- O SSSO é uma ferramenta que facilita a coleta de dados por meio de várias ferramentas autônomas de uma única interface. O SSSO usa guias estratégicos e disparadores predefinidos para automatizar a coleta. Para obter mais informações, consulte KB92519-ferramenta de coleta de dados do Orchestrator para oferecer suporte aautoatendimento.
AMTrace é uma ferramenta interna para coletar dados de registro do (data da última atualização emAMCore 11 de outubro de 2018). Para usarAMTrace o para coletar dados de registro emAMCore :- Prepare-se
AMTrace :- Faça o download do pacote
ENSDataCollect.zip zip na seção "anexo" deste artigo. - Extraia o conteúdo para a área de trabalho.
- Faça o download do pacote
- Executar
AMTrace :- Clique em Iniciar, digite
cmd.exe na barra de pesquisa, cliquecmd.exe com o botão direito do mouse na lista e clique em executar como administrador. - Quando estiver pronto para iniciar um rastreamento, use a opção de comando abaixo que a seção de coleta de dados relevante exige.
Nota: Estes são os caminhos para osAMTrace.exe locais arquivo:C:\Users\username\Desktop\ENSDataCollect\AMTracex86 C:\Users\username\Desktop\ENSDataCollect\AMTracex64
AMTrace opções de comando:- Para usar a
AMTrace onboot opção, execute o seguinte comando:
AMTrace.exe -b onboot -m 4GB
Esse comando instrui a ferramenta a iniciar um rastreamento na próxima inicialização.
NOTAS:- A "" GB diferencia maiúsculas de minúsculas. Este exemplo limita o tamanho do registro a 4 GB. 10 MB é o valor mínimo aceito e 2 GB é o padrão, se não especificado.
- Essa opção não é compatível com os modos de registro alternativos descritos abaixo.
- Para usar
AMTrace com a opção Now , execute o seguinte comando:
AMTrace.exe -b now -m 4GB
importante: oAMTrace agora usa a opção de sobreposição por padrão.Esse comando instrui a ferramenta a iniciar um rastreamento imediatamentee limitar o tamanho do registro a 4 GB porNota: A "" GB diferencia maiúsculas de minúsculas..etl arquivo. Quando o registro atingir 4 GB, um novo registro será criado. Cada registro é anexado com _1, _2, e assim por diante, até que você interrompa o rastreamento, o usuário efetue logoff ou encerre o sistema.
- A ser usado
AMTrace sem a opção de sobreposição:Escolha um método de registro apropriado para o problema que você deseja registrar:
AMTrace.exe -b now -m 4GB -L stop
AMTrace.exe -b now -m 4GB -L circular
O modo parar cria uma seção de rastreamento que interrompe o registro depois que o limite de tamanho é atingido.
O modo circular cria uma seção de rastreamento que se conecta a uma única arquivo. Após atingir o tamanho máximo, os eventos mais antigos são sobrescritos.
Nota: Os "L" e "GB" diferenciam maiúsculas de minúsculas.
- Interrompa o rastreamento e salve o log. Use o seguinte comando:
AMTrace -e
- Quando possível,
AMTrace o tenta renomear automaticamente os arquivos ETL resultantes para incluir a hora de início e a hora de término do registro em log no nome do arquivo. Por exemplo,amtrace_20200704.010203-010305.etl indica que o registro começou em 2020-07-04 (4 de julho de 2020) às 1:02:03 e continua até a 1:03:05.
SeAMTrace não for possível renomear o arquivo quando o log for interrompido, ainda será possível renomear o arquivo manualmente com outroAMTrace comando:
AMTrace.exe --datestamp *.etl
Esse comando aceita caracteres curinga (* ou? ) para fazer referência a vários caracteres ou a um único caractere, respectivamente. Este comando renomeia o arquivo ou arquivos especificados para incluir as horas de início e de término no nome do arquivo. Ele não afeta arquivos que já tenham o é adicionado.
- Clique em Iniciar, digite
AMTrace está em andamento, execute o comando a seguir para listar todos os rastreamentos ativos:
AMTrace -q
Para ver uma demonstração de como coletarAMTrace dados usando este procedimento, Assista ao seguinte vídeo:
- Prepare-se
GFlags permite que você ative e desative recursos avançados de diagnóstico e solução de problemas do sistema interno. Você pode executarGFlags a partir de uma janela de prompt de comando ou usar a caixa de diálogo interface gráfica do usuário. Em geral, é usado para ativar os indicadores que outras ferramentas rastreiam, contabilizam e registram.- O Mer coleta registros de eventos, detalhes da versão do arquivo, arquivos, detalhes do processo e detalhes do registro dos produtos instalados no computador. O Suporte técnico usa dados coletados para solucionar problemas. Para obter mais informações, consulte KB59385-como usar as ferramentas do Mer com nossos produtos.
- O Process Monitor é uma ferramenta da Microsoft que monitora e exibe todas as atividades do sistema arquivo em um sistema operacional Windows em tempo real. Use a ferramenta de administração de sistemas, perícia de computador e depuração de aplicativos. Como usar o Monitoramento de processo:
- Prepare Monitoramento de processo:
- Faça download do monitor de processos na página de downloads do Process Monitor.
- Extraia
Procmon.exe para a área de trabalho.
- Execute o Monitoramento de processo:
- Quando estiver pronto para iniciar o monitor do processo, use a opção abaixo que a seção de coleta de dados relevante exige.
- Para iniciar o Monitoramento de processo imediatamente:
- Executá
Procmon.exe; -lo automaticamente inicia a captura das informações do processo. - Para parar o Monitoramento de processo, pressione Ctrl+E ou clique em Arquivo e desmarque Capturar eventos. Pressione Ctrl+E novamente para retomar a coleta de dados.
- Para salvar o registro, clique em arquivo, salvar... (selecione todos os eventos e use o formato nativo do PML).
- Executá
- Para ativar a opção de registro de inicialização do Process Monitor, se necessário, na seção coleta de dados relevantes, execute as etapas a seguir:
- Abra o console do Monitoramento de processo.
- Clique em Opções.
- Clique em Ativar registro em log da inicialização.
- Clique em OK na janela de pop-up. Na próxima vez que ocorrer uma reinicialização, um log de rastreamento de inicialização será criado.
- Para salvar o log, execute o Monitoramento de processo novamente e clique em Arquivo, Salvar... (selecione Todos os eventos e use o formato de PML nativo).
- Para iniciar o Monitoramento de processo imediatamente:
- Quando estiver pronto para iniciar o monitor do processo, use a opção abaixo que a seção de coleta de dados relevante exige.
Para obter uma demonstração de como coletar dados do monitor de processo usando este procedimento, Assista ao seguinte vídeo:
- Prepare Monitoramento de processo:
ProcDump o é um utilitário de linha de comando usado para monitor um aplicativo para picos de CPU. Ele gera despejos de falhas durante um pico que um administrador ou desenvolvedor pode usar para determinar a causa do pico.PerfMon o é uma ferramenta que os administradores podem usar para examinar como os programas, que estão sendo executados em seus computadores, afetam o desempenho do computador. Use a ferramenta em tempo real para analisar como os programas em execução afetam o desempenho do sistema. Você também pode usar essa ferramenta para coletar informações de arquivo de log para análise de dados de desempenho do sistema mais tarde.- O Poolmon exibe os dados que o sistema operacional coleta sobre alocações de memória dos pools de kernel paginados e não-paginados do sistema, e os pools de memória usados para as sessões dos serviços de terminal. Poolmon agrupa os dados por marca de alocação de pool. Microsoft Suporte técnico usa essas informações para encontrar vazamentos de memória no modo de kernel.
- O VMware Converter é um utilitário gratuito do VMware que ajuda a converter sistemas físicos com base em Windows e Linux para VMware máquinas virtuais. Você também pode usá-lo para converter formatos de imagem de terceiros, como imagens de backup e outras máquinas virtuais, para VMware máquinas virtuais. Use essa ferramenta para criar máquinas virtuais a fim de fornecer Suporte técnico para a solução de problemas.
- O windbg é um depurador Microsoft distribuído para o sistema operacional Windows. Use essa ferramenta para depurar aplicativos de modo de usuário, drivers de dispositivo e o próprio sistema operacional no modo kernel. Ele tem uma interface gráfica de usuário e é mais potente do que o depurador do Visual Studio.
- O Windows Performance Recorder (WPR) é uma ferramenta de gravação de desempenho de Microsoft baseada no rastreamento de eventos do Windows (ETW). Ele registra eventos do sistema que podem ser analisados usando o Windows Performance Analyzer (WPA). Para usar o WPR, execute as seguintes etapas:
- Clique em Iniciar, digite
cmd.exe na barra de pesquisa, cliquecmd.exe com o botão direito do mouse na lista e clique em Executar como administrador. - Digite
wprui.exe e pressione ENTER para iniciar o WPR.- Para obter Windows SDK, consulte a página de downloads do Windows SDK.
- Para obter o Windows kit de avaliação e distribuição, consulte a página de downloads do kit de avaliação e distribuição do Windows.
- Escolha usar um cenário de desempenho e outras configurações, conforme recomendado na tabela a seguir:
Problemas de performanceCenário de desempenhoNível de detalheModo de registro em log
Perfis a serem incluídos Número de iterações Inicialização ou entrada lentaInicializaçãoVeja abaixoArquivoTriagem de primeiro nível, uso de CPU, atividade de E/S do arquivo, atividade de E/S do minifiltro Pelo menos 1 Alta utilização de CPUGeralVeja abaixoArquivoTriagem de primeiro nível, uso de CPU, atividade de E/S do arquivo, atividade de E/S do minifiltro N/A O aplicativo está lento ou não está respondendoGeral Veja abaixo Arquivo Triagem de primeiro nível, uso de CPU, atividade de E/S do arquivo, atividade de E/S do minifiltro N/A
O uso do WPR coloca uma sobrecarga extra no sistema, que pode alterar ou mascarar o problema original que você deseja investigar. Colete dois conjuntos de dados com diferentes níveis de detalhes. Use a configuração Resumida para mostrar o problema e a configuração Detalhada para permitir um conjunto de dados adequado para uma análise detalhada. Capture pelo menos 30 segundos.
Quando possível, colete um registro do WPR sem o problema enquanto executa a mesma tarefa, para fins de comparação. Um conjunto de dados sem ENS presente é necessário para estabelecer o benchmark do desempenho esperado.
Para ver uma demonstração de como coletar dados do WPR com esse procedimento, Assista ao seguinte vídeo:
- Clique em Iniciar, digite
Etapas mínimas de coleta de dados para problemas de Endpoint Security
Artigos técnicos ID:
KB86691
Última modificação: 2022-08-18 16:04:46 Etc/GMT
Última modificação: 2022-08-18 16:04:46 Etc/GMT
Ambiente
Endpoint Security (ENS) Proteção adaptável contra ameaças (ATP) 10.x
ENS Firewall 10.x
Plataforma 10.x
ENS ENS Prevenção contra ameaças 10.x
ENS Controle da Web 10.x
ENS Firewall 10.x
Plataforma 10.x
ENS ENS Prevenção contra ameaças 10.x
ENS Controle da Web 10.x
Resumo
Este artigo fornece informações básicas sobre as etapas mínimas de coleta de dados para a solução de problemas comuns do ens.
Verifique se todos os registros são coletados do mesmo sistema que enfrentam o problema e que todos os registros são coletados ao mesmo tempo. Os carimbos de data e hora dos dados do registro em log podem ser usados para solucionar o problema.
Registros incompatíveis de sistemas diferentes ou registros coletados em momentos diferentes, não podem ser usados para a solução de problemas. Tais registros podem fazer com que o recolete todos os logs de coleta de dados mínimos.
As seções a seguir descrevem os dados a serem coletados para cada tipo de problema:
Para obter instruções, consulte log de depuração do KB91797-ativar para solucionar problemas de Endpoint Security.
Execute as etapas desta seção se o sintoma for qualquer um dos seguintes:
Nota: colete um WEBMER do utilitário SSSO imediatamente após a conclusão do guia estratégico.
Coleta manual de dados:
Etapas de coleta de dados para o monitor de processo e doAMTrace Process:
Coleta manual de dados:
Etapas de coleta de dados para o monitor de processo e doAMTrace Process:
Coleta manual de dados:
Etapas de coleta de dados paraAMTrace :
Execute as etapas desta seção se o sintoma for qualquer um dos seguintes:
Nota: colete um WEBMER do utilitário SSSO imediatamente após a conclusão do guia estratégico.
Coleta manual de dados:
Etapas de coleta de dados para um travamento do sistema ou deadlock:
Execute as etapas desta seção se o sintoma for qualquer um dos seguintes:
Coleta manual de dados:
Etapas de coleta de dados para um bloqueio de aplicativo ou deadlock:
Execute as etapas nesta seção se houver suspeita de perda de kernel de memória envolvendo um de nossos processos.
Execute as etapas nesta seção se os sintomas envolvem o Device Guard ou o Credential Guard.
Execute as etapas de coleta de dados nesta seção se um ou mais componentes do ENS não puderem ser instalados.
Nota: Na maioria das situações, é ideal para a coleta de dados de instalação do ENS ser feita usando o caminho de instalação local. Essa configuração isola todas as falhas potenciais do instalador do ENS e não erros de rede ou de execução de tarefas. Se a coleta de dados precisar ser feita a partir de distribuições baseadas no ePO, trabalhe com o Suporte técnico para garantir que essa configuração seja considerada quando os dados forem analisados.
Guia estratégico do SSSO (instalação local)
Guia estratégico da SSSO (distribuição do ePO)
Coleta manual de dados:
Observação: Verifique se você coleta os dados durante a instalação local do ens. Solucione os problemas de cada módulo como um produto separado.
Execute as etapas desta seção se o sintoma for qualquer um dos seguintes:
Coleta manual de dados:
Execute as etapas desta seção se os sintomas estiverem relacionados ao TIE:
Verifique se todos os registros são coletados do mesmo sistema que enfrentam o problema e que todos os registros são coletados ao mesmo tempo. Os carimbos de data e hora dos dados do registro em log podem ser usados para solucionar o problema.
Registros incompatíveis de sistemas diferentes ou registros coletados em momentos diferentes, não podem ser usados para a solução de problemas. Tais registros podem fazer com que o recolete todos os logs de coleta de dados mínimos.
Importante: Os arquivos a seguir são necessários paro Suporte técnico:
- Os arquivos do Minimum Escalation Requirements (Mer) com log de depuração para ENS são necessários para todos os problemas. Para obter informações sobre o log de depuração, consulte Verificar se o registro em log da depuração do ENS está ativado. Para obter informações sobre os arquivos do MER, consulte KB59385-como usar as ferramentas do Mer com nossos produtos. O registro em log de depuração deve ser ativado para que a Real Protect
RC.log seja gerada. - Orquestrador de suporte de autoatendimento (SSSO):
O SSSO é uma ferramenta de coleta de dados que reúne todas as ferramentas autônomas que Suporte técnico utiliza sob um único orquestrador. A ferramenta chama a ferramenta certa no momento certo e facilita o esforço de coleta de dados. Essa ferramenta captura o contexto no qual ocorre a coleta de dados, o que ajuda a relatar dados de telemetria adequados. Para obter mais informações, consulte KB92519-ferramenta de coleta de dados do Orchestrator para oferecer suporte aautoatendimento. Use a ferramenta SSSO em todos os cenários de coleta de dados aplicáveis, em vez de optar por etapas manuais de coleta para garantir a consistência dos dados.
- Inicialização lenta
- Entrada lenta
- Inicialização lenta de aplicativo (reproduzível ou aleatória)
- Desempenho lento do aplicativo (reproduzível ou aleatória)
- Baixo desempenho do sistema (reproduzível ou aleatório)
- Travamento ou bloqueio do sistema
- Verificação de bug do sistema (tela azul)
- Interrupção ou bloqueio do aplicativo (não respondendo e não recuperando)
- Falha do aplicativo
- Vazamento de memória (modo de usuário ou de kernel)
- Problemas relacionados ao Device Guard ou ao Credential Guard
- Falha na instalação de um ou mais componentes do ENS
- O status de ENS é: Plataforma do Endpoint Security não está sendo executado!
- Injeção de DLL de terceiros
- Problemas relacionados ao Threat Intelligence Exchange (TIE)
- Problemas relacionados ao Firewall do ENS
- Inicialização lenta
- Entrada lenta
Nota: colete um WEBMER do utilitário SSSO imediatamente após a conclusão do guia estratégico.
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Este guia estratégico configura o monitor do processo e Na reinicialização, |
Coleta manual de dados:
Etapas de coleta de dados para o monitor de processo e do
- Comece
AMTrace com aonboot opção. - Inicie o Monitoramento de processo e ative a opção de registro em log da inicialização.
- Reinicialize o sistema.
- Reproduza o problema.
- Entre no sistema.
- Pare
AMTrace e salve o registro. - Abra o Monitoramento de processo e salve o log da inicialização.
- Colete um MER usando o utilitário SSSO.
- Execute o WPR.
- Configure o cenário de desempenho de Inicialização .
- Inicie a captura.
- Reinicialize o sistema.
- Reproduza o problema.
- Entre no sistema.
- Permita que o WPR: rastreamento de inicialização seja concluído.
- Capture os arquivos ETL salvos.
- Colete um MER usando o utilitário SSSO.
Execute as etapas nesta seção se o sintoma fore reproduzível e qualquer um dos seguintes:
- Inicialização lenta de aplicativo
- Desempenho lento de aplicativo
- Desempenho lento do sistema
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Este guia estratégico exige que você forneça o nome do processo de destino e um limite de CPU para disparar a coleta de dados. |
Coleta manual de dados:
Etapas de coleta de dados para o monitor de processo e do
- Iniciar Monitoramento de processo.
- Comece
AMTrace com a opção agora . - Reproduza o problema.
- Pare
AMTrace e salve o registro. - Interrompa o Monitoramento de processo e salve o log.
- Colete um MER usando o utilitário SSSO.
- Execute o WPR.
- Configure o cenário de desempenho Geral .
- Inicie o rastreamento.
- Reproduza o problema.
- Interrompa o rastreamento.
- Capture o arquivo ETL salvo.
- Colete um MER usando o utilitário SSSO.
Execute as etapas nesta seção se os sintomas ocorrerem aleatoriamente e for qualquer um dos seguintes:
- Inicialização lenta de aplicativo
- Desempenho lento de aplicativo
- Desempenho lento do sistema
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Este guia estratégico exige que você forneça o nome do processo de destino e um limite de CPU para disparar a coleta de dados. |
Coleta manual de dados:
Etapas de coleta de dados para
- Comece
AMTrace com a opção de sobreposição . - Quando o problema ocorrer, pare
AMTrace e salve o registro. - Colete um MER usando o utilitário SSSO.
- Execute o WPR.
- Configurar o Geral Cenário de desempenho com Rowset como o modo de registro em log.
- Inicie o rastreamento.
- Reproduza o problema.
- Salve o rastreamento o mais rápido possível depois de reproduzir o problema.
- Capture o arquivo ETL salvo.
- Colete um MER usando o utilitário SSSO.
- Travamento ou bloqueio do sistema
- Verificação de bug do sistema (tela azul)
Nota: colete um WEBMER do utilitário SSSO imediatamente após a conclusão do guia estratégico.
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Você precisa configurar o nome do processo de "" variável para este guia estratégico (por exemplo, |
Coleta manual de dados:
Etapas de coleta de dados para um travamento do sistema ou deadlock:
-
Configure o sistema para criar uma configuração completa
memory.dmp do. Consulte KB56023-criar um despejo de memória para análise por suporte técnico. - Configure o sistema para permitir uma falha de teclado. Consulte este artigo Microsoft para forçar uma falha no teclado.
- Crie o arquivo de descarregar quando o problema ocorrer. Geralmente, quanto mais tempo você puder esperar antes de gerar o arquivo de descarga, mais fácil será para identificar a condição de travamento na descarga.
- Se o sistema estiver em um estado acessível, colete um MER usando o utilitário SSSO.
- Configure o sistema para criar uma configuração completa
memory.dmp do. Consulte KB56023-criar um despejo de memória para análise por suporte técnico. - Colete a arquivo de despejo completo quando a verificação de bug do sistema (tela azul) ocorrer.
- Se o sistema estiver em um estado acessível, colete um MER usando o utilitário SSSO.
- Interrupção ou bloqueio do aplicativo (não respondendo e não recuperando)
- Falha do aplicativo
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Você deve fornecer o processo de destino ou o processo que está apresentando as interrupções, para executar este guia estratégico. Se precisar de ajuda para determinar o nome do processo específico, entre em contato com o Suporte técnico. |
Coleta manual de dados:
Etapas de coleta de dados para um bloqueio de aplicativo ou deadlock:
- Faça download do ProcDump na página de downloads do ProcDump.
- Extraia o ProcDump para a área de trabalho.
- Abra um prompt de comando administrativo e altere o diretório para
C:\Users\username\Desktop\Procdump . - Execute o comando a seguir:
procdump -ma - Colete o arquivo de despejo criado, que está na
Procdump pasta. - Colete um MER usando o utilitário SSSO.
- Se o processo de falha for um processo do ENS, desative a autoproteção do ENS.
- Faça download
ProcDump na página Downloads do ProcDump. - Extraia
ProcDump para a área de trabalho. - Abra um prompt de comando administrativo e altere o diretório para
C:\Users\username\Desktop\Procdump . - Execute o comando a seguir:
procdump -ma -e ProcDump a gerar um despejo na próxima vez que o processo falhar. - Aguarde até que o processo falhe novamente.
- Colete o arquivo de despejo criado, que está na
Procdump pasta. - Reative a autoproteção do ENS.
- Colete um MER usando o utilitário SSSO.
Execute as etapas nesta seção se os sintomas envolverem um modo de usuário ou um vazamento de memória de aplicativo. Colete três (3) descargas de falha do aplicativo ou do modo de usuário para análise.
Nota: A coleta de dados de perda de memória precisa ser executada com o tempo, assim como a perda de memória exibe seu comportamento ao longo do tempo. Para os melhores resultados da coleta de dados, é recomendável reinicializar o sistema e, em seguida, iniciar a coleta de dados a seguir. Essa sequência permite que o conjunto de dados mostre a existência do vazamento de memória, ao longo do tempo, conforme ela é manifestada no sistema.
Guia estratégico do SSSO (vazamento de modo de usuário)
Coleta manual de dados (vazamento de modo de usuário):
Nota: A coleta de dados de perda de memória precisa ser executada com o tempo, assim como a perda de memória exibe seu comportamento ao longo do tempo. Para os melhores resultados da coleta de dados, é recomendável reinicializar o sistema e, em seguida, iniciar a coleta de dados a seguir. Essa sequência permite que o conjunto de dados mostre a existência do vazamento de memória, ao longo do tempo, conforme ela é manifestada no sistema.
Guia estratégico do SSSO (vazamento de modo de usuário)
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Este guia estratégico exige que você forneça um nome de processo de destino para rastrear seu espaço de memória ao longo do tempo. Para executar este guia estratégico corretamente, a autoproteção do ENS deve ser desativada durante o teste. |
Coleta manual de dados (vazamento de modo de usuário):
- Faça download do ProcDump na página de downloads do ProcDump.
- Extraia o ProcDump para a área de trabalho.
- Identifique o nome do processo que está vazando a memória.
- Ativar um rastreamento de pilha no processo de vazamento. Consulte KB91252-como ativar um rastreamento de pilha usando o utilitário Gflags .exe.
- Aguarde até que o processo suspeito mostre o uso de memória alta.
- Abra um prompt de comando administrativo e altere o diretório para
C:\Users\username\Desktop\Procdump . - Execute o comando a seguir:
procdump -ma - Colete o arquivo de despejo criado, que está na
Procdump pasta. - Repita as etapas e colete três (3) descargas de falha do aplicativo ou do modo de usuário para análise.
- Desativar o rastreamento de pilha no processo assim que todos os arquivos de despejo de falha são coletados. Consulte KB91252-como ativar um rastreamento de pilha usando o utilitário Gflags .exe.
Execute as etapas nesta seção se houver suspeita de perda de kernel de memória envolvendo um de nossos processos.
- Familiarize-se com o uso e a
PoolMon PerfMon configuração descritos em KB74951-como solucionar problemas de alta utilização de memória em sistemas. - Configure o sistema para criar uma configuração completa
memory.dmp do. Consulte KB56023-criar um despejo de memória para análise por suporte técnico. - Configure o sistema para permitir uma falha de teclado. Consulte este artigo Microsoft para forçar uma falha no teclado.
- Reinicialize o sistema relatado para mostrar uma perda de memória.
- Use a configuração do
PoolMon ePerfMon destacada em KB74951-como solucionar problemas de alta utilização de memória em sistemas. Inicie o ePerfMon a coleta dePoolMon dados. - Aguarde até que o sistema mostre o uso de memória alta.
- Pare
PoolMon ePerfMon e colete os dados resultantes. - Forçar o sistema a executar uma verificação de bug, enquanto o uso de memória alta ainda é exibido.
- Colete a descarga de memória.
- Colete os dados de ENS apropriados para o sintoma observado, conforme descrito neste artigo.
- Além disso, colete um rastreamento ETW usando o comando a seguir, executado em um prompt de comando administrativo:
@echo off
ECHO These commands enable tracing:
@echo on
logman create trace "base_DeviceGuard" -ow -o c:base_DeviceGuard.etl -p "Microsoft-Windows-DeviceGuard" 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
@echo off
echo
ECHO Reproduce your issue and enter any key to stop tracing
@echo on
pause
logman stop "base_DeviceGuard" -ets
@echo off
echo Tracing has been captured and saved successfully at c:base_DeviceGuard.etl
pause
Nota: Na maioria das situações, é ideal para a coleta de dados de instalação do ENS ser feita usando o caminho de instalação local. Essa configuração isola todas as falhas potenciais do instalador do ENS e não erros de rede ou de execução de tarefas. Se a coleta de dados precisar ser feita a partir de distribuições baseadas no ePO, trabalhe com o Suporte técnico para garantir que essa configuração seja considerada quando os dados forem analisados.
Guia estratégico do SSSO (instalação local)
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Este guia estratégico observa a geração de processos do |
Guia estratégico da SSSO (distribuição do ePO)
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Este guia estratégico observa a geração de processos do |
Coleta manual de dados:
Observação: Verifique se você coleta os dados durante a instalação local do ens. Solucione os problemas de cada módulo como um produto separado.
- Faça o download e descompacte o pacote independente no site de downloads de produtos.
- Iniciar Monitoramento de processo.
- Comece
AMTrace com a opção de sobreposição . - Recrie o problema. Execute a instalação local (
setupEP.exe ) como administrador e selecione o único módulo para o qual você está solucionando o problema. - Pare
AMTrace e salve o registro. - Interrompa o Monitoramento de processo e salve o log.
- Colete um MER arquivo (executar como administrador) usando o utilitário SSSO.
- O status do ens é "plataforma do Endpoint Security não está sendo executado!"
- Injeção de DLL de terceiros
Roteiro de vendas | ||||
Pré-requisitos |
|
|||
Ferramentas SSSO executadas |
|
|||
Notas | Defina os parâmetros para o nome do processo " |
Coleta manual de dados:
- Iniciar Monitoramento de processo.
- Comece
AMTrace com a opção agora . - Abra e feche o console do ENS para recriar o problema.
- Pare
AMTrace e salve o registro. - Interrompa o Monitoramento de processo e salve o log.
- Colete um arquivo MER (execute como administrador).
- Exporte e colete uma cópia da política Opções de Em Comum do Endpoint Security atribuída.
- Colete os dados apropriados com base nos sintomas descritos neste artigo.
- Além disso, colete o registro do servidor TIE no servidor TIE appliance em
/var/McAfee/tieserver/logs/tieserver.log .
Informações relacionadas
Para entrar em contato com o Suporte técnico, vá para a página criar uma solicitação de serviço e entre no ServicePortal.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
- Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
Anexo
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
- Diagnostic Data Collection
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Troubleshooting
Idiomas:
Este artigo está disponível nos seguintes idiomas: