- Self-Service Supportability Orchestrator (SSSO) は、単一のインターフェイスから複数のスタンドアロン ツールを使用してデータ収集を容易にするツールです。 SSSO は、事前定義されたプレイブックとトリガーを使用して、収集を自動化します。 詳細については、KB92519 - Self-Service Supportability Orchestrator データ収集ツール を参照してください。
AMTrace は、AMCore (最終更新日: 2018 年 10 月 11 日) からロギング データを収集するための内部ツールです。AMTrace を使用してAMCore からロギング データを収集する方法:AMTrace の準備:- ZIP パッケージ
ENSDataCollect.zip を、この記事の 添付ファイル セクションからダウンロードします。 - 中身をデスクトップに展開します。
- ZIP パッケージ
AMTrace の実行:- [スタート] をクリックして、検索バーに「
cmd.exe 」と入力し、リストから [cmd.exe ] を右クリックして、[管理者として実行] を選択します。 - トレースを開始する準備ができたら、関連するデータ収集セクションで必要な以下のコマンド オプションを使用します。
注:AMTrace.exe ファイルの場所へのパスは次のとおりです。C:\Users\username\Desktop\ENSDataCollect\AMTracex86 C:\Users\username\Desktop\ENSDataCollect\AMTracex64
AMTrace コマンド オプション:AMTrace onboot オプションを使用するには、次のコマンドを実行します。
AMTrace.exe -b onboot -m 4GB
このコマンドは、次の起動時にトレースを開始するようにツールに指示します。注:- 「GB」は大文字を区別します。 次の例では、ログ サイズを 4 GB に制限しています。 10 MB は最小許容値で、2 GB はデフォルトです (指定されていない場合)。
- このオプションは、以下で説明する代替のロギング モードをサポートしていません。
AMTrace を now オプションで使用するには、次のように指定します。
AMTrace.exe -b now -m 4GB
重要:AMTrace はデフォルトで ロールオーバー オプションを使用するようになりました。このコマンドは、トレースを すぐに 開始し、ログサイズを注: "GB" では大文字と小文字が区別されます。.etl ファイルごとに 4 GB に制限するようにツールに指示します。 ログが 4 GB に達すると、新しいログが作成されます。 トレースを停止するか、ユーザーがログオフするか、システムをシャットダウンするまで、各ログには _1、_2 などが追加されます。AMTrace をロールオーバー オプションなしで使用するには:記録する問題に適切なロギング記録方法を選択します。
AMTrace.exe -b now -m 4GB -L stop
AMTrace.exe -b now -m 4GB -L circular
停止 モードは、サイズ制限に達するとロギングを停止するトレース セッションを作成します。
循環 モードでは、単一のファイルにログを記録するトレース セッションが作成されます。 最大サイズに達すると、古いイベントが上書きされます。注: "L" と "GB" では大文字と小文字が区別されます。
- トレースを停止してログを保存します。 次のコマンドを使用します。
AMTrace -e
- 可能な場合、
AMTrace は、結果の ETL ファイルの名前を自動的に変更して、ファイル名にロギングの開始時刻と停止時刻を含めようとします。 たとえば、amtrace_20200704.010203-010305.etl は、ロギングが 2020-07-04 (2020 年 7 月 4 日) の 1:02:03 に開始され、1:03:05 まで継続したことを示します。
ロギングが停止したときにAMTrace がファイルの名前を変更できない場合でも、別のAMTrace コマンドを使用してファイルの名前を手動で変更することができます。
AMTrace.exe --datestamp *.etl
このコマンドは、ワイルドカード (* または? ) を受け入れて、それぞれ複数の文字または単一の文字を参照します。 このコマンドは、指定された 1 つまたは複数のファイルの名前を変更して、ファイル名に開始時刻と終了時刻を含めます。 すでに日付スタンプが追加されているファイルには影響しません。
- [スタート] をクリックして、検索バーに「
AMTrace が進行中かどうかを確認するには、次のコマンドを実行してアクティブなトレースを表示します。
AMTrace -q
この手順を使用してAMTrace データを収集する方法については、以下のビデオをご覧ください。
GFlags を使用すると、高度な内部システム診断およびトラブルシューティング機能を有効または無効にできます。 コマンド プロンプト ウィンドウからGFlags を実行するか、グラフィカル ユーザー インターフェイス ダイアログ ボックスを使用できます。 これは、他のツールが追跡、カウント、およびログに記録するインジケーターをオンにするために最もよく使用されます。- MER は、コンピューターにインストールされている McAfee 製品から、イベント ログ、ファイル バージョンの詳細、ファイル、プロセスの詳細、およびレジストリの詳細を収集します。 テクニカル サポートは、問題を解決するために収集されたデータを使用します。 詳細については、KB59385 - サポートされている McAfee Enterprise 製品で MER ツールを使用する方法 を参照してください。
- Process Monitor は、Windows オペレーティング システム上のすべてのファイル システム アクティビティをリアルタイムで監視および表示する Microsoft のツールです。 このツールは、システム管理、コンピューター フォレンジック、およびアプリケーションのデバッグに使用します。 プロセス モニターの使用方法:
- プロセス モニターの準備:
- プロセス モニターのダウンロード ページ からプロセス モニターをダウンロードします。
Procmon.exe をデスクトップに解凍します。
- プロセス モニターの実行:
- プロセス モニターを開始する準備ができたら、関連するデータ収集セクションで必要な以下のオプションを使用します。
- プロセス モニターをすぐに開始するには:
Procmon.exe を実行すると、プロセス情報のキャプチャが自動的に開始されます。- プロセス モニターを停止するには、Ctrl+E を押すか、[ファイル] をクリックして [イベントをキャプチャ] の選択を解除します。 CTRL+E をもう一度押すと、データ収集を再開します。
- ログを保存するには、ファイル、保存... (すべてのイベント を選択し、ネイティブ PML 形式を使用) をクリックします。
- 関連するデータ収集セクションで必要に応じてプロセス モニターのブート ロギング オプションを有効にするには、以下の手順を実行します。
- プロセス モニター コンソールを開きます。
- オプション をクリックします。
- Enable Boot Logging (ブート ロギングを有効にする) をクリックします。
- ポップアップ ウィンドウで OK をクリックします。 次回の再起動時にブート トレース ログが作成されます。
- ログを保存するには、プロセス モニターを再度実行し、ファイル、保存... (すべてのイベント を選択し、ネイティブ PML 形式を使用) をクリックします。
- プロセス モニターをすぐに開始するには:
- プロセス モニターを開始する準備ができたら、関連するデータ収集セクションで必要な以下のオプションを使用します。
Fこの手順でプロセス モニター データを収集する方法については、次のビデオをご覧ください。
- プロセス モニターの準備:
ProcDump は、CPU スパイクについてアプリケーションを監視するために使用されるコマンドライン ユーティリティです。 スパイク中にクラッシュ ダンプを生成し、管理者または開発者がスパイクの原因を特定するために使用できます。PerfMon は、管理者が自分のコンピューターで実行されているプログラムがコンピューターのパフォーマンスにどのように影響するかを調べるために使用できるツールです。 ツールをリアルタイムで使用して、実行中のプログラムがシステム パフォーマンスにどのように影響するかを分析します。 このツールを使用して、後でシステム パフォーマンス データ分析のためにログ ファイル情報を収集することもできます。- PoolMon は、オペレーティング システムがシステムのページングおよび非ページング カーネル プールからのメモリ割り当て、およびターミナル サービス セッションに使用されるメモリ プールに関して収集するデータを表示します。 PoolMon は、プール割り当てタグによってデータをグループ化します。 Microsoft テクニカル サポートは、その情報を使用してカーネル モードのメモリ リークを検出します。
- VMware コンバーター は、Windows および Linux ベースの物理システムを VMware 仮想マシンに変換するのに役立つ VMware の無料ユーティリティです。 また、バックアップ イメージやその他の仮想マシンなどのサードパーティのイメージ形式を VMware 仮想マシンに変換するためにも使用できます。 このツールを使用して仮想マシンを作成し、トラブルシューティングのためにテクニカル サポートに提供します。
- WinDbg は、Windows オペレーティング システム用の Microsoft 分散デバッガーです。 このツールを使用して、ユーザー モード アプリケーション、デバイス ドライバー、およびオペレーティング システム自体をカーネル モードでデバッグします。 グラフィカル ユーザー インターフェイスを備えており、Visual Studio Debugger よりも強力です。
- Windows Performance Recorder (WPR) は、Event Tracing for Windows (ETW) に基づく Microsoft のパフォーマンス記録ツールです。 システム イベントを記録し、Windows Performance Analyzer (WPA) を使用して分析できます。 WPR の使用方法:
- [スタート] をクリックし、検索バーに
cmd.exe と入力し、リストからcmd.exe を右クリックして、[管理者として実行] をクリックします。 wprui.exe と入力し、Enter キーを押して WPR を開始します。- Windows SDK については、Windows SDK ダウンロード ページ を参照してください。
- Windows アセスメント アンド デプロイメント キットについては、 Windows アセスメント アンド デプロイメント キット ダウンロード ページ を参照してください。
- 次の表で推奨されているように、パフォーマンス シナリオ およびその他の設定を使用することを選択します。
パフォーマンスの問題パフォーマンス シナリオ詳細レベルロギング モード
含めるプロファイル 繰り返し回数 低速なブートまたはログオンブート以下を参照してください。ファイル第 1 レベルのトリアージ、CPU の使用率、ファイル I/O アクティビティ、ミニフィルター I/O アクティビティ 最低 1 高い CPU 使用率全般以下を参照してください。ファイル第 1 レベルのトリアージ、CPU の使用率、ファイル I/O アクティビティ、ミニフィルター I/O アクティビティ N/A アプリケーションが遅いか、応答しない全般 以下を参照してください。 ファイル 第 1 レベルのトリアージ、CPU の使用率、ファイル I/O アクティビティ、ミニフィルター I/O アクティビティ N/A
WPR を使用すると、システムに余分な負担がかかり、調査したい元の問題が変更またはマスクされる可能性があります。 詳細レベルが異なる 2 つのデータ セットを収集します。 簡易設定を使用して問題を表示し、詳細設定を使用してより詳細な分析に適したデータ セットを許可します。 30 秒以上キャプチャします。
可能な場合は、比較目的で同じタスクを実行しながら、問題のない状態の WPR ログを収集します。 予想されるパフォーマンスのベンチマークを確立するには、ENS が存在しないデータ セットが必要です。
この手順で WPR データを収集する方法のデモンストレーションについては、次のビデオをご覧ください。
- [スタート] をクリックし、検索バーに
Endpoint Security 問題の最小データ収集手順
技術的な記事 ID:
KB86691
最終更新: 2022-01-26 04:02:40 Etc/GMT
最終更新: 2022-01-26 04:02:40 Etc/GMT
環境
McAfee Endpoint Security (ENS) 適応型脅威対策 (ATP) 10.x
McAfee ENS ファイアウォール 10.x
McAfee ENS プラットフォーム 10.x
McAfee ENS 脅威対策 10.x
McAfee ENS Web 管理 10.x
McAfee ENS ファイアウォール 10.x
McAfee ENS プラットフォーム 10.x
McAfee ENS 脅威対策 10.x
McAfee ENS Web 管理 10.x
概要
この記事では、一般的な ENS の問題をトラブルシューティングするための 最小データ収集 手順に関する基本的な情報を提供します。
すべてのログが、問題が発生しているシステムで収集されたものであることと、すべてのログが、同じ時刻に収集されていることを確認してください。 問題のトラブルシューティングには、ロギング データのタイム スタンプを使用できます。
別のシステムからの一致しないログや別の時刻に収集されたログは、トラブルシューティングには使用できません。 すべての最小データ収集ログを再収集しなければならない可能性があります。
次のセクションでは、問題の種類ごとに収集するデータについて説明します。
手順については、KB91797 - デバッグ ロギングを有効化し、Endpoint Security 問題のトラブルシュートする方法 を参照してください。
以下のいずれかの現象が発生している場合には、このセクションの手順を実行してください。
注: プレイブックが完成した直後に、SSSO ユーティリティから WebMER を収集します。
手動データ収集:
AMTrace および プロセス モニター のデータ収集手順:
手動データ収集:
AMTrace および プロセス モニター のデータ収集手順:
手動データ収集:
AMTrace のデータ収集手順:
以下のいずれかの現象が発生している場合には、このセクションの手順を実行してください。
注: プレイブックが完成した直後に、SSSO ユーティリティから WebMER を収集します。
手動データ収集:
システム ハングまたはデッドロックのデータ収集手順:
以下のいずれかの現象が発生している場合には、このセクションの手順を実行してください。
手動データ収集:
アプリケーション ハングまたはデッドロックのデータ収集手順:
McAfee プロセスに関するカーネル メモリ リークの疑いがある場合には、このセクションの手順を実行してください。
現象が Device Guard または Credential Guard に関連する場合は、このセクションの手順を実行します。
ENS の 1 つ以上のコンポーネントのインストールに失敗した場合は、このセクションのデータ収集手順を実行します。
注: ほとんどの場合、ENS インストール データの収集はローカル インストール パスを使用して実行するのが理想的です。 この設定では、タスクの実行やネットワーク エラーではなく、ENS インストーラー自体の潜在的な障害を分離します。 ePO ベースの配備からデータ収集を行う必要がある場合は、テクニカルサポートと協力して、データを確認するときにこの設定が考慮されていることを確認してください。
SSSO プレイブック (ローカル インストール):
SSSO プレイブック (ePO 配備):
手動データ収集:
注: ENS のローカル インストール中にデータを収集するようにします。 各モジュールを別の製品としてトラブルシューティングします。
以下のいずれかの現象が発生している場合には、このセクションの手順を実行してください。
手動データ収集:
問題が TIE に関連している場合は、このセクションの手順を実行します。
すべてのログが、問題が発生しているシステムで収集されたものであることと、すべてのログが、同じ時刻に収集されていることを確認してください。 問題のトラブルシューティングには、ロギング データのタイム スタンプを使用できます。
別のシステムからの一致しないログや別の時刻に収集されたログは、トラブルシューティングには使用できません。 すべての最小データ収集ログを再収集しなければならない可能性があります。
重要: 以下のファイルがテクニカル サポートで必要になります。
- すべての問題に対して、ENS のデバッグ ロギングを含む最小エスカレーション要件 (MER) ファイルが必要です。 デバッグ ロギングについては、ENS デバッグ ロギングが有効になっているかどうかを確認する を参照してください。 MER ファイルについては、KB59385 - サポートされている McAfee Enterprise 製品で MER ツールを使用する方法 を参照してください。 Real Protect
RC.log を生成するには、デバッグ ロギングを有効にする必要があります。 - Self-Service Supportability Orchestrator (SSSO):
SSSO は、テクニカル サポートが単一の Orchestrator で使用するすべてのスタンドアロン ツールを提供するデータ収集ツールです。 このツールは、正しいツールを適切なタイミングで起動し、データ収集作業を容易にします。 このツールは、データ収集が行われるコンテキストをキャプチャし、適切なテレメトリ データを報告するのに役立ちます。 詳細については、KB92519 - Self-Service Supportability Orchestrator データ収集ツール を参照してください。 データの整合性を維持するため、手動で収集する場合ではなく、該当するすべてのデータ収集シナリオで SSSO ツールを使用します。
- 低速ブートまたはスタートアップ
- 低速なログオン
- 低速なアプリケーションの起動(再現可能またはランダム)
- アプリケーションのパフォーマンスが低下する ( 再現 または ランダム )
- 低速なシステム パフォーマンス (再現可能またはランダム)
- システム ハングまたはデッドロック
- システム BugCheck (ブルー スクリーン)
- アプリケーション ハングまたはデッドロック (無応答と回復不能)
- アプリケーション クラッシュ
- メモリ リーク (ユーザーまたはカーネル モード)
- デバイス ガードまたは資格情報ガードに関連する問題
- 1 つ以上の ENS コンポーネントのインストールに失敗する
- ENS のステータスが、「Endpoint Security プラットフォームが実行されていません!」である場合
- サードパーティ DLL 挿入
- Threat Intelligence Exchange (TIE) に関連する問題
- ENS ファイアウォールに関連する問題
- 低速なブートまたはスタートアップ
- 低速なログオン
注: プレイブックが完成した直後に、SSSO ユーティリティから WebMER を収集します。
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | このハンドブックは、プロセス モニターと 再起動時に、 |
手動データ収集:
AMTrace をonboot オプションを使用して起動します。- プロセス モニターを開始し、ブート ロギング オプションを有効にします。
- システムを再起動します。
- この問題を再現します。
- システムにログオンします。
AMTrace を停止して、ログを保存します。- プロセス モニター を開いてブート ログを保存します。
- SSSO ユーティリティを使用して MER を収集します。
- WPR を実行します。
- ブート パフォーマンス シナリオを設定します。
- キャプチャを開始します。
- システムを再起動します。
- この問題を再現します。
- システムにログオンします。
- WPR: ブート トレース の終了を許可します。
- 保存された ETL ファイルをキャプチャします。
- SSSO ユーティリティを使用して MER を収集します。
現象が再現可能で、以下のいずれかに該当する場合は、このセクションの手順を実行します。
- 低速なアプリケーション スタートアップ
- 低速なアプリケーション パフォーマンス
- 低速なシステム パフォーマンス
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | このプレイブックでは、データ収集をトリガーするために、ターゲット プロセス名と CPU しきい値を指定する必要があります。 |
手動データ収集:
- プロセス モニターを開始します。
AMTrace を now オプションを使用して起動します。- 問題を再現します。
AMTrace を停止してログを保存します。- プロセス モニターを停止して、ログを保存します。
- SSSO ユーティリティを使用して MER を収集します。
- WPR を実行します。
- 全般 パフォーマンス シナリオを設定します。
- トレースを開始します。
- 問題を再現します。
- トレースを停止します。
- 保存された ETL ファイルをキャプチャします。
- SSSO ユーティリティを使用して MER を収集します。
この現象がランダムに発生し、次のいずれかである場合は、このセクションの手順を実行します。
- 低速なアプリケーション スタートアップ
- 低速なアプリケーション パフォーマンス
- 低速なシステム パフォーマンス
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | このプレイブックでは、データ収集をトリガーするために、ターゲット プロセス名と CPU しきい値を指定する必要があります。 |
手動データ収集:
AMTrace を rollover オプションを使用して起動します。- 問題が発生したら、
AMTrace を停止してログを保存します。 - SSSO ユーティリティを使用して MER を収集します。
- WPR を実行します。
- ロギング モードに メモリ を指定して、全般 パフォーマンス シナリオを設定します。
- トレースを開始します。
- 問題を再現します。
- 問題が再現したら、できるだけ早くトレースを保存します。
- 保存された ETL ファイルをキャプチャします。
- SSSO ユーティリティを使用して MER を収集します。
- システム ハングまたはデッドロック
- システム BugCheck (ブルー スクリーン)
注: プレイブックが完成した直後に、SSSO ユーティリティから WebMER を収集します。
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | このプレイブックの「プロセス名」変数 (たとえば、 |
手動データ収集:
システム ハングまたはデッドロックのデータ収集手順:
-
完全な memory.dmp を作成するためにシステムを設定します。 KB56023 - テクニカルサポートによる解析のためのメモリ ダンプの作成方法 を参照してください。
- キーボードのクラッシュを許可するようにシステムを設定します。 キーボードを強制的にクラッシュさせるには、この Microsoft の記事 を参照してください。
- 問題が発生したときに、ダンプ ファイルを作成します。 一般に、ダンプ ファイルを生成する前の待ち時間が長いほど、ダンプ内のハング条件を識別することが容易になります。
- システムがアクセス可能な状態になっている場合には、SSSO ユーティリティを使用して MER を収集します。
- 完全な
memory.dmp を作成するようにシステムを設定します。 KB56023 - テクニカルサポートによる解析のためのメモリ ダンプの作成方法 を参照してください。 - システム BugCheck (ブルー スクリーン) が発生したときにフル ダンプ ファイルを収集します。
- システムがアクセス可能な状態になっている場合には、SSSO ユーティリティを使用して MER を収集します。
- アプリケーションのハングまたはデッドロック (無応答と回復不能)
- アプリケーション クラッシュ
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | このプレイブックを実行するには、ターゲット プロセスまたはハングが発生しているプロセスを提供する必要があります。 特定のプロセス名を確認する必要がある場合は、テクニカルサポートに連絡してください。 |
手動データ収集:
アプリケーション ハングまたはデッドロックのデータ収集手順:
- ProcDump ダウンロード ページ から ProcDump をダウンロードします。
- ProcDump をデスクトップに展開します。
- 管理コマンド プロンプトを開き、ディレクトリを
C:\Users\username\Desktop\Procdump に変更します。 - 次のコマンドを実行します。
procdump -ma <プロセス名> - 作成されたダンプ ファイルを収集します。このファイルは、
Procdump フォルダーにあります。 - SSSO ユーティリティを使用して MER を収集します。
- クラッシュしたプロセスが ENS プロセスの場合、ENS 自己保護を無効にします。
ProcDump をProcDump ダウンロード ページ からダウンロードします。ProcDump をデスクトップに展開します。- 管理コマンド プロンプトを開き、ディレクトリを
C:\Users\username\Desktop\Procdump に変更します。 - 次のコマンドを実行します。
procdump -ma -e <プロセス名>ProcDump にダンプを生成するように指示します。 - プロセスが再びクラッシュするのを待ちます。
- 作成されたダンプ ファイルを収集します。このファイルは、
Procdump フォルダーにあります。 - ENS 自己保護を再度有効にします。
- SSSO ユーティリティを使用して MER を収集します。
現象がユーザー モードまたはアプリケーション メモリ リークに関係する場合は、このセクションの手順を実行します。 分析のためにユーザー モード ダンプまたはアプリケーション クラッシュ ダンプを 3 つ収集 します。
注: メモリ リークのデータ収集は、メモリ リークが時間の経過と共にその動作が変化するため、一定期間実行する必要があります。 最良のデータ収集結果を得るために、システムを再起動してから、次のデータ収集を開始することをお勧めします。 これにより、データ セットは、時間の経過と共にシステム上で発生するメモリ リークの存在を示すことができます。
SSSO プレイブック (ユーザー モードのリーク):
手動データ収集 (ユーザー モード リーク):
注: メモリ リークのデータ収集は、メモリ リークが時間の経過と共にその動作が変化するため、一定期間実行する必要があります。 最良のデータ収集結果を得るために、システムを再起動してから、次のデータ収集を開始することをお勧めします。 これにより、データ セットは、時間の経過と共にシステム上で発生するメモリ リークの存在を示すことができます。
SSSO プレイブック (ユーザー モードのリーク):
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | このプレイブックでは、メモリ フットプリントを経時的に追跡するためのターゲット プロセス名を指定する必要があります。 このプレイブックを正しく実行するには、テスト中に ENS 自己保護を無効にする必要があります。 |
手動データ収集 (ユーザー モード リーク):
- ProcDump ダウンロード ページ から ProcDump をダウンロードします。
- ProcDump をデスクトップに展開します。
- メモリ リークが発生しているプロセス名を特定します。
- リークしているプロセスでスタック トレースを有効にします。 KB91252 - How to enable a stack trace using the gflags.exe utility を参照してください。
- 疑いのあるプロセスが高いメモリ使用率を示すのを待ちます。
- 管理コマンド プロンプトを開き、ディレクトリを
C:\Users\username\Desktop\Procdump に変更します。 - 次のコマンドを実行します。
procdump -ma <プロセス名> - 作成されたダンプ ファイルを収集します。このファイルは、
Procdump フォルダーにあります。 - 手順を繰り返して、分析のためにユーザー モード ダンプまたはアプリケーション クラッシュ ダンプを 3 つ収集 します。
- すべてのクラッシュ ダンプ ファイルが収集されたら、プロセスのスタック トレースを無効にします。 KB91252 - How to enable a stack trace using the gflags.exe utility を参照してください。
McAfee プロセスに関するカーネル メモリ リークの疑いがある場合には、このセクションの手順を実行してください。
PoolMon とPerfMon の使い方と設定については、 KB74951 - How to troubleshoot high memory use on systems を参照してください。- 完全な memory.dmp を作成するようにシステムを設定します。 KB56023 - テクニカルサポートによる解析のためのメモリ ダンプの作成方法 を参照してください。
- キーボードのクラッシュを許可するようにシステムを設定します。 キーボードを強制的にクラッシュさせるには、この Microsoft の記事 を参照してください。
- 報告されたシステムを再起動してメモリ リークを表示します。
PoolMon とPerfMon の設定をします。 KB74951 - How to troubleshoot high memory use on systems を参照してください。PoolMon とPerfMon のデータ収集を開始します。- システムのメモリ使用率が高い状態が表示されるまで待ちます。
PoolMon とPerfMon を停止し、結果のデータを収集します。- メモリ使用率が高い状態が継続している間に、システムに強制的に BugCheck を実行させます。
- メモリ ダンプを収集します。
- この記事に記載されているとおりに、発生した現象に適切な ENS データを収集します。
- さらに、管理コマンド プロンプト内で次のコマンドを実行して、ETW (Windows のイベント トレース) トレースを収集します。
@echo off
ECHO These commands enable tracing:
@echo on
logman create trace "base_DeviceGuard" -ow -o c:base_DeviceGuard.etl -p "Microsoft-Windows-DeviceGuard" 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
@echo off
echo
ECHO Reproduce your issue and enter any key to stop tracing
@echo on
pause
logman stop "base_DeviceGuard" -ets
@echo off
echo Tracing has been captured and saved successfully at c:base_DeviceGuard.etl
pause
注: ほとんどの場合、ENS インストール データの収集はローカル インストール パスを使用して実行するのが理想的です。 この設定では、タスクの実行やネットワーク エラーではなく、ENS インストーラー自体の潜在的な障害を分離します。 ePO ベースの配備からデータ収集を行う必要がある場合は、テクニカルサポートと協力して、データを確認するときにこの設定が考慮されていることを確認してください。
SSSO プレイブック (ローカル インストール):
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | このプレイブックは、 |
SSSO プレイブック (ePO 配備):
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | このプレイブックは、 |
手動データ収集:
注: ENS のローカル インストール中にデータを収集するようにします。 各モジュールを別の製品としてトラブルシューティングします。
- 製品ダウンロード サイト からスタンドアロン パッケージをダウンロードして解凍します。
- プロセス モニターを開始します。
AMTrace を rollover オプションを使用して起動します。- 問題を再現します。 ローカル インストール (
setupEP.exe ) を管理者として実行し、トラブルシューティングする単一モジュールを選択します。 AMTrace を停止して、ログを保存します。- プロセス モニターを停止して、ログを保存します。
- SSSO ユーティリティを使用して、MER ファイルを収集します (管理者として実行します)。
- ENS のステータスが「Endpoint Security Platform が実行されていません!」の場合。
- サードパーティ DLL 挿入
プレイブック: | ||||
前提条件 |
|
|||
SSSO が実行するツール: |
|
|||
注: | パラメータをプロセス名 " |
手動データ収集:
- プロセス モニターを開始します。
AMTrace を now オプションを使用して起動します。- ENS コンソールを開いて閉じ、問題を再現します。
AMTrace を停止して、ログを保存します。- プロセス モニターを停止して、ログを保存します。
- MER ファイルを収集します (管理者として実行)。
- 割り当てられた Endpoint Security 全般オプション ポリシーのコピーをエクスポートして収集します。
- この記事に記載されている現象に基いて適切なデータを収集します。
- また、TIE サーバー アプライアンス上の TIE サーバー ログ
/var/McAfee/tieserver/logs/tieserver.log を収集します。
関連情報
テクニカルサポートに問い合わせるには、[ サービスリクエストの作成] ページに移動 して、ServicePortal にログオンします。
- 登録済みのユーザーの場合は、ユーザー ID とパスワードを入力して、[ ログイン] をクリックします。
- 登録済みのユーザーでない場合は、 登録 をクリックして各項目を入力すると、パスワードと手順がメールで送信されます。
添付ファイル
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
影響を受ける製品
- Diagnostic Data Collection
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Troubleshooting
言語:
この記事は、次の言語で表示可能です: