- SSSO es una herramienta que facilita la recopilación de datos mediante varias herramientas independientes a partir de una única interfaz. SSSO utiliza guías y activaciones predefinidas para automatizar la recopilación. Para obtener más información, véase KB92519-herramienta de recopilación de datos de la compatibilidad con autoservicio Orchestrator.
AMTrace es una herramienta interna desde la que se recopilan los datos deAMCore registro (última actualización el 11 de octubre de 2018). Para utilizarAMTrace para recopilar datos de registro deAMCore :- Preparar
AMTrace :- Descargue el paquete
ENSDataCollect.zip zip de la sección "Attachment" de este artículo. - Extraiga el contenido en el escritorio.
- Descargue el paquete
- Ejecutar
AMTrace :- Haga clic en Inicio, escriba
cmd.exe en la barra de búsqueda, haga cliccmd.exe con el botón derecho en la lista y haga clic en Ejecutar como administrador. - Cuando esté listo para iniciar un rastreo, utilice la opción de comando a continuación que requiera la sección de recopilación de datos relevante.
Nota: A continuación se indican las rutas a las ubicaciones de losAMTrace.exe archivos:C:\Users\username\Desktop\ENSDataCollect\AMTracex86 C:\Users\username\Desktop\ENSDataCollect\AMTracex64
AMTrace Opciones de comando:- Para utilizar la
AMTrace onboot opción, ejecute el siguiente comando:
AMTrace.exe -b onboot -m 4GB
Este comando indica a la herramienta que inicie un rastreo en el siguiente arranque.
NOTAS:- El "de" GB distingue entre mayúsculas y minúsculas. En este ejemplo se limita el tamaño del registro a 4 GB. 10 MB es el valor mínimo aceptado y 2 GB es el predeterminado, si no se especifica.
- Esta opción no admite los modos de registro alternativos que se describen a continuación.
- Para utilizar
AMTrace con la opción ahora , ejecute el siguiente comando:
AMTrace.exe -b now -m 4GB
importante:AMTrace ahora utiliza la opción de sustitución de forma predeterminada.Este comando indica a la herramienta que inicie una traza inmediatamentey que limite el tamaño del registro a 4 GB porNota: El "de" GB distingue entre mayúsculas y minúsculas..etl archivo. Cuando el registro alcanza los 4 GB, se crea un nuevo registro. Cada registro se anexa con _ 1, _2, etc. hasta que se detiene el rastreo, el usuario cierra la sesión o apaga el sistema.
- Para utilizar
AMTrace sin la opción de sustitución:Elija un método de registro adecuado para el problema que desee registrar:
AMTrace.exe -b now -m 4GB -L stop
AMTrace.exe -b now -m 4GB -L circular
El modo detener crea una sesión de rastreo que detiene el registro una vez que se alcanza el límite de tamaño.
El modo circular crea una sesión de rastreo que registra en un único archivo. Una vez alcanzado el tamaño máximo, se sobrescriben los eventos más antiguos.
Nota: Los "de" L "y" GB distinguen entre mayúsculas y minúsculas.
- Detenga el rastreo y guarde el registro. Ejecute el comando siguiente:
AMTrace -e
- Cuando sea posible,
AMTrace intentará cambiar automáticamente el nombre de los archivos ETL resultantes para que incluyan la hora de inicio y la hora de detención del nombre de archivo. Por ejemplo,amtrace_20200704.010203-010305.etl indica que el registro empezó el 2020-07-04 (4 de julio de 2020) a las 1:02:03 y continúa hasta el 1:03:05.
SiAMTrace no puede cambiar el nombre del archivo cuando se detiene el registro, seguirá siendo posible cambiar el nombre del archivo manualmente con otroAMTrace comando:
AMTrace.exe --datestamp *.etl
Este comando acepta caracteres comodín (* o? ) para hacer referencia a varios caracteres o a un solo carácter, respectivamente. Este comando cambia el nombre del archivo o los archivos especificados para incluir las horas de inicio y fin en el nombre del archivo. No afecta a los archivos que ya tienen el datestamp agregado.
- Haga clic en Inicio, escriba
AMTrace en curso, ejecute el siguiente comando a fin de mostrar las trazas activas:
AMTrace -q
Para obtener una demostración de cómo recopilarAMTrace datos mediante este procedimiento, consulte el siguiente vídeo:
- Preparar
GFlags permite activar y desactivar las funciones de diagnóstico y solución de problemas de los sistemas internos avanzados. Puede ejecutarloGFlags desde una ventana de símbolo del sistema o utilizar su cuadro de diálogo de interfaz gráfica de usuario. Se suele utilizar para activar los indicadores que controlan, recuento y registran otras herramientas.- Mer recopila registros de eventos, detalles de versión de archivos, archivos, detalles de procesos y detalles de registro de los productos instalados en el equipo. Soporte técnico utiliza datos recopilados para resolver problemas. Para obtener más información, consulte el KB59385-cómo utilizar herramientas de Mer con nuestros productos.
- Process Monitor es una herramienta de Microsoft que supervisa y muestra toda la actividad del sistema de archivos en un sistema operativo Windows en tiempo real. Utilice la herramienta de administración de sistemas, análisis forenses y depuración de aplicaciones. Cómo utilizar Process Monitor:
- Prepare Process Monitor:
- Descargue Process Monitor desde la Página de descargas de Process Monitor.
- Extraiga
Procmon.exe en el escritorio.
- Ejecute Process Monitor:
- Cuando esté listo para iniciar Process Monitor, utilice la siguiente opción que requiera la sección correspondiente de recopilación de datos.
- Para iniciar inmediatamente Process Monitor:
- Ejecutar
Procmon.exe; se inicia automáticamente para capturar la información del proceso. - Para detener Process Monitor, pulse Ctrl+E o haga clic en Archivo y anule la selección Eventos de captura. Pulse Ctrl+E de nuevo para reanudar la recopilación de datos.
- Para guardar el registro, haga clic en archivo, Guardar... (seleccione todos los eventos y utilice el formato nativo de PML).
- Ejecutar
- Para activar la opción de registro de inicio de Process Monitor si así lo necesita la sección correspondiente de recopilación de datos, lleve a cabo los pasos siguientes:
- Abra la consola de Process Monitor.
- Haga clic en Opciones.
- Haga clic en Seleccionar registro de arranque.
- Haga clic en Aceptar en la ventana emergente. La próxima vez que se reinicie, se creará un registro de rastreo de arranque.
- Para guardar el registro, ejecute Process Monitor de nuevo y haga clic en Archivo, Guardar... (seleccione Todos los eventos y utilice el formato de PML nativo).
- Para iniciar inmediatamente Process Monitor:
- Cuando esté listo para iniciar Process Monitor, utilice la siguiente opción que requiera la sección correspondiente de recopilación de datos.
Para obtener una demostración de cómo recopilar datos de Process Monitor mediante este procedimiento, consulte el siguiente vídeo:
- Prepare Process Monitor:
ProcDump es una utilidad de línea de comandos que se utiliza para monitor una aplicación para obtener picos en la CPU. Genera volcados de bloqueo durante un pico que un administrador o desarrollador puede utilizar para determinar la causa del pico.PerfMon es una herramienta que los administradores pueden utilizar para examinar la forma en que los programas, que se ejecutan en sus equipos, afectan al rendimiento del equipo. Utilice la herramienta en tiempo real para analizar la forma en que los programas en ejecución afectan al rendimiento del sistema. También puede utilizar esta herramienta para recopilar información sobre el archivo de registro para el análisis de datos de rendimiento del sistema posteriormente.- PoolMon muestra datos que el sistema operativo recopila sobre las asignaciones de memoria de los grupos de kernels paginados y no paginados del sistema, así como los grupos de memoria utilizados para las sesiones de servicios de Terminal Server. PoolMon agrupa los datos por etiqueta de asignación de grupos. Microsoft Soporte técnico utiliza esa información para localizar las fugas de memoria en modo kernel.
- VMware Converter es una utilidad gratuita de VMware que ayuda a convertir Windows y sistemas físicos basados en Linux a VMware máquinas virtuales. También puede utilizarla para convertir formatos de imagen de terceros, como imágenes de copia de seguridad y otras máquinas virtuales, en VMware máquinas virtuales. Utilice esta herramienta para crear máquinas virtuales con el fin de proporcionar Soporte técnico para la solución de problemas.
- WinDbg es un depurador distribuido Microsoft para el sistema operativo Windows. Utilice esta herramienta para depurar aplicaciones en modo de usuario, controladores de dispositivos y el propio sistema operativo en modo de kernel. Dispone de una interfaz gráfica de usuario y es más eficiente que el depurador de Visual Studio.
- Windows registration Recorder (WPR) es una herramienta de grabación de rendimiento de Microsoft basada en el rastreo de eventos para Windows (ETW). Registra los eventos del sistema que puede analizar mediante Windows Performance Analyzer (WPA). Para utilizar WPR, siga estos pasos:
- Haga clic en Inicio, escriba
cmd.exe en la barra de búsqueda, haga cliccmd.exe con el botón derecho en la lista y haga clic en Ejecutar como administrador. - Escriba
wprui.exe y pulse Intro para iniciar WPR.- Para Windows SDK, consulte la Página de descargas de Windows SDK.
- Para obtener Windows Assessment and Deployment Kit, consulte la Página de descargas de Windows Assessment and Deployment Kit.
- Elija utilizar un escenario de rendimiento y otras opciones de configuración, tal y como se recomienda en la siguiente tabla:
Problemas de rendimientoEscenario de rendimientoNivel de detalleModo de registro
Perfiles que incluir Número de iteraciones Arranque o inicio de sesión lentoArranqueConsulte a continuaciónArchivoEvaluación del primer nivel, uso de la CPU, actividad de e/S de archivos, actividad de minifiltro e/S Al menos 1 Uso de la CPU elevadoGeneralConsulte a continuaciónArchivoEvaluación del primer nivel, uso de la CPU, actividad de e/S de archivos, actividad de minifiltro e/S N/D La aplicación es lenta o no respondeGeneral Consulte a continuación Archivo Evaluación del primer nivel, uso de la CPU, actividad de e/S de archivos, actividad de minifiltro e/S N/D
El uso de WPR impone una presión adicional en el sistema, lo cual puede modificar o enmascarar el problema original que desea investigar. Recopile dos conjuntos de datos con distintos niveles de detalle. Utilice la configuración Leve para mostrar el problema y la configuración Verbose para permitir un conjunto de datos adecuado para un análisis más profundo. Capture al menos 30 segundos.
Si es posible, recopile un registro de WPR sin el problema mientras realiza la misma tarea, con fines comparativos. Se requiere un conjunto de datos sin ENS presente para establecer el punto de referencia de rendimiento esperado.
Para obtener una demostración de cómo recopilar datos de WPR con este procedimiento, consulte el siguiente vídeo:
- Haga clic en Inicio, escriba
Pasos mínimos de recopilación de datos para problemas de Endpoint Security
Artículos técnicos ID:
KB86691
Última modificación: 2022-08-18 16:04:25 Etc/GMT
Última modificación: 2022-08-18 16:04:25 Etc/GMT
Entorno
Endpoint Security (ENS) Protección adaptable frente a amenazas (ATP) 10.x
Firewall 10.x
de ENS Plataforma 10.x
ENS Prevención de amenazas 10.x
de ENS Control web de ENS 10.x
Firewall 10.x
de ENS Plataforma 10.x
ENS Prevención de amenazas 10.x
de ENS Control web de ENS 10.x
Resumen
En este artículo se proporciona información básica sobre los pasos mínimos de recopilación de datos para solucionar problemas comunes de ens.
Asegúrese de que se recopilan todos los registros del mismo sistema que experimenta el problema y de que todos los registros se recopilan al mismo tiempo. Las marcas de tiempo de los datos de registro se pueden utilizar para solucionar el problema.
Los registros no coincidentes de distintos sistemas, o los registros recopilados en momentos distintos, no se pueden utilizar para solucionar problemas. Dichos registros podrían acarrear la necesidad de rerecopilar todos los registros de recopilación de datos mínimos.
En las siguientes secciones se describen los datos que se deben recopilar para cada tipo de problema:
Para obtener instrucciones, consulte KB91797-Active el registro de depuración para solucionar problemas de Endpoint Security.
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:
Nota: recopile un WebMER de la utilidad SSSO inmediatamente después de que se haya completado la guía.
Recopilación manual de datos:
Pasos de recopilación de datos para y monitor deAMTrace procesos:
Recopilación manual de datos:
Pasos de recopilación de datos para y monitor deAMTrace procesos:
Recopilación manual de datos:
Pasos de recopilación de datos paraAMTrace :
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:
Nota: recopile un WebMER de la utilidad SSSO inmediatamente después de que se haya completado la guía.
Recopilación manual de datos:
Pasos de recopilación de datos para un bloqueo o bloqueo del sistema:
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:
Recopilación manual de datos:
Pasos de recopilación de datos para una aplicación bloqueada o interbloqueo:
Lleve a cabo los pasos que se indican en esta sección si hay una fuga de memoria kernel sospechosa relacionada con uno de nuestros procesos.
Siga los pasos que se indican en esta sección si los síntomas implican Device Guard o Credential Guard.
Lleve a cabo los pasos de recopilación de datos en esta sección si uno o varios componentes de ENS no se instalan.
Nota: En la mayoría de las situaciones, es ideal para que la recopilación de datos de instalación de ENS se realice mediante la ruta de instalación local. Esta configuración aísla cualquier fallo potencial en el propio instalador de ENS, así como la ejecución de tareas o los errores de red. Si la recopilación de datos se debe realizar a partir de los despliegues basados en ePO, trabaje con Soporte técnico para asegurarse de que se tenga en cuenta esta configuración cuando se revisen los datos.
Guía de SSSO (instalación local)
Guía de SSSO (despliegue de ePO)
Recopilación manual de datos:
Nota: Asegúrese de recopilar los datos durante una instalación local de ens. Solucione los problemas de cada módulo como un producto independiente.
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:
Recopilación manual de datos:
Siga los pasos que se indican en esta sección si los síntomas están relacionados con TIE:
Siga los pasos que se indican en KB90662-solucione el tráfico de la aplicación/red al utilizar Firewall de ENS.
Volver al principio
Asegúrese de que se recopilan todos los registros del mismo sistema que experimenta el problema y de que todos los registros se recopilan al mismo tiempo. Las marcas de tiempo de los datos de registro se pueden utilizar para solucionar el problema.
Los registros no coincidentes de distintos sistemas, o los registros recopilados en momentos distintos, no se pueden utilizar para solucionar problemas. Dichos registros podrían acarrear la necesidad de rerecopilar todos los registros de recopilación de datos mínimos.
Importante: Se necesitan los siguientes archivos para Soporte técnico:
- Los requisitos de escalación mínima (mer) con registro de depuración para ENS son necesarios para todos los problemas. Para obtener información sobre registro de depuración, consulte Verificar si el registro de depuración ENS está activado. Para obtener información sobre MER archivos, consulte el KB59385-cómo utilizar herramientas de Mer con nuestros productos. El registro de depuración debe estar activado para que se genere el Real Protect
RC.log . - Compatibilidad con autoservicio Orchestrator (SSSO):
SSSO es una herramienta de recopilación de datos que incluye todas las herramientas independientes que utiliza Soporte técnico en un único Orchestrator. La herramienta invoca la herramienta adecuada en el momento adecuado y facilita el esfuerzo de recopilación de datos. Esta herramienta captura el contexto en el que se produce la recopilación de datos, lo que ayuda a informar de los datos de telemetría adecuados. Para obtener más información, véase KB92519-herramienta de recopilación de datos de la compatibilidad con autoservicio Orchestrator. Utilice la herramienta SSSO en todos los casos de recopilación de datos aplicables en lugar de optar por los pasos de recopilación manual para garantizar la coherencia de los datos.
- Arranque o Inicio lento
- Inicio de sesión lento
- Inicio lento de la aplicación (reproducible o aleatorio)
- Rendimiento lento de la aplicación (reproducible o aleatorio)
- Rendimiento del sistema lento (reproducible o aleatorio)
- Bloqueo o bloqueo del sistema
- Comprobación de errores del sistema (pantalla azul)
- Bloqueo o bloqueo de aplicación (no responde y no recuperado)
- Bloqueo de la aplicación
- Fuga de memoria (modo de usuario o kernel)
- Problemas relacionados con Device Guard o Credential Guard
- Uno o varios componentes de ENS no se pueden instalar
- El estado de ENS es: Plataforma de Endpoint Security no se está ejecutando.
- Inyección de DLL de terceros
- Problemas relacionados con Threat Intelligence Exchange (TIE)
- Problemas relacionados con el Firewall de ENS
- Arranque o Inicio lento
- Inicio de sesión lento
Nota: recopile un WebMER de la utilidad SSSO inmediatamente después de que se haya completado la guía.
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | Esta guía configura Process Monitor y Al reiniciar, |
Recopilación manual de datos:
Pasos de recopilación de datos para y monitor de
- Empiece
AMTrace por laonboot opción. - Inicie Process Monitor y active la opción de registro al arranque.
- Reinicie el sistema.
- Reproduzca el problema.
- Inicie sesión en el sistema.
- Detenga
AMTrace y guarde el registro. - Abra Process Monitor y guarde el registro de arranque.
- Recopile un MER mediante la utilidad SSSO.
- Ejecute WPR.
- Configure el escenario de rendimiento de Arranque.
- Inicie la captura.
- Reinicie el sistema.
- Reproduzca el problema.
- Inicie sesión en el sistema.
- Permita que WPR: Boot Trace finalice.
- Capture los archivos ETL guardados.
- Recopile un MER mediante la utilidad SSSO.
Siga los pasos que se indican en esta sección si los síntomas son reproducibles y son cualquiera de los siguientes:
- Inicio lento de la aplicación
- Rendimiento lento de la aplicación
- Rendimiento lento del sistema
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | En esta guía se requiere que proporcione el nombre del proceso de destino y un umbral de CPU para activar la recopilación de datos. |
Recopilación manual de datos:
Pasos de recopilación de datos para y monitor de
- Inicie Process Monitor.
- Empiece
AMTrace con la opción ahora . - Reproduzca el problema.
- Detenga
AMTrace y guarde el registro. - Detenga Process Monitor y guarde el registro.
- Recopile un MER mediante la utilidad SSSO.
- Ejecute WPR.
- Configure el escenario de rendimiento General .
- Inicie el rastreo.
- Reproduzca el problema.
- Detenga el rastreo.
- Capture el archivo ETL guardado.
- Recopile un MER mediante la utilidad SSSO.
Siga los pasos que se indican en esta sección si los síntomas se producen de forma aleatoria y son cualquiera de los siguientes:
- Inicio lento de la aplicación
- Rendimiento lento de la aplicación
- Rendimiento lento del sistema
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | En esta guía se requiere que proporcione el nombre del proceso de destino y un umbral de CPU para activar la recopilación de datos. |
Recopilación manual de datos:
Pasos de recopilación de datos para
- Empiece
AMTrace con la opción de rollover . - Cuando se produzca el problema, detenga
AMTrace y guarde el registro. - Recopile un MER mediante la utilidad SSSO.
- Ejecute WPR.
- Configure el escenario de rendimiento General con Memory como modo de registro.
- Inicie el rastreo.
- Reproduzca el problema.
- Guarde la traza lo antes posible después de reproducir el problema.
- Capture el archivo ETL guardado.
- Recopile un MER mediante la utilidad SSSO.
- Bloqueo o bloqueo del sistema
- Comprobación de errores del sistema (pantalla azul)
Nota: recopile un WebMER de la utilidad SSSO inmediatamente después de que se haya completado la guía.
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | Debe configurar el nombre del proceso de "" variable para esta guía (por ejemplo, |
Recopilación manual de datos:
Pasos de recopilación de datos para un bloqueo o bloqueo del sistema:
-
Configure el sistema para crear un completo
memory.dmp . Véase KB56023-creación de un volcado de memoria para su análisis por soporte técnico. - Configure el sistema para permitir un bloqueo del teclado. Consulte este Microsoft artículo para forzar el bloqueo del teclado.
- Cree el archivo de volcado cuando se produzca el problema. Por lo general, cuanto más tiempo se pueda esperar antes de generar el archivo de volcado, más fácil será identificar el estado de bloqueo en el volcado.
- Si el sistema se encuentra en un estado accesible, recopile un MER mediante la utilidad SSSO.
- Configure el sistema para crear un completo
memory.dmp . Véase KB56023-creación de un volcado de memoria para su análisis por soporte técnico. - Recopile el archivo de volcado completo cuando se produzca la comprobación de errores del sistema (pantalla azul).
- Si el sistema se encuentra en un estado accesible, recopile un MER mediante la utilidad SSSO.
- Bloqueo o bloqueo de aplicación (no responde y no recuperado)
- Bloqueo de la aplicación
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | Debe proporcionar el proceso de destino, o el proceso que experimenta los bloqueos, para ejecutar esta guía. Si necesita ayuda para determinar el nombre del proceso específico, póngase en contacto con Soporte técnico. |
Recopilación manual de datos:
Pasos de recopilación de datos para una aplicación bloqueada o interbloqueo:
- Descargue ProcDump desde la Página de descargas de ProcDump.
- Extraiga ProcDump al escritorio.
- Abra un símbolo del sistema administrativo y cambie el directorio a
C:\Users\username\Desktop\Procdump . - Ejecute el siguiente comando:
procdump -ma - Recopile el archivo de volcado creado, que se encuentra en la
Procdump carpeta. - Recopile un MER mediante la utilidad SSSO.
- Si el proceso de bloqueo es un proceso de ENS, deshabilite la autoprotección de ENS.
- Descargue
ProcDump desde la Página de descargas de ProcDump. - Extraiga
ProcDump en el escritorio. - Abra un símbolo del sistema administrativo y cambie el directorio a
C:\Users\username\Desktop\Procdump . - Ejecute el siguiente comando:
procdump -ma -e ProcDump a generar un volcado la próxima vez que se bloquee el proceso. - Espere a que el proceso se bloquee de nuevo.
- Recopile el archivo de volcado creado, que se encuentra en la
Procdump carpeta. - Vuelva a activar autoprotección de ENS.
- Recopile un MER mediante la utilidad SSSO.
Siga los pasos que se indican en esta sección si los síntomas implican una fuga de memoria en el modo de usuario o de la aplicación. Recopile tres (3) volcados de bloqueo del modo de usuario o de la aplicación para su análisis.
Nota: La recopilación de datos de fuga de memoria debe realizarse a lo largo del tiempo, de la misma forma que la fuga de memoria exhibe su comportamiento en el tiempo. Para obtener los mejores resultados de recopilación de datos, se recomienda reiniciar el sistema y, a continuación, iniciar la siguiente recopilación de datos. Esta secuencia permite que el conjunto de datos muestre la existencia de una fuga de memoria con el tiempo, a medida que se manifiesta en el sistema.
Guía de SSSO (fuga de modo de usuario)
Recopilación manual de datos (fuga de modo de usuario):
Nota: La recopilación de datos de fuga de memoria debe realizarse a lo largo del tiempo, de la misma forma que la fuga de memoria exhibe su comportamiento en el tiempo. Para obtener los mejores resultados de recopilación de datos, se recomienda reiniciar el sistema y, a continuación, iniciar la siguiente recopilación de datos. Esta secuencia permite que el conjunto de datos muestre la existencia de una fuga de memoria con el tiempo, a medida que se manifiesta en el sistema.
Guía de SSSO (fuga de modo de usuario)
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | Esta guía requiere que proporcione un nombre de proceso de destino para rastrear su superficie de memoria a lo largo del tiempo. Para ejecutar esta guía correctamente, se debe desactivar la autoprotección de ENS durante las pruebas. |
Recopilación manual de datos (fuga de modo de usuario):
- Descargue ProcDump desde la Página de descargas de ProcDump.
- Extraiga ProcDump al escritorio.
- Identifique el nombre del proceso que está perdiendo memoria.
- Active un rastreo de pila en el proceso que tiene fugas. Consulte KB91252-cómo activar un rastreo de pila con la utilidad GFlags .exe.
- Espere a que el proceso sospechoso muestre un uso elevado de la memoria.
- Abra un símbolo del sistema administrativo y cambie el directorio a
C:\Users\username\Desktop\Procdump . - Ejecute el siguiente comando:
procdump -ma - Recopile el archivo de volcado creado, que se encuentra en la
Procdump carpeta. - Repita los pasos y recopile tres (3) volcados de bloqueo del modo de usuario o de la aplicación para su análisis.
- Desactive el rastreo de la pila en el proceso una vez recopilados todos los archivos de volcado de bloqueo. Consulte KB91252-cómo activar un rastreo de pila con la utilidad GFlags .exe.
Lleve a cabo los pasos que se indican en esta sección si hay una fuga de memoria kernel sospechosa relacionada con uno de nuestros procesos.
- Familiarícese con y
PerfMon conPoolMon el uso y la configuración descritos en KB74951-cómo solucionar problemas de uso elevado de memoria en los sistemas. - Configure el sistema para crear un completo
memory.dmp . Véase KB56023-creación de un volcado de memoria para su análisis por soporte técnico. - Configure el sistema para permitir un bloqueo del teclado. Consulte este Microsoft artículo para forzar el bloqueo del teclado.
- Reinicie el sistema notificado para mostrar una fuga de memoria.
- Utilice la configuración de
PoolMon yPerfMon se describe en KB74951-cómo solucionar problemas de uso elevado de memoria en los sistemas. Inicie laPoolMon recopilación de datos de yPerfMon . - Espere a que el sistema muestre un uso elevado de la memoria.
- Detenga
PoolMon yPerfMon , a continuación, recopile los datos resultantes. - Fuerce al sistema a realizar una comprobación de errores mientras el uso elevado de la memoria sigue apareciendo.
- Recopile el volcado de memoria.
- Recopile los datos de ENS adecuados para el síntoma experimentado, tal y como se describe en este artículo.
- Además, puede recopilar un rastreo de ETW mediante el siguiente comando, ejecutado en un símbolo del sistema administrativo:
@echo off
ECHO These commands enable tracing:
@echo on
logman create trace "base_DeviceGuard" -ow -o c:base_DeviceGuard.etl -p "Microsoft-Windows-DeviceGuard" 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
@echo off
echo
ECHO Reproduce your issue and enter any key to stop tracing
@echo on
pause
logman stop "base_DeviceGuard" -ets
@echo off
echo Tracing has been captured and saved successfully at c:base_DeviceGuard.etl
pause
Nota: En la mayoría de las situaciones, es ideal para que la recopilación de datos de instalación de ENS se realice mediante la ruta de instalación local. Esta configuración aísla cualquier fallo potencial en el propio instalador de ENS, así como la ejecución de tareas o los errores de red. Si la recopilación de datos se debe realizar a partir de los despliegues basados en ePO, trabaje con Soporte técnico para asegurarse de que se tenga en cuenta esta configuración cuando se revisen los datos.
Guía de SSSO (instalación local)
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | Esta guía inspecciona el proceso de generación de |
Guía de SSSO (despliegue de ePO)
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | En esta guía se inspecciona el proceso de generación de |
Recopilación manual de datos:
Nota: Asegúrese de recopilar los datos durante una instalación local de ens. Solucione los problemas de cada módulo como un producto independiente.
- Descargue y descomprima el paquete independiente desde el sitio web de descargas de productos.
- Inicie Process Monitor.
- Empiece
AMTrace con la opción de rollover . - Recree el problema. Ejecute la instalación local (
setupEP.exe ) como administrador y seleccione el único módulo para el que está solucionando problemas. - Detenga
AMTrace y guarde el registro. - Detenga Process Monitor y guarde el registro.
- Recopile un archivo de MER (ejecutar como administrador) mediante la utilidad SSSO.
- El estado de ENS es "plataforma de Endpoint Security no se está ejecutando."
- Inyección de DLL de terceros
Guion de ventas | ||||
Requisitos |
|
|||
Herramientas SSSO ejecutadas |
|
|||
NOTAS: | Establezca los parámetros de nombre de proceso " |
Recopilación manual de datos:
- Inicie Process Monitor.
- Empiece
AMTrace con la opción ahora . - Abra y cierre la consola de ENS para volver a crear el problema.
- Detenga
AMTrace y guarde el registro. - Detenga Process Monitor y guarde el registro.
- Recopile un archivo MER (ejecutar como administrador).
- Exporte y recopile una copia de la directiva de Opciones de Ajustes generales de Endpoint Security asignada.
- Recopile los datos adecuados en función de los síntomas descritos en este artículo.
- Además, recopile el registro de servidor de TIE en la servidor de TIE appliance en
/var/McAfee/tieserver/logs/tieserver.log .
Volver al principio
Información relacionada
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
- Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Archivo adjunto
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
- Diagnostic Data Collection
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Troubleshooting
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: