包含 "属于任何应用程序" 条件的数据保护规则的性能问题
技术文章 ID:
KB94986
上次修改时间: 2022-07-11 02:57:09 Etc/GMT
问题
在客户端系统上安装 DLP Endpoint 11.6.x 后,您会遇到 系统或应用程序性能 问题。系统和应用程序性能问题的示例包括但不限于:
- 持续使用20% 以上的 Fcag.exe CPU 使用率。
- 在执行复制和粘贴操作时,系统或应用程序变得无响应。
- 当 DLP 背景处理启用时,在 Outlook 中发送电子邮件会变得无响应。
- 将文件上传到网站时浏览器无响应。
下面的错误记录在文件中(调试模式):
[ODEBUG] [File Tracker] [ContentEventsCoordinator::tryToRunContentEvents] Run content event completed. ContentEventQueue size is (2162) events.
[ODEBUG] [File Tracker] [ContentEventsCoordinator::runContentEvent] Start processing of event FAcc.FF#006841. Event age is 13438 milliseconds.
注意:日志条目中 HDLP_Agent log 提及了 事件的存在时间,并 ContentEventQueue 有大量数字。
原因
由于阻止程序事件,DLP Agent 中的文件跟踪事件队列未清除事件队列缓存。队列内部版本,因为在遇到此类阻止程序事件时 DLP 会对端点上的数据进行分析。然后,其他事件会被置于暂挂状态,这会导致延迟。当事件问题得以解决时,事件队列会在16毫秒或更短的时间内清除。
我们已确定,对于 Office 应用程序使用的后端文件,不存在 msedge.exe. Some of the 的默认 whitelistings,也会对内容进行跟踪,从而导致出现 chrome.exe 此性能问题。发生此问题的大多数用例都将会出现此问题。
解决方案
您可以通过将下面列出的进程和目录添加到白名单进程来缓解此问题。该列表位于 Windows 客户端配置策略中的内容跟踪下。
进程名称 |
文件夹 |
特定扩展名 |
空扩展名 |
Web |
应用程序 |
文件 |
msedge.exe |
%LOCALAPPDATA%\Microsoft\tokenbroker\ |
.tbres |
检查 |
检查 |
检查 |
检查 |
msedge.exe |
%LOCALAPPDATA%\Microsoft\Edge\User Data\ |
.dll,.sqlite3,.log,.db-journal,.customdestinations-ms,.automaticDestinations-ms,.sqlite3-journal,.ldb,.db,.exe,.localstorage,.localstorage-journal,.pak,.tmp,.dat,.json,.bin,.dbtmp,.old,.store,.fingerprint,.js,.hyb,.store_new,.pma |
检查 |
检查 |
检查 |
检查 |
msedge.exe |
%ProgramFiles(x86)%\Microsoft\Edge\Application\ |
.dll,.sqlite3,.log,.db-journal,.customdestinations-ms,.automaticDestinations-ms,.sqlite3-journal,.ldb,.db,.exe,.localstorage,.localstorage-journal,.pak,.tmp,.dat |
检查 |
检查 |
检查 |
检查 |
msedge.exe |
%ProgramFiles%\Microsoft\Edge\Application\ |
.dll,.sqlite3,.log,.db-journal,.customdestinations-ms,.automaticDestinations-ms,.sqlite3-journal,.ldb,.db,.exe,.localstorage,.localstorage-journal,.pak,.tmp,.dat |
检查 |
检查 |
检查 |
检查 |
msedge.exe |
%WINDIR%\SysWOW64\ |
.dll,.sqlite3,.log,.db-journal,.customdestinations-ms,.automaticDestinations-ms,.sqlite3-journal,.ldb,.db,.exe,.localstorage,.localstorage-journal,.pak,.tmp,.dat |
检查 |
检查 |
检查 |
检查 |
msedge.exe |
%WINDIR%\System32\ |
.dll,.sqlite3,.log,.db-journal,.customdestinations-ms,.automaticDestinations-ms,.sqlite3-journal,.ldb,.db,.exe,.localstorage,.localstorage-journal,.pak,.tmp,.dat |
检查 |
检查 |
检查 |
检查 |
msedge.exe |
%LOCALAPPDATA%\Microsoft\Windows\Caches\ |
.dll,.sqlite3,.log,.db-journal,.customdestinations-ms,.automaticDestinations-ms,.sqlite3-journal,.ldb,.db,.exe,.localstorage,.localstorage-journal,.pak,.tmp,.dat |
检查 |
检查 |
检查 |
检查 |
msedge.exe |
%LOCALAPPDATA%\Temp\ |
.dll,.sqlite3,.log,.db-journal,.customdestinations-ms,.automaticDestinations-ms,.sqlite3-journal,.ldb,.db,.exe,.localstorage,.localstorage-journal,.pak,.tmp,.dat,.bin,.dbtmp,.old,.store,.fingerprint,.hyb,.store_new,.pma |
检查 |
检查 |
检查 |
检查 |
msedge.exe |
%APPDATA%\microsoft\windows\recent\ |
.dll,.sqlite3,.log,.db-journal,.customdestinations-ms,.automaticDestinations-ms,.sqlite3-journal,.ldb,.db,.exe,.localstorage,.localstorage-journal,.pak,.tmp,.dat |
检查 |
检查 |
检查 |
检查 |
teams.exe |
%LOCALAPPDATA%\Microsoft\tokenbroker\ |
.tbres |
检查 |
|
检查 |
检查 |
teams.exe |
%APPDATA%\Microsoft\teams\ |
。old,.bak,.tmp,.ldb,.data,.dat,.bin,.pak,.dll,.db,.chk,.node |
检查 |
|
检查 |
检查 |
teams.exe |
%LOCALAPPDATA%\Microsoft\teams\ |
.old,.bak,.tmp,.ldb,.data,.dat,.bin,.pak,.dll,.db,.chk,.node |
检查 |
|
检查 |
检查 |
outlook.exe |
%LOCALAPPDATA%\Microsoft\msip\ |
.tmp,.dat,.iplog,.tm,.tm-journal,.drm |
检查 |
|
检查 |
检查 |
outlook.exe |
%LOCALAPPDATA%\Microsoft\msipc\ |
.tmp,.dat,.iplog,.tm,.tm-journal,.drm |
检查 |
|
检查 |
检查 |
outlook.exe |
%LOCALAPPDATA%\Microsoft\windows\inetcache\ |
.tmp,.dat |
检查 |
|
检查 |
检查 |
解决方法
您可以通过修改包含 "is any application " 定义的数据保护规则来解决此问题,以将精力集中在特定应用程序上。
下面列出的任何操作均可缓解此问题,以清除 DLP Agent 事件缓存:
- 请用户注销,然后重新登录。
- 重新启动系统。
- 通过 代理诊断 工具重新启动 DLP Agent 服务。
注意: 上述操作会使系统性能恢复正常。但是,当事件队列的备份重新生成时,性能问题可能会再次出现。
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|