Khắc phục sự cố CPU hiệu suất cao bằng máy quét chống phần mềm độc hại thời gian thực

  • Created:
  • / Author: PACISOFT Help 7
Lượt xem: 613

Môi trường dữ liệu

  • McAfee Endpoint Security for Linux Threat Prevention 10.x
  • McAfee Endpoint Security for Mac Threat Prevention 10.x
  • McAfee Endpoint Security Threat Prevention 10.x
  • McAfee MOVE Antivirus (AV) Agentless 4.x
  • McAfee MOVE AV Multi-platform 4.x
  • McAfee VirusScan Enterprise 8.8.x
  • McAfee VirusScan Enterprise for Linux 2.x, 1.x

Tóm tắt

Tất cả các máy quét chống phần mềm độc hại theo thời gian thực của McAfee, hoạt động bằng cách chèn một thành phần được sử dụng, để giám sát tất cả các yêu cầu truy cập đĩa được thực hiện bởi bất kỳ quá trình nào đang chạy trong bộ nhớ. Thành phần này chặn tệp và phân phối nó đến công cụ quét. Sau đó, công cụ quét sẽ trả về quyết định xem tệp có độc hại hay không. Nếu tệp không độc hại, tệp sẽ được trả về quy trình đã yêu cầu. Nếu tệp độc hại, một hành động sẽ được thực hiện đối với tệp đó. Việc sử dụng CPU quét phần mềm chống phần mềm độc hại theo thời gian thực, tỷ lệ thuận với lượng hoạt động của ổ đĩa xảy ra trên hệ thống. Nếu hệ thống không hoạt động, máy quét sẽ không hoạt động. Vì vậy, một máy quét chống phần mềm độc hại theo thời gian thực, được kỳ vọng sẽ tăng hiệu quả sử dụng CPU hiện có, nhưng không phải là động lực đằng sau việc tiêu thụ tài nguyên hệ thống.

Vì phần mềm McAfee tồn tại trong nhiều môi trường khác nhau, nên không thể cung cấp cấu hình mặc định đáp ứng sự cân bằng cần thiết giữa bảo vệ và hiệu suất trong tất cả các môi trường có thể. Các quản trị viên dự kiến ​​sẽ điều chỉnh từng phiên bản của máy quét phần mềm chống phần mềm độc hại theo thời gian thực,  theo nhu cầu của môi trường cụ thể.

Điều chỉnh được tiến hành bằng cách đo hiệu suất cho cấu hình mặc định hoặc hiện có, sau đó sửa đổi cấu hình, để cải thiện hiệu suất và tăng cường bảo mật. Đôi khi, các vấn đề về hiệu suất không thể được giảm bớt bằng cách thay đổi cấu hình. Trong những trường hợp này, xung đột có thể tồn tại giữa máy quét chống phần mềm độc hại thời gian thực và chương trình của bên thứ ba hoặc chính hệ thống. Xung đột kiểu này phải được giải quyết để giảm bớt các vấn đề.

Để xác định nguyên nhân của việc sử dụng CPU cao, bởi máy quét phần mềm chống phần mềm độc hại thời gian thực McAfee cho bảo mật đầu cuối, MOVE AV Agentless / Multi-platform hoặc VirusScan Enterprise, hãy sử dụng quy trình chẩn đoán trong bài viết này. Chỉ các bước khắc phục chung được cung cấp.

LƯU Ý: Hiệu suất sử dụng CPU cao là hiện tượng hiệu suất phổ biến nhất mà người dùng gặp phải. Tuy nhiên, cách khắc phục sự cố được đề cập trong bài viết này, có liên quan đến mọi vấn đề về hiệu suất, tính ổn định của hệ thống hoặc tính ổn định của ứng dụng có thể xảy ra. Trong các bước sau, bài viết hướng dẫn các thay đổi cấu hình trong khi theo dõi mỗi thay đổi ảnh hưởng như thế nào đến hoạt động của CPU. Tuy nhiên, bạn có thể thay thế các bước này cho bất kỳ triệu chứng nào về hiệu suất, độ ổn định của hệ thống hoặc độ ổn định của ứng dụng.

Nguyên nhân

Sử dụng quy trình chẩn đoán sau để xác định thành phần gây ra việc sử dụng CPU cao.

Giải pháp

Kết quả của các bước thu thập dữ liệu trước đó phải chỉ ra nguyên nhân gây ra sự cố và chỉ ra phương pháp điều chỉnh cấu hình, để bỏ qua thành phần có vấn đề.

Tạo loại trừ:

Nếu thử nghiệm ZZZ làm giảm bớt sự cố, rõ ràng cần phải loại trừ thư mục, loại tệp hoặc quy trình khỏi thành phần quét khi truy cập. Bắt đầu bằng cách lập danh mục tất cả các ứng dụng của bên thứ ba đáng tin cậy trên hệ thống. Liên hệ với nhà cung cấp cho từng phần mềm, để có được một tập hợp các loại trừ được khuyến nghị cho phần mềm chống phần mềm độc hại. Loại trừ là danh sách các thư mục không được quét và danh sách các quy trình đang chạy không được kích hoạt quá trình quét, khi yêu cầu hoạt động của đĩa. Loại trừ các thư mục và nếu sản phẩm chống phần mềm độc hại là Endpoint Security hoặc VirusScan Enterprise, hãy thêm các quy trình vào hồ sơ các quy trình rủi ro thấp và tắt chức năng quét khi đọc, quét khi ghi hoặc cả hai, nếu cần.

Nếu điều đó không làm giảm hoàn toàn sự cố, hãy xem lại nhật ký quét để biết các sự kiện hết thời gian quét. Nếu có một mẫu nhất quán, điều đó có thể cho thấy bạn cần nhiều loại trừ hơn.

Process Monitor, một công cụ từ bộ Microsoft Sysinternals, cũng có thể trợ giúp nếu cần điều chỉnh thêm. Để biết thêm thông tin, hãy xem: KB50981 – Cách sử dụng Microsoft Process Monitor để khắc phục sự cố tệp được quét bởi VirusScan McShield. Quá trình quét hoạt động cho VirusScan Enterprise và MOVE AV Agentless / Multi-platform là McShield.exe. Quá trình quét hoạt động cho bảo mật điểm cuối là enstp.exe.

Nếu vô hiệu hóa một trong các thành phần khác làm giảm bớt sự cố, chẳng hạn như ScriptScan, bảo vệ truy cập hoặc ngăn chặn khai thác, hãy tạo các loại trừ cho thành phần bị ảnh hưởng. Một số thành phần loại trừ các đường dẫn thư mục, trong khi các thành phần khác loại trừ các quy trình đang chạy trong bộ nhớ. Xem lại phần thích hợp của hướng dẫn sản phẩm, cho phiên bản sản phẩm của bạn để biết chi tiết. Trong những trường hợp này, nhật ký sản phẩm thường tiết lộ nguồn gốc của vấn đề tài nguyên.

Xung đột với các ứng dụng của bên thứ ba:

Nếu việc gỡ cài đặt hệ thống chống phần mềm độc hại McAfee làm giảm bớt sự cố và nếu nguồn của xung đột có thể được xác định, bằng cách gỡ cài đặt ứng dụng của bên thứ ba, thì xung đột giữa ứng dụng đó và phần mềm McAfee phải được giải quyết. Thông thường, những loại vấn đề này đã được biết đến. Đảm bảo rằng cả phần mềm McAfee của bạn và sản phẩm của bên thứ ba, đều được cập nhật các bản cập nhật hoặc hotfix mới nhất. Ngoài ra, hãy xem lại bài viết các vấn đề đã biết cho sản phẩm McAfee bị ảnh hưởng. Nếu sự cố đã được ghi nhận, có thể có một cách giải quyết. Nếu cách đó không giải quyết được sự cố, để điều tra xung đột ứng dụng. Đối với bảo mật đầu cuối, có một quy trình thu thập dữ liệu có thể hữu ích trong việc cung cấp thông tin chi tiết về các sản phẩm của McAfee cho bên thứ ba.

Trân trọng cám ơn quý độc giả.

Biên dịch Lê Toản – Help.pacisoft.com

Tagged: