تحليل حزمة تشخيص AMP لنظام التشغيل MacOS للحصول على وحدة معالجة مركزية (CPU) عالية
المحتويات
المقدمة
يصف هذا المستند الخطوات اللازمة لتحليل حزمة تشخيصية من الحماية المتقدمة من البرامج الضارة (AMP) لنقاط النهاية للشبكات العامة على أجهزة MacOS لاستكشاف أخطاء إستخدام وحدة المعالجة المركزية (CPU) وإصلاحها.
ساهم بها أوريل توريس وحررها يرالدين سانشيز، مهندسو TAC من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- التنقل الأساسي في وحدة تحكم AMP
- تنقل محطة MAC الطرفية
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- AMP لوحدة تحكم نقاط النهاية 5.4.20200512
- MacOS Catalyina، الإصدار 10.15.4
- موصل AMP 1.12.3.738
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يقوم موصل AMP بفحص جميع الملفات النشطة (تلك التي تقوم بنقل الملفات و/أو نسخها و/أو تعديلها) على الجهاز ما لم يتم إعلامنا صراحة بعدم ذلك، فإن ذلك يؤدي حتما إلى حدوث مشكلات في الأداء في حالة تشغيل العديد من العمليات والعمليات أثناء تشغيل الموصل، مما يؤدي إلى إستخدام وحدة المعالجة المركزية (CPU) بشكل كبير وحالات التباطؤ، وفي بعض الحالات البرامج التي لا تعمل أو تعمل ببطء. بالإضافة إلى ذلك، قد يقوم موصل AMP بحظر الملفات استنادا إلى سمعة السحابة الخاصة بهم، والتي قد تكون في بعض الأحيان خاطئة (إيجابية خاطئة). إن الحل لكل من المسألتين هو إستبعاد هذه المسارات والعمليات.
يتم عرض تدفق مشاكل الأداء المتعلقة باستكشاف الأخطاء وإصلاحها في الصورة.
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم المعلومات التي يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
التحقق من تثبيت برنامج مكافحة فيروسات آخر على الجهاز
لرؤية القوائم المتاحة في Cisco، احتفظ بقسم الاستبعادات على وحدة تحكم AMP:
- انتقل إلى الإدارة > السياسات.
- ابحث عن النهج وانقر فوق Edit (تحرير).
- في النهج، انقر إطار الإعدادات فوق الاستبعاد.
حدد ما ستحتاج إليه نقطة النهاية وفقا للبرنامج المثبت حاليا على الجهاز، ثم احفظ النهج كما هو موضح في الصورة.
تحديد وحدة المعالجة المركزية (CPU) عالية عند إستخدام تطبيق معين
حدد ما إذا كانت المشكلة تحدث أثناء تنفيذ أحد التطبيقات أو بعضها إذا كنت قادرا على نسخ المشكلة التي تساعد في العملية على تحديد الاستبعادات المحتملة.
حزمة تشخيص للتحليل
لتجميع حزمة تشخيص مفيدة، يجب تمكين مستوى سجل تصحيح الأخطاء.
مستوى تصحيح الأخطاء في نقطة النهاية
إن يستطيع أنت نسخت الإصدار وأن يتلقى منفذ إلى النهاية، أدناه هو الإجراء الأفضل أن على قبض الحزمة التشخيصية.
- في شريط قائمة Mac، انقر على أيقونة AMP.
- انتقل إلى قسم الإعدادات، كما هو موضح في الصورة.
- في نافذة الإعدادات، انتقل إلى حول.
- لتمكين وضع تصحيح الأخطاء، انقر داخل شعار AMP، كما هو موضح في الصورة.
يشير منبثق إلى أن موصل AMP في وضع تصحيح الأخطاء
يمكن هذا الإجراء مستوى سجل تصحيح الأخطاء حتى الفاصل الزمني التالي لنبضات النهج.
مستوى تصحيح الأخطاء في واجهة سطر أوامر AMP (CLI)
- فتح وحدة طرفية
- انتقل إلى /opt/cisco/amp/bin/
- شغل الأمبكلي:
./ampcli
- في وضع تمكين تصحيح الأخطاء ل AMP CLI:
ampcli>debuglevel 1
تمكن هذه العملية مستوى سجل تصحيح الأخطاء حتى الفاصل الزمني التالي للنهج.
مستوى تصحيح الأخطاء في النهج
إذا لم يكن لديك حق الوصول إلى نقطة النهاية أو إذا كان من غير الممكن نسخ المشكلة بشكل متسق، يجب تمكين مستوى سجل تصحيح الأخطاء في النهج.
لتمكين مستوى سجل تصحيح الأخطاء بواسطة النهج:
- انتقل إلى الإدارة > السياسات
- ابحث عن النهج وانقر فوق تحرير
- انتقل إلى إعدادات متقدمة > ميزات إدارية
- قم بتكوين مستوى سجل الموصل ومستوى سجل درج لتصحيح أخطاء النهج وحفظها، كما هو موضح في الصورة
إستبعاد AMP من حلول الحماية من الفيروسات الأخرى
وفقا لدليل المستخدم، يجب أن تستثني منتجات الحماية من الفيروسات الدلائل التالية وأي ملفات ودلائل وملفات تنفيذية بداخلها لتكون متوافقة مع موصل AMP الخاص ب MAC، والدلائل التي يجب إستبعادها هي ما يلي:
- /Library/Application Support/Cisco/AMP لموصل نقاط النهاية
- /opt/cisco/amp
إنتاج الإصدار وتجميع حزمة تشخيصية
عند تكوين مستوى تصحيح الأخطاء، انتظر حتى تحدث حالة وحدة المعالجة المركزية العالية على النظام أو قم بإعادة إنشاء الشروط المحددة مسبقا يدويا ثم قم بتجميع الحزمة التشخيصية.
لتجميع حزمة تصحيح الأخطاء:
- فتح وحدة طرفية.
- الوصول إلى مستوى المستخدم المتميز، ثم انتقل إلى دعم المكتبة/التطبيقات/Cisco/AMP لموصل نقاط النهاية:
cd /Library/Application\ Support/Cisco/AMP\ for\ Endpoints\ Connector/
- لتشغيل أداة الدعم، أستخدم الأمر التالي:
./SupportTool
يتم حفظ حزمة تصحيح الأخطاء في مجلد "سطح المكتب" كامتداد ملف .zip.
تحليل الأداء العالي لوحدة المعالجة المركزية (CPU)
حزمة تشخيص تصحيح الأخطاء هي تخزين في سطح المكتب، لبدء التحليل:
- فك ضغط الحزمة التشخيصية
- هناك ملفان للمراجعة
- عمليات الملفات: fileops.txt
- عمليات إعدام الملفات: exrs.txt
- يعمل fileops.txt كأداة الأداء الرئيسية لاستكشاف الأخطاء وإصلاحها. يسرد كل العمليات النشطة الحالية على نقطة النهاية الخاصة بك أثناء تشغيل الموصل، ويقرأ كما يلي:
<عدد المسحات التي تم إجراؤها على المسار عند تجميع الحزمة> / <مسار ممسوح ضوئيا>
على سبيل المثال، إذا كان لديك تطبيق HomeBrew، فإن fileops.txt يعرض العمليات النشطة التالية:
639 /Users/jesutorr/Library/Bin/MyApplication/support/
460 /Users/jesutorr/Library/Bin/MyApplication/logs/
219 /Users/jesutorr/Library/Bin/MyApplication/Collection/Node/Server/
- بمجرد تحديد العملية يمكن إنشاء إستثناء
- لإنشاء الاستثناء
- على وحدة التحكم AMP، انتقل إلى الإدارة > الاستبعاد
- حدد مجموعة الاستثناء وانقر على تحرير
- يمكن إضافة الاستثناء كما هو موضح في الصورة
- يحتوي ملف exec.txt على كل الأوامر المستخدمة من قبل العمليات التي يتم تشغيلها بينما يقوم الموصل بتجميع الحزم. يجب عدم إستبعاد المسارات المدرجة هنا على نهج AMP، لأنها ثنائيات (/bin) وثنائيات النظام (/sbin) التي تستخدمها جميع العمليات، على الرغم من ذلك، يمكن أن يوفر Exec.text العملية الرئيسية التي يتم تشغيلها.
على سبيل المثال، إذا كان ملف exec.txt يعرض السجلات التالية.
ونظرا لأن تطبيق homeBrew يستخدم باش، فيمكنك تأكيد أن التطبيق هو سبب وحدة المعالجة المركزية (CPU) عالية.
التعليقات