この記事を使用して、パフォーマンスを改善し、Endpoint Security のインストール後に発生する可能性のある問題を解決してください。パフォーマンスの問題についてより多くの情報が収集されると、この記事は更新されます。そのため、パフォーマンスに関する問題が発生した場合は、まずこちらを確認してください。
この記事が更新されたときに電子メール通知を受信するには、 契約を更新 ページの右側にあります。購読するには、ログインする必要があります。
この記事のトピック:
McShield.exe
Endpoint Security の
McShield.exe プロセスは、ファイルのスキャンを実行するプロセスです。アクセス時にファイルがスキャンされる場合、それはオンアクセス スキャンです。ファイルが指定どおりにスキャンされる場合、それがオンデマンド スキャンです。このプロセスとその CPU 消費だけを見ると、どの機能がパフォーマンスの症状に寄与しているかを混同しやすくなります。
オンデマンド スキャナーが
McShield.exe のパフォーマンス シンプトムの一因となっているかどうかを判断するには、
OnDemandScan_Activity.log (at
%ProgramData%\McAfee\Endpoint Security\Logs) を調べます。症状が
OnDemandScan_Activity.log のアクティビティと一致する場合は、オンデマンド スキャナーが関与している可能性があります。そうでない場合は、オンアクセス スキャナーが関係している可能性があります。次に、以下のセクションで、オンアクセス スキャナー、オンデマンド スキャナー、またはその両方のパフォーマンスの改善についてフォローアップします。
トピックに戻る
オンアクセス スキャナー
オンアクセス スキャナーはリアルタイム スキャナーであり、他の実行中のプロセスがディスク上のファイルにアクセスする場合にのみ CPU を使用します。読み取りスキャンはファイルが読み取られる
前に発生し、書き込みスキャンはファイルがディスクに書き込まれた
後にに発生します。CPU 使用率は、読み取りまたは書き込みで発生しているファイル アクティビティの量に比例して発生します。
オンアクセス スキャナーが過剰な CPU を使用していると思われる場合は、テクニカル サポートに連絡して、動作をさらに調査してください。読み取りスキャンまたは書き込みスキャンのいずれであっても、いくつかの方法でオンアクセス スキャナーのパフォーマンスを向上させることができます。
トピックに戻る
プロファイル スキャンを使用してパフォーマンスを向上させる
バックグラウンド:
オンアクセス スキャナーには、
標準、
高リスク、
低リスクという名前の 3 つのスキャン プロファイルが装備されています。デフォルトでは、標準プロファイルのみが使用されます。これは、標準の設定がすべてのプロセスに適用されることを意味します。つまり、プロセスがディスク上のファイルにアクセスする場合、スキャンを実行するかどうかを決定するために標準構成が使用されます。除外は、スキャン プロファイルごとに定義されます。
追加のスキャン プロファイルを有効にするには、
プロセス設定で、
高リスクのプロセスと低リスクのプロセスで設定を変える を選択します。この選択により、プロファイルごとに除外を定義するため、スキャンするものとスキャンしないものをより柔軟に制御できます。すべてのプロセスではなく、特定のプロセスのみに除外を適用する場合は、除外を高リスクまたは低リスクのプロファイルに追加し、そのプロファイルに対して定義するプロセスを示します。
例: MyApp.exe が、数万の一時ファイルを
C:\Windows\Temp フォルダーに書き込む唯一のプロセスであるとします。また、
MyApp.exe の動作を知っているため、これらのファイルをスキャンする必要がないことはわかっていますが、すべてのプロセスで
\Windows\Temp を除外することは望ましくありません。
[高リスク プロセスと低リスク プロセスに異なる設定を構成する] オプションを使用するには、
**\Windows\Temp\* を低リスク プロファイルのパターン除外として定義します。また、低リスク プロファイルを使用するプロセスとして
MyApp.exe を定義します。これで、
\Windows\Temp にアクセスする他のすべてのプロセスのアクティビティがスキャンされます。ただし、
MyApp.exe のアクティビティは除外対象の低リスク プロファイルにあるため、スキャンから除外されます。
この例の方法は、さらに一歩進めることができます。このステップでは、プロファイル スキャンを使用してパフォーマンスを向上させることができます。単に除外するのではなく、低リスク プロファイルを使用するように定義したプロセスについては、
ディスクからの読み取りまたはディスクへの書き込み時にスキャンしない を設定できます。この設定は、
MyApp.exe およびそのプロファイル内のその他のプロセスによって生成されたファイル アクティビティのスキャンを回避し、スキャン ワークフローのかなり早い段階で到達する決定ポイントです。この事実が、この方法が除外と比較して大幅なパフォーマンスの向上をもたらす理由です。
必要に応じて、SYSTEM プロセスを低リスク プロセスとして定義できます。この定義は、ディスク上のファイルの読み取り/書き込みが別のシステムから発生している場合に適用されます。
トピックに戻る
オンデマンド スキャナー
オンデマンド スキャナーは、Endpoint Security コンソールから [今すぐスキャン] をクリックした場合、またはスケジュールされたタスク (Endpoint Security コンソールまたは ePolicy Orchestrator タスク/ポリシーを介して設定) としてのみ実行されます。オンデマンド スキャナーは、これらのメソッドを介して呼び出された場合にのみ CPU を使用します。オンデマンド スキャナーは、実行時に使用可能な CPU の 90% 以上を使用できます。
オンデマンド スキャンに対するシステムの影響を軽減するように構成できるベスト プラクティスがいくつかあります。ただし、リソース使用量の減少は、スキャン時間の増加という代償を伴うと予想されます。
システム使用率 のオプションを設定できます。このオプションは、オペレーティング システムが必要に応じてシステム リソースを割り当てる場所を決定するときに、オンデマンド スキャン プロセスの優先順位を決定する Windows Priority Control に関連しています。基本的なレベルでは、Windows Priority Control の下でプロセスに割り当てられる優先度が高いほど、同じプロセスにアクセスしようとする優先度の低いプロセスと比較して、より多くのリソースを要求できます。詳細については、
KB55145 - オンデマンド スキャンのパフォーマンス設定について を参照してください。オンデマンド スキャンを
標準以下で実行すると、スキャンが
通常の優先度で実行されているプロセスから CPU 時間を奪われるのを防ぐことができます。
低に設定すると、オンデマンド スキャンは、より高い優先度で実行されているプロセスから CPU 時間を奪うことはありません。「
低 」と「
標準以下 」の両方が効果的なオプションであり、
標準以下 は、スキャンにかかる時間の増加と比較して、リソース消費のバランスが最も効率的です。
システム使用率に代わる方法は、
最大 CPU 使用率を制限するオプションを使用することです。このオプションは、スキャンするシステムが Endpoint Security 10.7.x を実行していて、スキャン設定で
いつでもスキャン オプションが選択されている場合にのみ使用できます。このオプションは、オペレーティング システムのシステム スケジュール ロジックの依存関係を、Endpoint Security オンデマンド スキャン ポリシー自体内のプロセス CPU 消費しきい値に置き換えます。しきい値に達すると、Endpoint Security は、構成されたパラメーターを超えないように、CPU 時間の使用を調整するアクションを実行します。たとえば、[
制限の最大 CPU 使用率] が 25% の値に設定されている場合、Endpoint Security は、アーカイブ内のスキャンなどの重要なアクションを入力する場合を除いて、スキャンを処理する
McShield.exe プロセスをその値未満に維持しようとします。このオプションはスキャン パフォーマンスに非常に効果的ですが、スキャン時間に直接影響し、オンデマンド スキャンに除外が存在する場合は効果がありません。
Endpoint Security には、
システムがアイドル状態の場合のみスキャン設定を使用して、システムがアイドル状態にあると判断された場合にのみスキャンを実行するように設定するオプションも含まれています。このオプションは、エンド ユーザーがシステムでアクティブな場合に実行中のスキャンを完全に一時停止します。システムでのユーザー アクティビティが停止すると、スキャンは継続され、利用可能なリソースの最大量を使用しようとします。このオプションは、マウス/キーボード入力、ディスク I/O など、複数の異なるパラメーターを考慮して、システムがアイドル状態かどうかを判断します。このオプションは、エンド ユーザー システムで非常に効果的です。ただし、サーバー システムをスキャンするときに選択することはお勧めしません。
スキャンの場所とスキャン項目に関してより多くのアクションを実行して、スキャンのパフォーマンスを向上させることができます。圧縮されたアーカイブ ファイルのスキャンは、アーカイブを抽出する操作によってオンアクセス スキャンも呼び出されるため、重複する可能性があります。ユーザーのダウンロード ディレクトリ、Windows フォルダー、一時フォルダーなどの一般的な場所に対して小規模なクイック スキャンを毎日実行することで、セキュリティ体制を強化し、スキャン キャッシュを構築して重複スキャンを防ぐことができます。ENS 10.7.0 June 2021 Update では、トラスト スキャンとオンデマンド スキャン キャッシュのさらなる機能強化が行われ、Endpoint Security の最新バージョンを実行すると、最新の製品機能強化と改善が確実に使用されます。
トピックに戻る
除外は、パフォーマンスを向上させる最も効率的な方法ではありません。
ファイルがアクセスされるとき、スキャン ロジックまたはスキャン ワークフローには複数の決定ポイントがあります。ファイルとその内容のスキャンを回避する決定が早ければ早いほど、パフォーマンスが向上します。除外はスキャン ワークフローの最後に処理されるため、パフォーマンスを向上させるには最も効果的ではありません。
ファイルを除外するためのオプションは柔軟であり、任意の数を構成できるため、除外はパフォーマンスを向上させるための簡単な手段です。ただし、多くの除外または除外を必要とする多数の一意のファイルがある場合、スキャン ワークフローのタイミングと除外を処理する労力によって、パフォーマンスが低下する可能性があります。ベスト プラクティスは、次の場合にスキャン パフォーマンスを向上させる手段として除外を使用することです。
- すばやく簡単な解決策が必要な場合
- 除外の数がまだ多くなっていない
- 除外を必要とする一意のファイルの数が過剰になっていない
注: フォルダーを除外することを検討している場合、特にそのサブフォルダーも除外する場合は、プロファイル スキャンを除外と共に使用して、セキュリティを大幅に向上させることをお勧めします。プロファイル スキャンは上記で説明されています。このオプションは、フォルダー全体の除外を作成するよりも優れています。
トピックに戻る
GetClean ツールによるファイルの許可
GetClean という名前の McAfee Enterprise ツール (
製品ダウンロード サイト から入手できる
Getclean 製品ガイド を参照) を使用して、スキャンのパフォーマンスを向上させます。このツールは、サンプルまたはファイル情報のいずれかを McAfee Enterprise に提供し、Global Threat Intelligence (GTI) Cloud を更新するために使用されます。クラウドが更新された後、スキャンが実行されて GTI ルックアップが実行されると、多くの場合、スキャンが完了するよりも早く「既知の正常」の応答が返されます。この事実により、ファイルをさらに検査する必要がなくなります。
GetClean は、デジタル署名されたファイルの証明書情報を取得する場合にも使用します。このデータを受け取った McAfee Enterprise チームは、提出されたデータを信頼 DAT に含める可能性があるかどうかを定期的に確認します (Endpoint Security でのみ使用されます)。DAT を介してデジタル署名を Trusted として指定すると、世界中のすべてのシステムがこの情報を利用できるようになります。これらは、スキャナに組み込まれているスキャン回避テクノロジの一部として利用され、以下で説明されています。
トピックに戻る
パフォーマンスを向上させる最も効率的な方法としてスキャン回避を使用する
スキャナーのこの機能は、Trust フレームワークを利用して、スキャンが不要な場合を認識できるようにします。このメカニズムにより、パフォーマンスが最大に向上します。この機能は、スキャン ワークフローの早い段階でスキャンが必要かどうかを示します。キャッシュされた Trusted + Clean の結果は DAT の更新後も存続しますが、Clean の結果だけでは存続しないため、この機能には長期的な関連性もあります。GetClean ユーティリティを使用すると、スキャン回避に適用されるコンテンツの改善につながります。
トピックに戻る
適応型脅威対策 (ATP)
ATP ユーザーは、信頼できるベンダーと証明書が代理プロセスとファイル オブジェクトにデジタル署名すると、パフォーマンスを向上させることができます。信頼できるオブジェクトは、ATP からのより多くの意思決定を回避します。たとえば、クラウドからのレピュテーション ルックアップを回避し、オブジェクトに対するスキャナーの信頼性をチェックします。
トピックに戻る