- SSSO è uno strumento che facilita la raccolta dei dati utilizzando più strumenti autonomi da un'unica interfaccia. SSSO utilizza schemi predefiniti e trigger per automatizzare la raccolta. Per ulteriori informazioni, consultare KB92519-supporto self-service orchestration Data Collection Tool.
AMTrace è uno strumento interno per la raccolta dei dati di registrazione da (Ultimo aggiornamento dell'AMCore 11 ottobre 2018). Da utilizzareAMTrace per raccogliere i dati di registrazione daAMCore :- Preparazione
AMTrace :- Scaricare il pacchetto
ENSDataCollect.zip zip dalla sezione "allegato" di questo articolo. - Estrarre il contenuto sul desktop.
- Scaricare il pacchetto
- Esegui
AMTrace :- Fare clic su Start, digitare
cmd.exe nella barra di ricerca, fare clic con il pulsante destro del mousecmd.exe nell'elenco, quindi fare clic su Esegui come amministratore. - Quando si è pronti per avviare una traccia, utilizzare l'opzione di comando riportata di seguito per richiedere la sezione relativa alla raccolta dei dati.
Nota: Di seguito sono riportati i percorsi delle posizioni deiAMTrace.exe file:C:\Users\username\Desktop\ENSDataCollect\AMTracex86 C:\Users\username\Desktop\ENSDataCollect\AMTracex64
AMTrace opzioni di comando:- Per utilizzare l'
AMTrace onboot opzione, eseguire il seguente comando:
AMTrace.exe -b onboot -m 4GB
Questo comando indica allo strumento di iniziare una traccia al successivo avvio.
NOTE:- Il "" GB fa distinzione tra maiuscole e minuscole. Questo esempio limita le dimensioni del registro a 4 GB. 10 MB è il valore minimo accettato e 2 GB è l'impostazione predefinita, se non specificata.
- Questa opzione non supporta le modalità di registrazione alternative descritte di seguito.
- Per utilizzare
AMTrace l'opzione ora , eseguire il seguente comando:
AMTrace.exe -b now -m 4GB
importante: l'AMTrace ora utilizza l'opzione di rollover per impostazione predefinita.Questo comando indica allo strumento di avviare immediatamenteuna traccia e di limitare la dimensione del registro a 4 GB perNota: Il "" GB fa distinzione tra maiuscole e minuscole..etl file. Quando il registro raggiunge i 4 GB, viene creato un nuovo registro. Ogni registro viene aggiunto con _1, _2e così via, fino a quando non si interrompe la traccia, l'utente si disconnette o si arresta il sistema.
- Da utilizzare
AMTrace senza l'opzione di rollover:Scegliere un metodo di registrazione appropriato per il problema che si desidera registrare:
AMTrace.exe -b now -m 4GB -L stop
AMTrace.exe -b now -m 4GB -L circular
La modalità di arresto crea una sessione di traccia che interrompe la registrazione una volta raggiunto il limite di dimensione.
La modalità circolare crea una sessione di traccia che si registra in un singolo file. Una volta raggiunta la dimensione massima, gli eventi meno recenti vengono sovrascritti.
Nota: La "L" e "GB" sono maiuscole e minuscole.
- Arrestare la traccia e salvare il registro. Utilizzare il seguente comando:
AMTrace -e
- Quando possibile,
AMTrace tenta di rinominare automaticamente i file ETL risultanti in modo da includere l'ora di inizio e l'ora di arresto della registrazione del nome del file. Ad esempio,amtrace_20200704.010203-010305.etl indica che la registrazione è iniziata il 2020-07-04 (4 luglio 2020) alle 1:02:03 e continua fino al 1:03:05.
SeAMTrace non è possibile rinominare il file quando si interrompe la registrazione, è comunque probabile rinominare il file manualmente con un altroAMTrace comando:
AMTrace.exe --datestamp *.etl
Questo comando accetta i caratteri jolly (* o? ) per fare riferimento rispettivamente a più caratteri o a un singolo carattere. Questo comando consente di rinominare il file o i file specificati in modo da includere l'ora di inizio e di fine nel nome del file. Non influisce sui file che hanno già aggiunto datestamp.
- Fare clic su Start, digitare
AMTrace è in corso, eseguire il comando seguente per elencare le tracce attive:
AMTrace -q
Per una dimostrazione di come raccogliereAMTrace i dati utilizzando questa procedura, guardare il seguente video:
- Preparazione
GFlags consente di attivare e disattivare le funzionalità avanzate di diagnostica e risoluzione dei problemi del sistema interno. È possibile eseguireGFlags da una finestra del prompt dei comandi o utilizzare la propria finestra di dialogo interfaccia utente grafica. È più spesso utilizzato per accendere gli indicatori che altri strumenti tracciano, contano e registrano.- Mer raccoglie i registri degli eventi, i dettagli della versione dei file, i file, i dettagli del processo e i dettagli del registro dai prodotti installati sul computer. Assistenza tecnica utilizza i dati raccolti per risolvere i problemi. Per ulteriori informazioni, consultare l'articolo kb59385-come utilizzare gli strumenti Mer con i nostri prodotti.
- Process Monitor è uno strumento di Microsoft che esegue il monitoraggio e la visualizzazione di tutte le attività del file System su un sistema operativo Windows in tempo reale. Utilizzare lo strumento in amministrazione di sistema, computer forensics e debug delle applicazioni. Come utilizzare Process Monitor:
- Prepara monitor di processo:
- Scaricare Process Monitor dalla pagina download di Process Monitor.
- Estrai
Procmon.exe sul desktop.
- Esegui monitoraggio processo:
- Quando si è pronti per avviare il monitoraggio dei processi, utilizzare l'opzione riportata di seguito per richiedere la sezione relativa alla raccolta dati.
- Per avviare immediatamente Monitoraggio processi:
- L'esecuzione
Procmon.exe; viene avviata automaticamente per acquisire le informazioni sul processo. - Per arrestare il monitoraggio processi, premere CTRL + E o fare clic su file e deselezionare cattura eventi. Premere di nuovo Ctrl+E per riprendere la raccolta dei dati.
- Per salvare il registro, fare clic su file, Salva... (selezionare tutti gli eventi e utilizzare il formato nativo PML).
- L'esecuzione
- Per attivare l'opzione di registrazione di avvio di Process Monitor, se necessario nella sezione raccolta dati pertinente, attenersi alla procedura riportata di seguito:
- Aprire la console di Process Monitor.
- Fare clic su Opzioni.
- Fare clic su Attiva registrazione di avvio.
- Fare clic su OK nella finestra popup. Al successivo riavvio, viene creato un registro di traccia di avvio.
- Per salvare il registro, eseguire nuovamente Process Monitor, quindi fare clic su file, Salva... (selezionare tutti gli eventi e utilizzare il formato nativo PML).
- Per avviare immediatamente Monitoraggio processi:
- Quando si è pronti per avviare il monitoraggio dei processi, utilizzare l'opzione riportata di seguito per richiedere la sezione relativa alla raccolta dati.
Per una dimostrazione di come raccogliere i dati del monitoraggio dei processi utilizzando questa procedura, guardare il seguente video:
- Prepara monitor di processo:
ProcDump è un'utilità della riga di comando utilizzata per monitorare un'applicazione per i picchi della CPU. Genera i dump di crash durante un picco che un amministratore o uno sviluppatore può utilizzare per determinare la causa del picco.PerfMon è uno strumento che gli amministratori possono utilizzare per esaminare il modo in cui i programmi, in esecuzione sui loro computer, influiscono sulle prestazioni del computer. Utilizzare lo strumento in tempo reale per analizzare le modalità con cui i programmi in esecuzione influiscono sulle prestazioni del sistema. È inoltre possibile utilizzare questo strumento per raccogliere informazioni sui file di registro per l'analisi dei dati delle prestazioni del sistema in un secondo momento.- Poolmon Visualizza i dati che il sistema operativo raccoglie sulle allocazioni di memoria dai pool di pagine Web e di kernel non di pagina e dai pool di memoria utilizzati per le sessioni di Servizi terminal. PoolMon raggruppa i dati in base al tag di allocazione del pool. Microsoft Assistenza tecnica utilizza tali informazioni per individuare le perdite di memoria in modalità kernel.
- VMware Converter è un'utilità gratuita di VMware che consente di convertire i sistemi fisici Windows e Linux a VMware macchine virtuali. È inoltre possibile utilizzarlo per convertire formati di immagine di terze parti, ad esempio immagini di backup e altre macchine virtuali, per VMware macchine virtuali. Utilizzare questo strumento per creare macchine virtuali da fornire a Assistenza tecnica per la risoluzione dei problemi.
- WinDbg è un debugger distribuito Microsoft per il sistema operativo Windows. Utilizzare questo strumento per eseguire il debug delle applicazioni in modalità utente, dei driver di dispositivo e del sistema operativo stesso in modalità kernel. Dispone di un'interfaccia utente grafica ed è più potente del debugger di Visual Studio.
- Windows Performance Recorder (WPR) è uno strumento di registrazione delle prestazioni di Microsoft basato sulla traccia degli eventi per Windows (ETW). Consente di registrare gli eventi di sistema che è possibile analizzare utilizzando Windows Performance Analyzer (WPA). Per utilizzare WPR, attenersi alla procedura riportata di seguito:
- Fare clic su Start, digitare
cmd.exe nella barra di ricerca, fare clic con il pulsante destro del mousecmd.exe nell'elenco, quindi fare clic su Esegui come amministratore. - Digitare
wprui.exe e premere INVIO per avviare WPR.- Per Windows SDK, consultare la pagina dei download di Windows SDK.
- Per il kit di valutazione e distribuzione di Windows, consultare la pagina di download del kit di valutazione e distribuzione Windows.
- Scegliere di utilizzare uno scenario di prestazioni e altre impostazioni, come consigliato nella seguente tabella:
Problema: di prestazioniScenario delle prestazioniLivello di dettaglioModalità di registrazione
Profili da includere Numero di iterazioni Avvio o accesso lentoAvvioVedere di seguitoFileTriage di primo livello, utilizzo della CPU, attività di I/O dei file, attività di I/O del minifiltro Almeno 1 Utilizzo elevato della CPUGeneraleVedere di seguitoFileTriage di primo livello, utilizzo della CPU, attività di I/O dei file, attività di I/O del minifiltro N/D L'applicazione è lenta o non rispondeGenerale Vedere di seguito File Triage di primo livello, utilizzo della CPU, attività di I/O dei file, attività di I/O del minifiltro N/D
L'utilizzo di WPR pone un ulteriore sforzo sul sistema, che può modificare o mascherare il problema originale che si desidera investigare. Raccogliere due set di dati con diversi livelli di dettaglio. Utilizzare l'impostazione luce per visualizzare il problema e l'impostazione dettagliata per consentire un set di dati adatto per un'analisi più approfondita. Cattura almeno 30 secondi.
Quando possibile, raccogliere un registro WPR senza il problema mentre si esegue la stessa attività, a scopo comparativo. È necessario un set di dati senza ENS presente per stabilire la benchmark per le prestazioni previste.
Per una dimostrazione di come raccogliere i dati WPR con questa procedura, guardare il seguente video:
- Fare clic su Start, digitare
Procedura minima di raccolta dei dati per problemi di Endpoint Security
Articoli tecnici ID:
KB86691
Ultima modifica: 18/08/2022
Ultima modifica: 18/08/2022
Ambiente
Protezione adattiva dalle minacce Endpoint Security (ENS) (ATP) 10.x
Firewall 10.x
ENS Piattaforma 10.x
ENS Prevenzione delle minacce 10.x
ENS Controllo Web ENS 10.x
Firewall 10.x
ENS Piattaforma 10.x
ENS Prevenzione delle minacce 10.x
ENS Controllo Web ENS 10.x
Riepilogo
Questo articolo fornisce informazioni di base sulla procedura minima di raccolta dei dati per la risoluzione dei problemi comuni dell'ENS.
Assicurarsi che tutti i registri vengano raccolti dallo stesso sistema che avverte il problema e che tutti i registri vengano raccolti contemporaneamente. I timestamp dei dati di registrazione possono essere utilizzati per risolvere il problema.
I registri non confrontati provenienti da sistemi diversi, o registri raccolti in momenti diversi, non possono essere utilizzati per la risoluzione dei problemi. Tali registri potrebbero comportare la necessità di ricordare tutti i registri di raccolta dati minimi.
Nelle sezioni seguenti vengono descritti i dati da raccogliere per ogni tipo di problema:
Per istruzioni, consultare KB91797: attivare la registrazione di debug per risolvere i problemi Endpoint Security.
Eseguire la procedura descritta in questa sezione se i sintomi sono i seguenti:
Nota: raccogliere un WEBMER dall'utilità SSSO immediatamente dopo il completamento del PlayBook.
Raccolta manuale dei dati:
Fasi di raccolta dei dati perAMTrace e Process Monitor:
Raccolta manuale dei dati:
Fasi di raccolta dei dati perAMTrace e Process Monitor:
Raccolta manuale dei dati:
Procedura di raccolta dei dati perAMTrace :
Eseguire la procedura descritta in questa sezione se i sintomi sono i seguenti:
Nota: raccogliere un WEBMER dall'utilità SSSO immediatamente dopo il completamento del PlayBook.
Raccolta manuale dei dati:
Fasi di raccolta dei dati per un blocco o un deadlock del sistema:
Eseguire la procedura descritta in questa sezione se i sintomi sono i seguenti:
Raccolta manuale dei dati:
Procedura di raccolta dei dati per un'applicazione bloccata o deadlock:
Eseguire la procedura descritta in questa sezione se è presente una sospetta perdita di memoria kernel che coinvolge uno dei nostri processi.
Eseguire la procedura descritta in questa sezione se i sintomi riguardano Device Guard o Credential Guard.
Eseguire la procedura di raccolta dei dati in questa sezione se non è possibile installare uno o più componenti di ENS.
Nota: Nella maggior parte dei casi, è ideale per la raccolta di dati di installazione ENS da eseguire utilizzando il percorso di installazione locale. Questa configurazione isola i potenziali guasti del programma di installazione ENS stesso e non l'esecuzione dell'attività o gli errori di rete. Se la raccolta dei dati deve essere eseguita da distribuzioni basate su ePO, lavorare con Assistenza tecnica per assicurarsi che questa configurazione venga presa in considerazione quando i dati vengono esaminati.
SSSO PlayBook (installazione locale)
SSSO PlayBook (distribuzione ePO)
Raccolta manuale dei dati:
Nota: assicurarsi di raccogliere i dati durante un'installazione locale di ENS. Risolvere i problemi relativi a ciascun modulo come prodotto separato.
Eseguire la procedura descritta in questa sezione se i sintomi sono i seguenti:
Raccolta manuale dei dati:
Eseguire la procedura descritta in questa sezione se i sintomi sono correlati a TIE:
Eseguire la procedura descritta in KB90662: risoluzione dei problemi relativi a un'applicazione/traffico di rete quando si utilizza il firewall ENS.
Torna all'inizio
Assicurarsi che tutti i registri vengano raccolti dallo stesso sistema che avverte il problema e che tutti i registri vengano raccolti contemporaneamente. I timestamp dei dati di registrazione possono essere utilizzati per risolvere il problema.
I registri non confrontati provenienti da sistemi diversi, o registri raccolti in momenti diversi, non possono essere utilizzati per la risoluzione dei problemi. Tali registri potrebbero comportare la necessità di ricordare tutti i registri di raccolta dati minimi.
Importante: Per Assistenza tecnica sono necessari i seguenti file:
- Per tutti i problemi sono necessari i file di requisiti minimi di escalation (Mer) con registrazione di debug per ENS . Per informazioni sulla registrazione di debug, consultare Verifica della possibilità di attivare la registrazione di debug ENS. Per informazioni sui file MER, consultare l'articolo kb59385-come utilizzare gli strumenti Mer con i nostri prodotti. Per generare la Real Protect
RC.log è necessario attivare la registrazione di debug. - Orchestratore di supporto self-service (SSSO):
SSSO è uno strumento di raccolta dei dati che porta tutti gli strumenti standalone che Assistenza tecnica utilizza in un unico orchestratore. Lo strumento richiama lo strumento giusto al momento giusto e facilita lo sforzo di raccolta dei dati. Questo strumento acquisisce il contesto in cui si verifica la raccolta dei dati, che consente di segnalare i dati di telemetria corretti. Per ulteriori informazioni, consultare KB92519-supporto self-service orchestration Data Collection Tool. Utilizzare lo strumento SSSO in tutti gli scenari di raccolta dati applicabili anziché optare per la procedura di raccolta manuale, per garantire la coerenza dei dati.
- Avvio o avvio lento
- Accesso lento
- Avvio lento dell'applicazione (riproducibile o casuale)
- Rallentamento delle prestazioni delle applicazioni (riproducibile o casuale)
- Rallentamento delle prestazioni del sistema (riproducibile o casuale)
- Blocco o blocco critico del sistema
- Controllo dei bug di sistema (schermata blu)
- Blocco o blocco delle applicazioni (non risponde e non recupera)
- Blocco dell'applicazione
- Perdita di memoria (modalità utente o kernel)
- Problemi relativi a Device Guard o Credential Guard
- Non è possibile installare uno o più componenti ENS
- Lo stato dell'ENS è: Piattaforma Endpoint Security non è in esecuzione.
- Iniezione DLL di terze parti
- Problemi correlati a Threat Intelligence Exchange (TIE)
- Problemi relativi a ENS firewall
- Avvio o avvio lento
- Accesso lento
Nota: raccogliere un WEBMER dall'utilità SSSO immediatamente dopo il completamento del PlayBook.
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | Questo Playbook configura il monitoraggio dei processi e Al riavvio, |
Raccolta manuale dei dati:
Fasi di raccolta dei dati per
- Inizia
AMTrace con l'onboot opzione. - Avviare il monitoraggio dei processi e attivare l'opzione di registrazione di avvio.
- Riavviare il sistema.
- Riprodurre il problema.
- Accedere al sistema.
- Arrestare
AMTrace e salvare il registro. - Aprire Process Monitor e salvare il registro di avvio.
- Raccogliere un MER utilizzando l'utilità SSSO.
- Eseguire WPR.
- Configurare lo scenario delle prestazioni di avvio .
- Avviare la cattura.
- Riavviare il sistema.
- Riprodurre il problema.
- Accedere al sistema.
- Consente di completare la traccia di avvio di WPR: .
- Acquisisci i file ETL salvati.
- Raccogliere un MER utilizzando l'utilità SSSO.
Eseguire la procedura descritta in questa sezione se i sintomi sono riproducibili e sono uno dei seguenti:
- Avvio lento dell'applicazione
- Prestazioni delle applicazioni lente
- Rallentamento delle prestazioni del sistema
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | Questo Playbook richiede la fornitura del nome del processo di destinazione e di una soglia della CPU per attivare la raccolta dei dati. |
Raccolta manuale dei dati:
Fasi di raccolta dei dati per
- Avvia monitoraggio processi.
- Inizia
AMTrace con l'opzione ora . - Riprodurre il problema.
- Arrestare
AMTrace e salvare il registro. - Arrestare il monitoraggio dei processi e salvare il registro.
- Raccogliere un MER utilizzando l'utilità SSSO.
- Eseguire WPR.
- Configurare lo scenario delle prestazioni policy .
- Avviare la traccia.
- Riprodurre il problema.
- Interrompere la traccia.
- Acquisire il file ETL salvato.
- Raccogliere un MER utilizzando l'utilità SSSO.
Eseguire la procedura descritta in questa sezione se i sintomi si verificano in modo casuale e sono uno dei seguenti:
- Avvio lento dell'applicazione
- Prestazioni delle applicazioni lente
- Rallentamento delle prestazioni del sistema
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | Questo Playbook richiede la fornitura del nome del processo di destinazione e di una soglia della CPU per attivare la raccolta dei dati. |
Raccolta manuale dei dati:
Procedura di raccolta dei dati per
- Inizia
AMTrace con l'opzione rollover . - Quando si verifica il problema, arrestare
AMTrace e salvare il registro. - Raccogliere un MER utilizzando l'utilità SSSO.
- Eseguire WPR.
- Configurare lo scenario delle prestazioni policy con la memoria come modalità di registrazione.
- Avviare la traccia.
- Riprodurre il problema.
- Salvare la traccia appena possibile dopo aver riprodotto il problema.
- Acquisire il file ETL salvato.
- Raccogliere un MER utilizzando l'utilità SSSO.
- Blocco o blocco critico del sistema
- Controllo dei bug di sistema (schermata blu)
Nota: raccogliere un WEBMER dall'utilità SSSO immediatamente dopo il completamento del PlayBook.
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | È necessario configurare il nome del processo "" variabile per questo PlayBook (ad esempio, |
Raccolta manuale dei dati:
Fasi di raccolta dei dati per un blocco o un deadlock del sistema:
-
Configurare il sistema per creare un completo
memory.dmp . Vedi KB56023: crea un dump di memoria per l'analisi per assistenza tecnica. - Configurare il sistema in modo da consentire un arresto anomalo della tastiera. Per forzare un arresto della tastiera, consultare questo articolo Microsoft.
- Creare il file di dump quando si verifica il problema. In genere, più a lungo è possibile attendere prima di generare il file di dump, più è facile identificare la condizione di blocco nel dump.
- Se il sistema è in uno stato accessibile, raccogliere un MER utilizzando l'utilità SSSO.
- Configurare il sistema per creare un completo
memory.dmp . Vedi KB56023: crea un dump di memoria per l'analisi per assistenza tecnica. - Raccogliere il file di dump completo quando si verifica il controllo dei bug di sistema (schermata blu).
- Se il sistema è in uno stato accessibile, raccogliere un MER utilizzando l'utilità SSSO.
- Blocco o blocco delle applicazioni (non risponde e non recupera)
- Blocco dell'applicazione
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | Per eseguire questo PlayBook è necessario fornire il processo di destinazione o il processo che si sta verificando. Se hai bisogno di assistenza per determinare il nome del processo specifico, Contatta Assistenza tecnica. |
Raccolta manuale dei dati:
Procedura di raccolta dei dati per un'applicazione bloccata o deadlock:
- Scaricare ProcDump dalla pagina download di ProcDump.
- Estrarre ProcDump sul desktop.
- Aprire un prompt dei comandi di amministrazione e modificare la directory in
C:\Users\username\Desktop\Procdump . - Eseguire il seguente comando:
procdump -ma - Raccogliere il file di dump creato, che si trova nella
Procdump cartella. - Raccogliere un MER utilizzando l'utilità SSSO.
- Se il processo di arresto anomalo è un processo di ENS, disattivare l'autoprotezione di ENS.
- Scaricare
ProcDump dalla pagina download di ProcDump. - Estrai
ProcDump sul desktop. - Aprire un prompt dei comandi di amministrazione e modificare la directory in
C:\Users\username\Desktop\Procdump . - Eseguire il seguente comando:
procdump -ma -e ProcDump di generare un dump al successivo arresto del processo. - Attendere nuovamente l'arresto del processo.
- Raccogliere il file di dump creato, che si trova nella
Procdump cartella. - Riattivare l'autoprotezione ENS.
- Raccogliere un MER utilizzando l'utilità SSSO.
Eseguire la procedura descritta in questa sezione se i sintomi implicano una perdita di memoria della modalità utente o dell'applicazione. Colleziona tre (3) La modalità utente o gli arresti anomali delle applicazioni per l'analisi.
Nota: La raccolta dei dati della perdita di memoria deve essere eseguita nel tempo, così come la perdita di memoria ne esibisce il comportamento nel tempo. Per ottenere i risultati migliori della raccolta dei dati, si consiglia di riavviare il sistema, quindi di avviare la raccolta di dati riportata di seguito. Questa sequenza consente all'insieme di dati di mostrare l'esistenza della perdita di memoria, nel tempo, quando si manifesta nel sistema.
SSSO PlayBook (perdita della modalità utente)
Raccolta manuale dei dati (perdita della modalità utente):
Nota: La raccolta dei dati della perdita di memoria deve essere eseguita nel tempo, così come la perdita di memoria ne esibisce il comportamento nel tempo. Per ottenere i risultati migliori della raccolta dei dati, si consiglia di riavviare il sistema, quindi di avviare la raccolta di dati riportata di seguito. Questa sequenza consente all'insieme di dati di mostrare l'esistenza della perdita di memoria, nel tempo, quando si manifesta nel sistema.
SSSO PlayBook (perdita della modalità utente)
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | Questo Playbook richiede che tu fornisca un nome di processo di destinazione per rintracciare il suo footprint di memoria nel tempo. Per eseguire correttamente questo PlayBook, l'autoprotezione ENS deve essere disattivata durante il test. |
Raccolta manuale dei dati (perdita della modalità utente):
- Scaricare ProcDump dalla pagina download di ProcDump.
- Estrarre ProcDump sul desktop.
- Identifica il nome del processo che perde memoria.
- Attivare una traccia dello stack sul processo di perdita. Vedi KB91252-come attivare una traccia stack utilizzando l'utilità Gflags .exe.
- Attendere che il processo sospetto mostri un utilizzo elevato della memoria.
- Aprire un prompt dei comandi di amministrazione e modificare la directory in
C:\Users\username\Desktop\Procdump . - Eseguire il seguente comando:
procdump -ma - Raccogliere il file di dump creato, che si trova nella
Procdump cartella. - Ripetere la procedura e raccogliere tre (3) modalità utente o discariche di crash applicazioni per l'analisi.
- Disattivare la traccia dello stack nel processo una volta raccolti tutti i file di dettagli dell'arresto anomalo. Vedi KB91252-come attivare una traccia stack utilizzando l'utilità Gflags .exe.
Eseguire la procedura descritta in questa sezione se è presente una sospetta perdita di memoria kernel che coinvolge uno dei nostri processi.
- Familiarizzare con
PoolMon PerfMon l'utilizzo e la configurazione descritti in KB74951-come risolvere i problemi di utilizzo della memoria elevata nei sistemi. - Configurare il sistema per creare un completo
memory.dmp . Vedi KB56023: crea un dump di memoria per l'analisi per assistenza tecnica. - Configurare il sistema in modo da consentire un arresto anomalo della tastiera. Per forzare un arresto della tastiera, consultare questo articolo Microsoft.
- Riavviare il sistema segnalato per mostrare una perdita di memoria.
- Utilizzare la configurazione per
PoolMon ePerfMon delineata in KB74951-come risolvere i problemi di utilizzo della memoria elevata nei sistemi. Avviare laPoolMon raccolta dei dati ePerfMon . - Attendere che il sistema visualizzi l'utilizzo elevato della memoria.
- Arrestare
PoolMon ePerfMon raccogliere i dati risultanti. - Forza il sistema a eseguire un controllo dei bug mentre è ancora presente un utilizzo elevato della memoria.
- Raccogliere il dump della memoria.
- Raccogliere i dati ENS appropriati per il sintomo riscontrato, come descritto in questo articolo.
- Inoltre, è possibile raccogliere una traccia ETW utilizzando il comando seguente, eseguita in un prompt dei comandi di amministrazione:
@echo off
ECHO These commands enable tracing:
@echo on
logman create trace "base_DeviceGuard" -ow -o c:base_DeviceGuard.etl -p "Microsoft-Windows-DeviceGuard" 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
@echo off
echo
ECHO Reproduce your issue and enter any key to stop tracing
@echo on
pause
logman stop "base_DeviceGuard" -ets
@echo off
echo Tracing has been captured and saved successfully at c:base_DeviceGuard.etl
pause
Nota: Nella maggior parte dei casi, è ideale per la raccolta di dati di installazione ENS da eseguire utilizzando il percorso di installazione locale. Questa configurazione isola i potenziali guasti del programma di installazione ENS stesso e non l'esecuzione dell'attività o gli errori di rete. Se la raccolta dei dati deve essere eseguita da distribuzioni basate su ePO, lavorare con Assistenza tecnica per assicurarsi che questa configurazione venga presa in considerazione quando i dati vengono esaminati.
SSSO PlayBook (installazione locale)
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | Questo Playbook controlla il processo di riproduzione di |
SSSO PlayBook (distribuzione ePO)
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | Questo Playbook controlla l'origine dei processi |
Raccolta manuale dei dati:
Nota: assicurarsi di raccogliere i dati durante un'installazione locale di ENS. Risolvere i problemi relativi a ciascun modulo come prodotto separato.
- Scaricare e decomprimere il pacchetto autonomo dal sito di download dei prodotti.
- Avvia monitoraggio processi.
- Inizia
AMTrace con l'opzione rollover . - Ricreare il problema. Eseguire l'installazione locale (
setupEP.exe ) come amministratore e selezionare il singolo modulo di cui si sta risolvendo la risoluzione dei problemi. - Arrestare
AMTrace e salvare il registro. - Arrestare il monitoraggio dei processi e salvare il registro.
- È possibile raccogliere un file MER (Esegui come amministratore) utilizzando l'utilità SSSO.
- Lo stato di ENS è "piattaforma Endpoint Security non è in esecuzione."
- Iniezione DLL di terze parti
Guida alla vendita | ||||
Prerequisiti |
|
|||
Strumenti eseguiti da SSSO |
|
|||
Note | Impostare i parametri sul nome del processo " |
Raccolta manuale dei dati:
- Avvia monitoraggio processi.
- Inizia
AMTrace con l'opzione ora . - Aprire e chiudere la console di ENS per ricreare il problema.
- Arrestare
AMTrace e salvare il registro. - Arrestare il monitoraggio dei processi e salvare il registro.
- Raccogliere un file MER (Esegui come amministratore).
- Esportare e raccogliere una copia delle opzioni di Endpoint Security in comune assegnate Policy.
- Raccogliere i dati appropriati in base ai sintomi descritti in questo articolo.
- Inoltre, è possibile raccogliere il registro server TIE nella server TIE appliance all'indirizzo
/var/McAfee/tieserver/logs/tieserver.log .
Torna all'inizio
Informazioni correlate
Per contattare assistenza tecnica, accedere alla pagina Crea richiesta di assistenza e accedere a ServicePortal.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Allegato
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
- Diagnostic Data Collection
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Troubleshooting
Lingue:
Questo articolo è disponibile nelle seguenti lingue: