heure de fin de la connexion au nom du fichier. Par exemple,amtrace_20200704.010203-010305.etl indique que la journalisation a débuté le 2020-07-04 (4 juillet 2020) à 1:02:03 et continue jusqu’à 1:03:05.
SiAMTrace ne parvient pas à renommer le fichier lorsque la journalisation s’arrête, il est toujours possible de le renommer manuellement à l’aide d’une autreAMTrace commande :
AMTrace.exe --datestamp *.etl
Cette commande accepte les caractères génériques (* ou? ) pour faire référence à plusieurs caractères ou à un seul caractère, respectivement. Cette commande renomme le ou les fichiers spécifiés pour inclure les heures de début et d'arrêt dans le nom du fichier. Elle n’a pas d’incidence sur les fichiers auxquels datestamp a déjà été ajouté.
- Cliquez sur Démarrer, saisissez
AMTrace est en cours d’exécution, exécutez la commande suivante pour afficher la liste des traçages actifs :
AMTrace -q
Pour obtenir une démonstration de la collecteAMTrace de données à l’aide de cette procédure, regardez la vidéo suivante :
- Préparer
GFlags vous permet d’activer et de désactiver les fonctionnalités de diagnostic et de dépannage du système interne avancé. Vous pouvez l’exécuterGFlags à partir d’une fenêtre d’invite de commande ou utiliser sa boîte de dialogue de l’interface utilisateur graphique. Il est le plus souvent utilisé pour activer les indicateurs de suivi, de nombre et de journalisation d’autres outils.- Mer collecte les journaux des événements, les détails sur la version des fichiers, les fichiers, les détails du processus et les détails du registre des produits installés sur votre ordinateur. Support technique utilise les données collectées pour résoudre les problèmes. Pour plus d’informations, reportez -vous à la section l’article kb59385-How to use mer Tools with nos produits.
- Process Monitor est un outil de Microsoft qui surveille et affiche toutes les activités du système de fichiers sur un système d’exploitation Windows en temps réel. Utilisez l’outil dans administration des systèmes, analyses informatiques et application débogage. Utilisation de Process Monitor :
- Préparez le moniteur de processus :
- Téléchargez process Monitor à partir de la page de téléchargement de process Monitor.
- Procédez à l’extraction
Procmon.exe sur le poste de travail.
- Exécutez Process Monitor :
- Lorsque vous êtes prêt à démarrer process Monitor, utilisez l’option ci-dessous, dans laquelle la section de collecte des données pertinente est requise.
- Pour démarrer immédiatement Process Monitor, procédez comme suit :
- L’exécuter
Procmon.exe; démarre automatiquement pour capturer les informations de processus. - Pour arrêter Process Monitor, appuyez sur Ctrl + E ou cliquez sur Fichier et désélectionnez Capturer des événements. Appuyez à nouveau sur Ctrl + E pour reprendre la collecte des données.
- Pour enregistrer le journal, cliquez sur fichier, Enregistrer... (sélectionnez tous les événements et utilisez le format PML natif).
- L’exécuter
- Pour activer l’option de journalisation de démarrage du moniteur de processus si nécessaire dans la section collecte des données appropriée, procédez comme suit :
- Ouvrez la console Process Monitor.
- Cliquez sur Options.
- Cliquez sur Activer la journalisation de démarrage.
- Cliquez sur OK dans la fenêtre pop-up. La prochaine fois qu’un redémarrage se produit, un journal de traçage de démarrage est créé.
- Pour enregistrer le journal, exécutez à nouveau Process Monitor, puis cliquez sur Fichier, Enregistrer... (sélectionnez Tous les événements et utilisez le format PML natif).
- Pour démarrer immédiatement Process Monitor, procédez comme suit :
- Lorsque vous êtes prêt à démarrer process Monitor, utilisez l’option ci-dessous, dans laquelle la section de collecte des données pertinente est requise.
Pour une démonstration de la collecte des données de process Monitor à l’aide de cette procédure, regardez la vidéo suivante :
- Préparez le moniteur de processus :
ProcDump est un utilitaire de ligne de commande utilisé pour surveiller un application pour les pics d’utilisation du processeur. Il génère des vidages sur incident au cours d’un pic qu’un administrateur ou un développeur peut utiliser pour déterminer la cause du pic.PerfMon est un outil que les administrateurs peuvent utiliser pour examiner la manière dont les programmes s’exécutant sur leur ordinateur affectent les performances de l’ordinateur. Utilisez l’outil en temps réel pour analyser la manière dont les programmes en cours d’exécution affectent les performances du système. Vous pouvez également utiliser cet outil pour collecter ultérieurement des informations sur les fichiers journaux pour l’analyse des données des performances du système.- Poolmon affiche les données que le système d’exploitation collecte à propos des allocations de mémoire à partir des pools de noyau paginés et non paginés du système, et des pools de mémoire utilisés pour les sessions des services Terminal Server. Poolmon regroupe le marqueur d’allocation de données par pool. Microsoft Support technique utilise ces informations pour trouver les fuites de mémoire en mode noyau.
- VMware Converter est un utilitaire gratuit de VMware qui aide à convertir les systèmes physiques Windows et Linux en VMware machines virtuelles. Vous pouvez également l’utiliser pour convertir des formats d’image tiers, tels que des images de sauvegarde et d’autres machines virtuelles, en VMware des machines virtuelles. Utilisez cet outil pour créer des machines virtuelles à fournir à Support technique pour le dépannage.
- WinDbg est un débogueur distribué Microsoft pour le système d’exploitation Windows. Utilisez cet outil pour déboguer les applications en mode utilisateur, les pilotes d’équipement et le système d’exploitation lui-même en mode noyau. Il dispose d’une interface utilisateur graphique et est plus puissant que le débogueur Visual Studio.
- Windows performance Recorder (WPR) est un outil d’enregistrement des performances de Microsoft basé sur le traçage d’événements pour Windows (ETW). Il enregistre les événements système que vous pouvez ensuite analyser à l’aide de Windows l’analyseur de performances (WPA). Pour utiliser la procédure WPR, procédez comme suit :
- Cliquez sur Démarrer, saisissez
cmd.exe dans la barre de recherche, cliquez avec le bouton droitcmd.exe dans la liste, puis cliquez sur exécuter en tant qu’administrateur. - Saisissez
wprui.exe et appuyez sur entrée pour démarrer WPR.- Pour Windows SDK, reportez-vous à la page téléchargements Windows SDK.
- Pour le kit d’évaluation et de déploiement de Windows, reportez-vous à la page de téléchargement Windows Assessment and Deployment Kit.
- Choisissez d’utiliser un scénario de performances et d’autres paramètres, comme recommandé dans le tableau suivant :
Problème de performancesScénario de performancesNiveau de détailMode de journalisation
Profils à inclure Nombre d’itérations Démarrage ou connexion lenteDémarrerVoir ci-dessousFichierTriage de premier niveau, utilisation processeur, activité E/S de fichiers, activité E/S du minifiltre Au moins 1 Utilisation processeur élevéeGénéralVoir ci-dessousFichierTriage de premier niveau, utilisation processeur, activité E/S de fichiers, activité E/S du minifiltre N/D L’application est lente ou ne répond pasGénéral Voir ci-dessous Fichier Triage de premier niveau, utilisation processeur, activité E/S de fichiers, activité E/S du minifiltre N/D
L’utilisation de la fonction WPR augmente la charge sur le système, ce qui peut modifier ou masquer le problème d’origine que vous souhaitez rechercher. Collectez deux ensembles de données avec différents niveaux de détail. Utilisez le paramètre Synthèse pour afficher le problème, et Détaillé pour obtenir un ensemble de données adapté à une analyse plus approfondie. Capturez au moins 30 secondes.
Dans la mesure du possible, collectez un journal WPR sans le problème lors de l’exécution de la même tâche, à des fins comparatives. Un ensemble de données sans ENS présent est nécessaire pour établir la référence pour les performances attendues.
Pour obtenir une démonstration de la collecte de données WPR avec cette procédure, regardez la vidéo suivante :
- Cliquez sur Démarrer, saisissez
Etapes de collecte de données minimum pour les problèmes Endpoint Security
Articles techniques ID:
KB86691
Date de la dernière modification : 18/08/2022
Date de la dernière modification : 18/08/2022
Environnement
Protection adaptive contre les menaces Endpoint Security (ENS) (ATP) 10.x
Pare-feu 10.x
ens Plate-forme 10.x
ens Prévention contre les menaces 10.x
ens Contrôle Web ENS 10.x
Pare-feu 10.x
ens Plate-forme 10.x
ens Prévention contre les menaces 10.x
ens Contrôle Web ENS 10.x
Synthèse
Cet article fournit des informations de base sur les étapes de collecte de données minimales pour la résolution des problèmes ens courants.
Assurez-vous que tous les journaux sont collectés à partir du même système qui rencontre le problème et que tous les journaux sont collectés en même temps. L’horodatage des données de journalisation peut être utilisé pour résoudre le problème.
Les journaux non concordants des différents systèmes, ou des journaux collectés à des moments différents, ne peuvent pas être utilisés pour la résolution des problèmes. Ces journaux peuvent entraîner la recollecte de tous les journaux de collecte de données minimum.
Les sections suivantes décrivent les données à collecter pour chaque type de problème :
Pour obtenir des instructions, voir KB91797-activer la journalisation de débogage pour résoudre les problèmes Endpoint Security.
Suivez la procédure décrite dans cette section si les symptômes sont l’un des suivants :
Remarque : collectez une WebMER à partir de l’utilitaire SSSO dès que le manuel est terminé.
Collecte manuelle des données :
Étapes de collecte des données pourAMTrace Process Monitor :
Collecte manuelle des données :
Étapes de collecte des données pourAMTrace Process Monitor :
Collecte manuelle des données :
Etapes de collecte de données pourAMTrace :
Suivez la procédure décrite dans cette section si les symptômes sont l’un des suivants :
Remarque : collectez une WebMER à partir de l’utilitaire SSSO dès que le manuel est terminé.
Collecte manuelle des données :
Etapes de collecte de données pour un blocage ou un blocage du système :
Suivez la procédure décrite dans cette section si les symptômes sont l’un des suivants :
Collecte manuelle des données :
Etapes de collecte de données pour un application blocage ou un interblocage :
Suivez la procédure décrite dans cette section en cas de suspicion de fuite de mémoire du noyau impliquant l’un de nos processus.
Suivez la procédure décrite dans cette section si les symptômes concernent Device Guard ou Credential Guard.
Suivez les étapes de collecte des données de cette section si un ou plusieurs composants de ENS ne s’installent pas.
Remarque : Dans la plupart des cas, il est idéal pour ENS collecte de données d’installation à effectuer à l’aide du chemin d’installation local. Cette configuration isole tous les échecs potentiels du programme d’installation ENS lui-même, et non de l’exécution de tâches ou des erreurs réseau. Si la collecte des données doit être effectuée à partir de déploiements basés sur ePO, utilisez Support technique pour vous assurer que cette configuration est prise en compte lors de l’examen des données.
Manuel SSSO (installation locale)
Manuel SSSO (déploiement ePO)
Collecte manuelle des données :
Remarque : Assurez-vous de collecter les données au cours d’une installation locale de ens. Résolvez les problèmes chaque module en tant que produit distinct.
Suivez la procédure décrite dans cette section si les symptômes sont l’un des suivants :
Collecte manuelle des données :
Suivez la procédure décrite dans cette section si les symptômes sont liés à TIE :
Suivez les étapes de la procédure décrite dans KB90662-dépannage d’un trafic réseau ou application lors de l’utilisation du pare-feu ens.
Haut de la page
Assurez-vous que tous les journaux sont collectés à partir du même système qui rencontre le problème et que tous les journaux sont collectés en même temps. L’horodatage des données de journalisation peut être utilisé pour résoudre le problème.
Les journaux non concordants des différents systèmes, ou des journaux collectés à des moments différents, ne peuvent pas être utilisés pour la résolution des problèmes. Ces journaux peuvent entraîner la recollecte de tous les journaux de collecte de données minimum.
Important : Les fichiers suivants sont nécessaires pour Support technique :
- Les fichiers requis pour la procédure d' escalade minimale (mer) avec journalisation de débogage pour ens sont nécessaires pour tous les problèmes. Pour plus d’informations sur la journalisation de débogage, voir Vérifier si la journalisation de débogage ENS est activée. Pour plus d’informations sur les fichiers MER, reportez -vous à la section l’article kb59385-How to use mer Tools with nos produits. La journalisation de débogage doit être activée pour que le Real Protect
RC.log soit généré. - EPolicy Orchestrator de prise en charge du self-service (SSSO) :
SSSO est un outil de collecte de données qui offre tous les outils autonomes que Support technique utilise dans un seul Orchestrator. L’outil invoque l’outil approprié au bon moment et facilite l’effort de collecte des données. Cet outil capture le contexte dans lequel se produit la collecte des données, ce qui permet de signaler les données de télémétrie appropriées. Pour plus d’informations, reportez-vous à la section KB92519-self-service Supporting Orchestrator Data collection Tool. Utilisez l’outil SSSO dans tous les scénarios de collecte de données applicables plutôt que d’opter pour les étapes de collecte manuelles afin de garantir la cohérence des données.
- Démarrage lent
- Connexion lente
- Démarrage lent application (reproductible ou aléatoire)
- Performances application lentes (reproductibles ou aléatoires)
- Ralentissement des performances du système (reproductibles ou aléatoires)
- Blocage du système
- Vérification des bogues système (écran bleu)
- Blocage ou blocage de l’application (ne répond pas et ne récupère pas)
- Blocage de l’application
- Fuite de mémoire (mode utilisateur ou noyau)
- Problèmes liés à Device Guard ou Credential Guard
- Échec de l’installation d’un ou plusieurs composants ENS
- L’état de ENS est le suivant : Plate-forme Endpoint Security n’est pas en cours d’exécution !
- Injection de DLL tierce
- Problèmes liés à Threat Intelligence Exchange (TIE)
- Problèmes liés au pare-feu ENS
- Démarrage lent
- Connexion lente
Remarque : collectez une WebMER à partir de l’utilitaire SSSO dès que le manuel est terminé.
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Ce manuel permet de configurer process Monitor et Au redémarrage, |
Collecte manuelle des données :
Étapes de collecte des données pour
- Démarrez
AMTrace avec l'onboot option. - Démarrez Process Monitou et activez l’option de journalisation de démarrage.
- Redémarrez le système.
- Reproduisez le problème.
- Connectez-vous au système.
- Arrêtez
AMTrace et enregistrez le journal. - Ouvrez Process Monitou et enregistrez le journal de démarrage.
- Collectez une MER à l’aide de l’utilitaire SSSO.
- Exécutez WPR.
- Configurer le scénario de performances Démarrage.
- Démarrez la capture.
- Redémarrez le système.
- Reproduisez le problème.
- Connectez-vous au système.
- Autoriser la fin de WPR : traçage de démarrage.
- Capturez les fichiers ETL enregistrés.
- Collectez une MER à l’aide de l’utilitaire SSSO.
Suivez la procédure décrite dans cette section si les symptômes sont reproductibles et si l’une des conditions suivantes est reproduite :
- Démarrage lent de l'application
- Performances lentes de l'application
- Ralentissement des performances du système
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Ce manuel nécessite que vous fournissiez le nom du processus cible et un seuil processeur pour déclencher la collecte des données. |
Collecte manuelle des données :
Étapes de collecte des données pour
- Démarrez Process Monitor.
- Démarrez
AMTrace avec l’option maintenant . - Reproduisez le problème.
- Arrêtez
AMTrace et enregistrez le journal. - Arrêtez Process Monitou et enregistrez le journal.
- Collectez une MER à l’aide de l’utilitaire SSSO.
- Exécutez WPR.
- Configurer le scénario de performances Général.
- Démarrez le traçage.
- Reproduisez le problème.
- Arrêtez le traçage.
- Capturez le fichier ETL enregistré.
- Collectez une MER à l’aide de l’utilitaire SSSO.
Suivez la procédure décrite dans cette section si les symptômes se produisent de façon aléatoire et si l’une des conditions suivantes est présente :
- Démarrage lent de l'application
- Performances lentes de l'application
- Ralentissement des performances du système
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Ce manuel nécessite que vous fournissiez le nom du processus cible et un seuil processeur pour déclencher la collecte des données. |
Collecte manuelle des données :
Etapes de collecte de données pour
- Démarrez
AMTrace avec l’option de substitution . - Lorsque le problème se produit, arrêtez
AMTrace et enregistrez le journal. - Collectez une MER à l’aide de l’utilitaire SSSO.
- Exécutez WPR.
- Configurer le scénario de performances Général avec Mémoire en tant que mode de journalisation.
- Démarrez le traçage.
- Reproduisez le problème.
- Enregistrez la trace dès que possible après la reproduction du problème.
- Capturez le fichier ETL enregistré.
- Collectez une MER à l’aide de l’utilitaire SSSO.
- Blocage du système
- Vérification des bogues système (écran bleu)
Remarque : collectez une WebMER à partir de l’utilitaire SSSO dès que le manuel est terminé.
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Vous devez configurer la variable nom du processus de "" pour ce manuel (par exemple, |
Collecte manuelle des données :
Etapes de collecte de données pour un blocage ou un blocage du système :
-
Configurez le système pour créer un ensemble complet
memory.dmp . voir la section KB56023-création d’une image mémoire à analyser par support technique. - Configurez le système pour autoriser un blocage du clavier. Reportez-vous à cet article Microsoft pour forcer un blocage du clavier.
- Créez le fichier de vidage lorsque le problème se produit. En général, plus vous pouvez attendre avant de générer le fichier de vidage, plus il est facile d’identifier la condition de blocage dans le vidage.
- Si le système est dans un état accessible, collectez un MER à l’aide de l’utilitaire SSSO.
- Configurez le système pour créer un ensemble complet
memory.dmp . voir la section KB56023-création d’une image mémoire à analyser par support technique. - Collectez le fichier de vidage complet lorsque la vérification des bogues système (écran bleu) se produit.
- Si le système est dans un état accessible, collectez un MER à l’aide de l’utilitaire SSSO.
- Blocage ou blocage de l’application (ne répond pas et ne récupère pas)
- Blocage de l’application
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Pour exécuter ce manuel, vous devez fournir le processus cible ou le processus qui rencontre les incidents. Si vous avez besoin d’aide pour déterminer le nom du processus spécifique, contactez Support technique. |
Collecte manuelle des données :
Etapes de collecte de données pour un application blocage ou un interblocage :
- Téléchargez ProcDump à partir de la page ProcDump downloads.
- Extrayez procDump sur le bureau.
- Ouvrez une invite de commande d’administration, puis remplacez le répertoire par
C:\Users\username\Desktop\Procdump . - Exécutez la commande suivante :
procdump -ma - Collectez le fichier de vidage créé, qui se trouve dans le
Procdump dossier. - Collectez une MER à l’aide de l’utilitaire SSSO.
- Si le processus qui bloque est un processus ENS, désactivez l'autoprotection ENS.
- Téléchargez
ProcDump à partir de la page de téléchargements ProcDump. - Procédez à l’extraction
ProcDump sur le poste de travail. - Ouvrez une invite de commande d’administration, puis remplacez le répertoire par
C:\Users\username\Desktop\Procdump . - Exécutez la commande suivante :
procdump -ma -e ProcDump de générer un vidage lors du prochain blocage du processus. - Patientez jusqu’à ce que le processus se bloque de nouveau.
- Collectez le fichier de vidage créé, qui se trouve dans le
Procdump dossier. - Réactivez l’auto-protection ENS.
- Collectez une MER à l’aide de l’utilitaire SSSO.
Suivez la procédure décrite dans cette section si les symptômes concernent un mode utilisateur ou une fuite de mémoire d’application. Collectez trois (3) fichiers de vidage Mode utilisateur ou Incident d’application à des fins d’analyse.
Remarque : La collecte des données de fuite de mémoire doit être effectuée au fil du temps, de la même façon que la fuite de mémoire présente son comportement au fil du temps. Pour obtenir les meilleurs résultats de collecte des données, il est recommandé de redémarrer le système, puis de démarrer la collecte de données suivante. Cette séquence permet à l’ensemble de données d’afficher l’existence de la fuite de mémoire, au fil du temps, lorsqu’elle se manifeste sur le système.
Manuel SSSO (fuite du mode utilisateur)
Collecte manuelle des données (fuite du mode utilisateur) :
Remarque : La collecte des données de fuite de mémoire doit être effectuée au fil du temps, de la même façon que la fuite de mémoire présente son comportement au fil du temps. Pour obtenir les meilleurs résultats de collecte des données, il est recommandé de redémarrer le système, puis de démarrer la collecte de données suivante. Cette séquence permet à l’ensemble de données d’afficher l’existence de la fuite de mémoire, au fil du temps, lorsqu’elle se manifeste sur le système.
Manuel SSSO (fuite du mode utilisateur)
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Ce manuel vous demande de fournir un nom de processus cible pour assurer le suivi de son encombrement mémoire au fil du temps. Pour exécuter ce manuel correctement, la fonctionnalité d’autoprotection ENS doit être désactivée au cours des tests. |
Collecte manuelle des données (fuite du mode utilisateur) :
- Téléchargez ProcDump à partir de la page ProcDump downloads.
- Extrayez procDump sur le bureau.
- Identifiez le nom du processus qui perd de la mémoire.
- Cliquez sur un traçage de la pile sur le processus qui subit la fuite. voir KB91252-comment activer une trace de la pile à l’aide de l’utilitaire Gflags .exe.
- Attendez que le processus suspect affiche une utilisation intensive de la mémoire.
- Ouvrez une invite de commande d’administration, puis remplacez le répertoire par
C:\Users\username\Desktop\Procdump . - Exécutez la commande suivante :
procdump -ma - Collectez le fichier de vidage créé, qui se trouve dans le
Procdump dossier. - Répétez les étapes et collectez trois (3) fichiers de vidage Mode utilisateur ou incident d’application à des fins d’analyse.
- Désactivez la trace de la pile sur le processus une fois tous les fichiers de vidage sur incident collectés. voir KB91252-comment activer une trace de la pile à l’aide de l’utilitaire Gflags .exe.
Suivez la procédure décrite dans cette section en cas de suspicion de fuite de mémoire du noyau impliquant l’un de nos processus.
- Familiarisez-vous avec
PoolMon la configuration etPerfMon l’utilisation et la configuration décrites dans KB74951-How pour résoudre les problèmes d’utilisation intensive de la mémoire sur les systèmes. - Configurez le système pour créer un ensemble complet
memory.dmp . voir la section KB56023-création d’une image mémoire à analyser par support technique. - Configurez le système pour autoriser un blocage du clavier. Reportez-vous à cet article Microsoft pour forcer un blocage du clavier.
- Redémarrez le système comportant une fuite de mémoire.
- Utilisez la configuration pour
PoolMon etPerfMon décrite dans KB74951-How pour résoudre les problèmes d’utilisation intensive de la mémoire sur les systèmes. Démarrez laPoolMon collecte de données etPerfMon . - Attendez que le système affiche une utilisation intensive de la mémoire.
- Arrêtez
PoolMon etPerfMon collectez les données résultantes. - Forcer le système à effectuer une vérification des bogues pendant que l’utilisation de la mémoire est toujours élevée.
- Collectez le vidage de la mémoire.
- Collectez les données ENS appropriées pour le symptôme rencontré, comme décrit dans cet article.
- De plus, collectez une trace ETW à l’aide de la commande suivante, exécutée dans une invite de commande d’administration :
@echo off
ECHO These commands enable tracing:
@echo on
logman create trace "base_DeviceGuard" -ow -o c:base_DeviceGuard.etl -p "Microsoft-Windows-DeviceGuard" 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
@echo off
echo
ECHO Reproduce your issue and enter any key to stop tracing
@echo on
pause
logman stop "base_DeviceGuard" -ets
@echo off
echo Tracing has been captured and saved successfully at c:base_DeviceGuard.etl
pause
Remarque : Dans la plupart des cas, il est idéal pour ENS collecte de données d’installation à effectuer à l’aide du chemin d’installation local. Cette configuration isole tous les échecs potentiels du programme d’installation ENS lui-même, et non de l’exécution de tâches ou des erreurs réseau. Si la collecte des données doit être effectuée à partir de déploiements basés sur ePO, utilisez Support technique pour vous assurer que cette configuration est prise en compte lors de l’examen des données.
Manuel SSSO (installation locale)
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Cet manuel surveille la génération de processus de |
Manuel SSSO (déploiement ePO)
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Cet manuel surveille la génération de processus et la collecte de |
Collecte manuelle des données :
Remarque : Assurez-vous de collecter les données au cours d’une installation locale de ens. Résolvez les problèmes chaque module en tant que produit distinct.
- Téléchargez et décompressez le package autonome à partir du site de téléchargement de produits.
- Démarrez Process Monitor.
- Démarrez
AMTrace avec l’option de substitution . - Reproduisez le problème. Exécutez l’installation locale (
setupEP.exe ) en tant qu’administrateur et sélectionnez le module que vous dépannez. - Arrêtez
AMTrace et enregistrez le journal. - Arrêtez Process Monitor et enregistrez le journal.
- Collectez un fichier MER (exécuter en tant qu’administrateur) à l’aide de l’utilitaire SSSO.
- L’état de ens est "plate-forme Endpoint Security n’est pas en cours d’exécution !"
- Injection de DLL tierce
Scénario de vente | ||||
Conditions requises |
|
|||
Outils SSSO s’exécute |
|
|||
Remarques | Définissez les paramètres sur le nom du processus " |
Collecte manuelle des données :
- Démarrez Process Monitor.
- Démarrez
AMTrace avec l’option maintenant . - Ouvrez et fermez la console ENS pour créer à nouveau le problème.
- Arrêtez
AMTrace et enregistrez le journal. - Arrêtez Process Monitou et enregistrez le journal.
- Collectez un fichier MER (exécuter en tant qu’administrateur).
- Exportez et collectez une copie de la stratégie Options de Endpoint Security Common.
- Collectez les données appropriées en fonction des symptômes décrits dans cet article.
- De plus, collectez le journal du serveur TIE sur le serveur TIE appliance à
/var/McAfee/tieserver/logs/tieserver.log .
Haut de la page
Informations connexes
Pour contacter Support technique, accédez à la page créer une demande de service et connectez-vous au ServicePortal.
- Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
- Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Pièce jointe
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
- Diagnostic Data Collection
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Troubleshooting
Langues :
Cet article est disponible dans les langues suivantes :