- Haga clic en Inicio, escriba
cmd.exe en la barra de búsqueda, haga clic con el botón derecho encmd.exe la lista y seleccione Ejecutar como administrador. - Escriba
wprui.exe y pulse Intro para iniciar WPR.
Nota: si el programa no se ejecuta o no se encuentra, primero debe instalarlo. WPR forma parte del kit de herramientas de Windows performance. Está disponible en el SDK de Windows o en el kit de despliegue y evaluación de Windows:- Para obtener Windows SDK, consulte la Página Web de SDK.
- Para Windows Assessment and Deployment Kit, consulte la Página Web de WPR.
- Elija utilizar un Escenario de rendimiento y otras opciones de configuración, tal y como se recomienda en la siguiente tabla:
Problemas de rendimiento Rendimiento
CasoRegistro
de ModoPerfiles que incluir Número
Desde
los IteracionesArranque o inicio de sesión lento Arranque Archivo Evaluación de primer nivel, uso
de la CPU Actividad de E/S de archivos, actividad de E/S de minifiltroAl menos 1 Uso de la CPU elevadoGeneralArchivoEvaluación de primer nivel, uso
de la CPU Actividad de E/S de archivos, actividad de E/S de minifiltroN/D La aplicación es lenta o no responde General Archivo Evaluación de primer nivel, uso
de la CPU Actividad de E/S de archivos, actividad de E/S de minifiltroN/D
Los datos de WPR se recopilan para permitir un análisis más profundo del problema. La opción de actividad de E/S de minifiltro es una de las más importantes y se encuentra en la sección "de análisis de escenario".
El uso de WPR impone una presión adicional en el sistema, lo cual puede modificar o enmascarar el problema original que desea investigar. Recopile dos conjuntos de datos con distintos niveles de detalle. Utilice la configuración Leve para mostrar el problema y la configuración Verbose para permitir un conjunto de datos adecuado para un análisis más profundo. Capture al menos 30 segundos.
Si es posible, recopile un registro de WPR sin el problema mientras realiza la misma tarea, con fines comparativos. Se requiere un conjunto de datos sin ENS presente para establecer el punto de referencia de rendimiento esperado.
Pasos mínimos de recopilación de datos para la solución de problemas de MOVE antivirus
Artículos técnicos ID:
KB91398
Última modificación: 2023-03-03 22:21:08 Etc/GMT
Última modificación: 2023-03-03 22:21:08 Etc/GMT
Entorno
McAfee MOVE AntiVirus Agentless (MOVE AV Agentless) 4.x
McAfee MOVE AntiVirus Multi-Platform (MOVE AV Multi-Platform) 4.x
McAfee MOVE AntiVirus Multi-Platform (MOVE AV Multi-Platform) 4.x
Resumen
En este artículo se proporciona información básica sobre los pasos mínimos de recopilación de datos para solucionar problemas comunes de MOVE AV.
Asegúrese de que todos los registros recopilados sean del mismo sistema que experimente el problema. Debe recopilar todos los registros al mismo tiempo. Utilice las marcas de tiempo de los datos de registro para solucionar el problema.
No puede utilizar registros no coincidentes de distintos sistemas o registros recopilados en momentos distintos para la solución de problemas. Esto podría acarrear la necesidad de rerecopilar todos los registros de recopilación de datos mínimos.
Importante: Se requieren los siguientes archivos para Soporte técnico:
Haga clic para expandir la sección que desee ver:
Active el registro de depuración de Move antivirus:
A) el registro de depuración para Move AV agentless:
B) registro de depuración para MOVE AV Multi-Platform:
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:AMTrace procesos:
Siga los pasos que se indican en esta sección si los síntomas que se indican a continuación son reproducibles:AMTrace procesos:
Siga los pasos que se indican en esta sección si los síntomas se producen de forma aleatoria y son cualquiera de los siguientes:
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:FLTMC la salida:
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:
Siga los pasos que se indican en esta sección si los síntomas implican una fuga de memoria en el modo de usuario o de la aplicación.
Recopilar tres volcados de bloqueo de aplicaciones o de modo de usuario para su análisis.
Siga los pasos que se indican en esta sección si se produce una fuga de memoria kernel debido a un proceso de McAfee Enterprise:
Siga los pasos que se indican en esta sección si los síntomas implican Device Guard o Credential Guard:
Lleve a cabo los pasos de recopilación de datos en esta sección si uno o varios componentes no se instalan.
Nota: Asegúrese de recopilar los datos durante la instalación de MOVE AV.
Siga los pasos que se indican en esta sección si los síntomas están relacionados con TIE:
Asegúrese de que todos los registros recopilados sean del mismo sistema que experimente el problema. Debe recopilar todos los registros al mismo tiempo. Utilice las marcas de tiempo de los datos de registro para solucionar el problema.
No puede utilizar registros no coincidentes de distintos sistemas o registros recopilados en momentos distintos para la solución de problemas. Esto podría acarrear la necesidad de rerecopilar todos los registros de recopilación de datos mínimos.
Importante: Se requieren los siguientes archivos para Soporte técnico:
- Los requisitos de escalación mínima (MER) con registro de depuración para MOVE AV son necesarios para todos los problemas.
- Para obtener información sobre el registro de depuración, consulte verificar si Move registro de depuración de AV está activado.
- Para obtener información sobre cómo descargar los archivos MER, consulte el KB59385-cómo utilizar herramientas de Mer con productos de McAfee compatibles.
Haga clic para expandir la sección que desee ver:
- Prepare Process Monitor:
- Descargue Process Monitor.
- Extraiga Procmon .exe en el escritorio.
- Ejecute Process Monitor:
Cuando esté listo para iniciar Process Monitor, utilice la siguiente opción que requiera la sección correspondiente de recopilación de datos.- Para activar la opción de registro de arranque del monitor de procesos, si así lo requiere la sección correspondiente de recopilación de datos:
- Abra la consola de Process Monitor .
- Haga clic en Opciones.
- Haga clic en Seleccionar registro de arranque.
- Haga clic en Aceptar en la ventana emergente. La próxima vez que se reinicie, se creará un registro de rastreo de arranque.
- Para guardar el registro, ejecute Process Monitor de nuevo y haga clic en archivo, Guardar (seleccione todos los eventos y utilice el formato nativo de PML).
- Para iniciar inmediatamente Process Monitor:
- Ejecutar
Procmon.exe . Empieza a capturar automáticamente la información del proceso. - Para detener Process Monitor, pulse Ctrl + E o haga clic en archivo y anule la selección de eventos de captura. Vuelva a presionar Ctrl + E para reanudar la recopilación de datos.
- Para guardar el registro, haga clic en archivo, Guardar (seleccione todos los eventos y utilice el formato nativo de PML).
- Ejecutar
- Para activar la opción de registro de arranque del monitor de procesos, si así lo requiere la sección correspondiente de recopilación de datos:
Active el registro de depuración de Move antivirus:
A) el registro de depuración para Move AV agentless:
- Inicie sesión en la consola de SVA Agentless MOVE:
Inicio de sesión:svaadmin
Contraseña
- Utilice los siguientes comandos para activar registro de nivel de depuración:
sudo /opt/McAfee/move/bin/chloglevel DEBUG DEBUG DEBUG
[sudo] password for svaadmin:
Nota: este comando requiere derechos sudo y los servicios de Move se reinician cuando se ejecuta.
- Replicar el problema.
- Para desactivar el registro de nivel de depuración, escriba lo siguiente en la línea de comandos y pulse Intro:
sudo /opt/McAfee/move/bin/chloglevel WARN WARN WARN
[sudo] password for svaadmin :
B) registro de depuración para MOVE AV Multi-Platform:
- En el símbolo del sistema, escriba el siguiente comando y pulse Intro:
mvadm loglevel enable <module_name> <log level types>
Ejemplos:
mvadm loglevel enable SCAN ALL mvadm loglevel enable ALL ALL
- Para desactivar el registro de depuración, escriba lo siguiente en la línea de comandos y pulse Intro:
mvadm loglevel disable <module_name> <log level>
Ejemplos:
mvadm loglevel disable SCAN ALL mvadm loglevel disable ALL ALL
Nota: Este comando borra los tipos de registro especificados o todos los tipos para módulo MODULE_NAME o para todos los módulos.
- Para volver a establecer el nivel de registro de depuración en la configuración predeterminada, escriba lo siguiente en la línea de comandos y pulse Intro:
mvadm loglevel disable ALL INFO DETAIL FNENTRY FNEXIT
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:
- Arranque o Inicio lento
- Inicio de sesión lento
- Inicie Process Monitor y activar la opción de registro de arranque.
- Reinicie el sistema.
- Reproduzca el problema.
- Inicie sesión en el sistema.
- Abra Process Monitor y guarde el registro de arranque.
- Ejecute WPR.
- Configure el escenario de rendimiento de Arranque.
- Inicie la captura.
- Reinicie el sistema.
- Reproduzca el problema.
- Inicie sesión en el sistema.
- Permita que WPR: Boot Trace finalice.
- Cierre WPR.
- Capture los archivos ETL guardados.
Siga los pasos que se indican en esta sección si los síntomas que se indican a continuación son reproducibles:
- Inicio lento de la aplicación
- Rendimiento lento de la aplicación
- Rendimiento lento del sistema
- Inicie Process Monitor.
- Reproduzca el problema.
- Detenga Process Monitor y guarde el registro.
- Ejecute WPR.
- Configure el escenario de rendimiento General .
- Inicie el rastreo.
- Reproduzca el problema.
- Detenga el rastreo.
- Cierre WPR.
- Capture el archivo ETL guardado.
Siga los pasos que se indican en esta sección si los síntomas se producen de forma aleatoria y son cualquiera de los siguientes:
- Inicio lento de la aplicación
- Rendimiento lento de la aplicación
- Rendimiento lento del sistema
- Ejecute WPR.
- Configure el escenario de rendimiento General con Memory como modo de registro.
- Inicie el rastreo.
- Reproduzca el problema.
- Guarde la traza lo antes posible después de reproducir el problema.
- Cierre WPR.
- Capture el archivo ETL guardado.
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:
- El sistema se bloquea o se produce un interbloqueo
- Comprobación de errores del sistema (pantalla azul)
-
Configure el sistema para crear un memory.dmp completo. Para obtener detalles, consulte KB56023-creación de un volcado de memoria para su análisis por soporte técnico.
- Configure el sistema para permitir un bloqueo del teclado. Para obtener detalles, consulte el artículo de Microsoft para forzar un bloqueo del sistema desde el teclado.
- Cree el archivo de volcado cuando se produzca el problema. Por lo general, cuanto más tiempo se pueda esperar antes de generar el archivo de volcado, más fácil será identificar el estado de bloqueo en el volcado.
- Configure el sistema para crear un memory.dmp completo. Para obtener detalles, consulte KB56023-creación de un volcado de memoria para su análisis por soporte técnico.
- Recopile el archivo de volcado completo cuando se produzca la comprobación de errores del sistema (pantalla azul).
- Abra un símbolo del sistema administrativo.
- Escriba
fltmc . - Recopile la salida.
Siga los pasos que se indican en esta sección si los síntomas son los siguientes:
- Bloqueo de la aplicación o interbloqueo (no responde y no recuperado)
- Bloqueo de la aplicación
- Descargue la herramienta Microsoft ProcDump .
- Extraiga ProcDump al escritorio.
- Abra un símbolo del sistema administrativo y cambie el directorio a
C:\Users\username\Desktop\Procdump . - Ejecute este comando:
procdump -ma <process name> - Recopile el archivo de volcado creado, que se encuentra en la
Procdump carpeta.
- Descargue la herramienta Microsoft ProcDump .
- Extraiga ProcDump en el escritorio.
- Abra un símbolo del sistema administrativo y cambie el directorio a
C:\Users\username\Desktop\Procdump . - Ejecute el siguiente comando:
procdump -ma -e <process name>
Nota: el conmutador -e indica a ProcDump que genere un volcado la próxima vez que se bloquee el proceso.
- Espere a que el proceso se bloquee de nuevo.
- Recopile el archivo de volcado creado, que se encuentra en la
Procdump carpeta.
Siga los pasos que se indican en esta sección si los síntomas implican una fuga de memoria en el modo de usuario o de la aplicación.
Recopilar tres volcados de bloqueo de aplicaciones o de modo de usuario para su análisis.
- Descargue la herramienta Microsoft ProcDump .
- Extraiga ProcDump en el escritorio.
- Identifique el nombre del proceso que tiene una fuga de memoria.
- Active un rastreo de pila en el proceso que tiene fugas.
Consulte KB91252-cómo activar un rastreo de pila con la utilidad GFlags .exe. - Espere a que el proceso sospechoso muestre un uso elevado de la memoria.
- Abra un símbolo del sistema administrativo y cambie el directorio a
C:\Users\username\Desktop\Procdump . - Ejecute el siguiente comando:
procdump -ma <process name> - Recopile el archivo de volcado creado, que se encuentra en la
Procdump carpeta. - Repita los pasos y recopile tres volcados de bloqueo de aplicación o modo de usuario para su análisis.
- Desactive el rastreo de la pila en el proceso una vez recopilados todos los archivos de volcado de bloqueo.
Siga los pasos que se indican en esta sección si se produce una fuga de memoria kernel debido a un proceso de McAfee Enterprise:
- Familiarícese con y con el uso y la configuración que se describen en KB74951-cómo solucionar problemas de uso elevado de memoria en sistemas con VirusScan Enterprise 8.8.x.
Poolmon Perfmon - Configure el sistema para crear un memory.dmp completo. Para obtener detalles, consulte KB56023-creación de un volcado de memoria para su análisis por soporte técnico.
- Configure el sistema para permitir un bloqueo del teclado. Consulte este Microsoft artículo para obtener más información.
- Reinicie el sistema notificado para mostrar una fuga de memoria.
- Inicie la
Poolmon recopilación de datos de yPerfmon . - Espere a que el sistema muestre un uso elevado de la memoria.
- Detenga
Poolmon yPerfmon , a continuación, recopile los datos resultantes. - Fuerce al sistema a realizar una comprobación de errores mientras el uso elevado de la memoria sigue apareciendo.
- Recopile el volcado de memoria.
Siga los pasos que se indican en esta sección si los síntomas implican Device Guard o Credential Guard:
- Recopile los datos de ENS adecuados para el síntoma experimentado, tal y como se describe en este artículo.
- Además, recopile un rastro de ETW (Event Tracing for Windows) con el siguiente comando, ejecutado en un símbolo del sistema administrativo:
@echo off
ECHO These commands enable tracing:
@echo on
logman create trace "base_DeviceGuard" -ow -o c:base_DeviceGuard.etl -p "Microsoft-Windows-DeviceGuard" 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
@echo off
echo
ECHO Reproduce your issue and enter any key to stop tracing
@echo on
pause
logman stop "base_DeviceGuard" -ets
@echo off
echo Tracing has been captured and saved successfully at c:base_DeviceGuard.etl
pause
Lleve a cabo los pasos de recopilación de datos en esta sección si uno o varios componentes no se instalan.
Nota: Asegúrese de recopilar los datos durante la instalación de MOVE AV.
- Inicie Process Monitor.
- Recree el problema.
- Ejecute la instalación de MOVE AV.
- Detenga Process Monitor y guarde el registro.
- Recopile un archivo MER (ejecutar como administrador).
Siga los pasos que se indican en esta sección si los síntomas están relacionados con TIE:
- Recopile los datos adecuados en función de los síntomas descritos en este artículo.
- Recopile el registro de servidor de TIE en la servidor de TIE appliance en
/var/McAfee/tieserver/logs/tieserver.log .
Información relacionada
Para obtener información sobre el fin de ciclo de vida (EOL), consulte nuestros avisos de fin de ciclo de vida.
Para ver los detalles de la Directiva de EOL, consulte la Directiva de EOL de productos empresariales.
Definiciones:
Para ver los detalles de la Directiva de EOL, consulte la Directiva de EOL de productos empresariales.
Definiciones:
- Período de fin del ciclo de vida: el marco de tiempo que se ejecuta a partir del día en que anunciamos la descontinuación del producto hasta la última fecha en la que hemos admitido el producto. En términos generales, no se ofrece ninguna mejora cuando se anuncia el período del fin del ciclo de vida.
- Fecha de EOL: el último día en que se admite el producto, según los términos de nuestra oferta de soporte estándar.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: