Analisar o pacote de diagnóstico AMP do macOS para CPU alta

Opções de download

  • PDF     (701.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (676.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (408.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de junho de 2020
ID do documento:215570

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction


    Este documento descreve as etapas para analisar um pacote de diagnóstico da AMP (Advanced Malware Protection, Proteção avançada contra malware) para endpoints nuvem pública em dispositivos macOS para solucionar problemas de uso elevado da CPU.

    Contribuído por Uriel Torres e editado por Yeraldin Sanchez, engenheiro do TAC da Cisco.

    Prerequisites 

    Requirements 

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Navegação básica no console AMP
    • Navegação do terminal MAC 

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • AMP para endpoints Console 5.4.200512
    • macOS Catalina versão 10.15.4
    • Conector AMP 1.12.3.738

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O conector AMP verifica todos os arquivos ativos (aqueles que se movem, copiam e/ou modificam a si mesmos) em uma máquina, a menos que explicitamente informado para não fazê-lo, isso inevitavelmente trará problemas de desempenho se muitos processos e operações forem executados enquanto o conector estiver em execução, o que leva a uma alta utilização da CPU, retarda e, em alguns casos, um software que não será executado ou executado lentamente. Além disso, o conector AMP pode bloquear arquivos com base na reputação da nuvem, o que pode, às vezes, ser errado (falso positivo). A solução para ambos os problemas é excluir esses caminhos e processos.

    O fluxo de problemas de desempenho de solução de problemas é mostrado na imagem.

    Troubleshoot

    Esta seção fornece as informações que você pode usar para solucionar problemas de sua configuração.

    Verifique se outro antivírus está instalado na máquina

    Tip: Use as exclusões mantidas pela Cisco se o software usado estiver incluído na lista. Lembre-se de que essas exclusões podem ser adicionadas a novas versões de um aplicativo.

    Para ver as listas disponíveis na seção de exclusões mantidas da Cisco no console da AMP:

    • Navegue até Gerenciamento > Políticas.
    • Localize a diretiva e clique em Editar.
    • Na janela de configurações, clique em Exclusões.

    Selecione os que seu endpoint precisaria de acordo com o software atualmente instalado na máquina e salve a diretiva, como mostrado na imagem.

    Identificar a CPU alta quando um aplicativo específico está em uso

    Identifique se o problema acontece enquanto um ou alguns deles são executados se você puder replicar o problema ajuda no processo para identificar possíveis exclusões.

    Obtenha um pacote de diagnóstico para análise

    Para reunir um pacote de diagnóstico útil, o nível de log de depuração deve ser ativado. 

    Nível de depuração no endpoint

    Se você puder replicar o problema e ter acesso ao endpoint, abaixo está o melhor procedimento para capturar o pacote de diagnóstico.

    • Na barra de menus do MAC, clique no ícone AMP.
    • Navegue até a seção Configurações, conforme mostrado na imagem.

    • Nas janelas de configurações, navegue para Sobre.
    • Para habilitar o modo de depuração, clique dentro do logotipo AMP, como mostrado na imagem.

    Um pop-up indica que o conector AMP está no modo de depuração

    Este procedimento ativa o nível de log de depuração até o próximo intervalo de pulsação da política.

    Nível de depuração na CLI (Command Line Interface, interface de linha de comando) do AMP

    • Abrir um terminal
    • Navegue até /opt/cisco/amp/bin/
    • Executar o ampcli: 
      ./ampcli
    • No modo de depuração do AMP CLI: 
      ampcli>debuglevel 1

    Esse processo ativa o nível de log de depuração até o próximo intervalo de pulsação da política.

    Nível de depuração na política

    Se você não tiver acesso ao endpoint ou se o problema não puder ser reproduzido de forma consistente, o nível de log de depuração deverá estar ativado na política. 

    Para habilitar o nível de log de depuração pela política:

    • Navegue até Gerenciamento > Políticas
    • Localize a diretiva e clique em Editar
    • Navegue até Configurações avançadas > Recursos administrativos
    • Configure o Nível de log do conector e o Nível de log da bandeja para Depurar e salvar a diretiva, como mostrado na imagem

    Caution: Se o modo de depuração estiver ativado na política, todos os endpoints receberão essa configuração.

    Note: Sincronize a política do endpoint para garantir o modo de depuração.

    Excluir a AMP de outras soluções antivírus

    De acordo com o guia do usuário, os produtos antivírus devem excluir os próximos diretórios e arquivos, diretórios e arquivos executáveis dentro deles para serem compatíveis com o conector AMP para MAC, os diretórios a serem excluídos são os seguintes: 

    • /Library/Suporte a aplicativos/Cisco/AMP para conector de endpoints
    • /opt/cisco/amp

    Reproduza o problema e reúna um pacote de diagnóstico

    Quando o nível de depuração estiver configurado, aguarde até que o estado de CPU alta ocorra no sistema ou reproduza manualmente as condições identificadas anteriormente e reúna o pacote de diagnóstico.

    Para coletar o pacote de depuração:

    • Abra um terminal.
    • Acesso ao nível de superusuário e, em seguida, navegue até /Library/Application Support/Cisco/AMP for Endpoints Connector:
    cd /Library/Application\ Support/Cisco/AMP\ for\ Endpoints\ Connector/
    • Para executar a ferramenta de suporte, use o próximo comando:
    ./SupportTool



    O pacote de depuração é salvo na pasta Desktop como uma extensão de arquivo .zip.

    Análise do alto desempenho da CPU 

    O pacote de diagnóstico de depuração é o armazenamento na área de trabalho, para iniciar a análise:

    • Descompacte o pacote de diagnóstico
    • Há dois arquivos para revisar
      • Operações de arquivo: fileops.txt
      • Execuções de arquivo: execs.txt
    • O fileops.txt funciona como a principal ferramenta de desempenho para solucionar problemas. Ele lista todas as operações atualmente ativas em seu endpoint enquanto o conector é executado. Ele é lido da seguinte maneira:

      <Varredura de números realizada no caminho quando o pacote é coletado> / <Caminho digitalizado>

      Por exemplo, se você tem um aplicativo homebrew, fileops.txt mostra as próximas operações ativas:

      639 /Users/jesutorr/Library/Bin/MyApplication/support/

      460 /Users/jesutorr/Library/Bin/MyApplication/logs/

      219 /Users/jesutorr/Library/Bin/MyApplication/Collection/Node/Server/
    • Uma vez identificado o processo, uma exclusão pode ser criada
    • Para criar a exclusão
    • No Console do AMP, navegue para Gerenciamento > Exclusões
    • Selecione o conjunto de exclusões e clique em Editar
    • A exclusão pode ser adicionada conforme mostrado na imagem
    • O arquivo Execs.txt contém todos os comandos usados por processos executados enquanto o conector coleta pacotes. Os caminhos listados aqui não devem ser excluídos na política AMP, pois são binários (/bin) e binários de sistema (/sbin) que todos os processos utilizam, no entanto, no Execs.text pode fornecer o processo principal que está sendo executado.
      Por exemplo, se o arquivo Execs.txt mostrar os próximos logs.

      Como o aplicativo homebrew usa bash, você pode confirmar se o aplicativo é a causa da alta CPU.

    Informações Relacionadas 

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Uriel Torres
      Cisco TAC Engineer
    • Edited by Yeraldin Sanchez
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos