FAQ

EDR機能導入後にパフォーマンスが悪化した場合の切り分け方法を教えてください。

EDR機能を導入後にシステムの動作やアプリケーションの動作が重たいといった事象が見られた場合、以下の確認/切り分けを実施してください。

・オンデマンドハッシュ計算が完了しているか確認する
 オンデマンドハッシュ計算ではマシンに存在するファイルのハッシュ値を計算するため、フルスキャン実施時のように
 負荷がかかります。
 そのため、オンデマンドハッシュ計算が完了後にパフォーマンスが改善するかご確認ください。

・リアルタイムハッシュ計算を無効にして事象に変化があるか確認する
 リアルタイムハッシュ計算を有効にした場合ファイルに何らかの変更が行われた時にハッシュ計算が行われます。
 そのため、ファイル書き込みを頻繁に行うアプリケーションにおいては都度ハッシュ計算が行われることにより
 パフォーマンスに影響が出ることがあります。

 リアルタイム(差分)ハッシュ計算を無効にしたポリシーの配布を行い、事象が改善するか確認してください。

 ※リアルタイムハッシュ計算を無効にした場合、ハッシュ検索を実施することができなくなるため、ご注意ください

 事象が改善する場合
 →どのファイルに対して書き込みが行われているか確認します。

  ご参考までの案内となりますが、Process Monitorを使用し、Procmon.exeを実行後、メニューバーより「Tools」→
  「File Summary...」を押下し、「By Path」タブ上で「Writes」で降順に並び替えれば書き込みの多いファイルを
  特定しやすくなります。(右端に「Path」の記載があります。)
  ※Process Monitorは下記URLよりダウンロード可能です
Process Monitorを使用した例

  特定できたら、該当のファイルをハッシュ計算の例外リストに追加して事象が改善されるか確認してください。
  例外リストはワイルドカードも利用できますのでファイル名がランダムな場合はワイルドカードを利用して
  登録をお願いします。


 事象が改善しない場合
 →EDRの機能に関係なく事象が発生しているかの確認のため、EDRを無効にしたポリシーを配布し、
  事象が改善されるか確認してください。


対象バージョン
v3.2.0
この内容は参考になりましたか?
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop