FAQ

ハンティング機能導入後にパフォーマンスが悪化した場合の切り分け方法を教えてください

最終更新日:2022/12/14

目次

【重要】はじめに
EDR機能が原因かを確認する
リアルタイムハッシュ計算で切り分けを行う
上記でも改善しない場合

【重要】はじめに

‼ 重要

  • yarai/AMC v3.5.0にて、EDR機能は大幅に拡充されています。それに伴い、旧バージョンで「EDR」と記載されていた機能は「ハンティング」へ名称変更されました。
  • yarai/AMC v3.5.0以降のEDR機能については、「FAQ:yaraiによる防御とEDRについて」をご参照ください。
  • ハンティング機能(旧バージョンのEDR機能)の詳細については、「FAQ:ハンティング機能について教えてください」をご参照ください。
  • 上記のことから、yarai/AMC v3.5.0以降をご利用の場合は、本FAQの「EDR」という記載や画像は「ハンティング」に読み替えてください。


⚠ 注意

EDR機能については、yarai/AMC v3.4.0にて、全般的なパフォーマンス向上(負荷軽減)となっています。そのため、EDR機能を使用する場合には、まずはyarai/AMC v3.4.0以降へアップデートしていただくことを推奨します。


EDR機能が原因かを確認する

PC上の以下のフォルダをエクスプローラーで開いてください。

C:\ProgramData\FFR\yarai\Data


そして、以下のDBファイルの状態を確認してください。

■ edr.db

EDRのリアルタイムハッシュ計算が有効の場合、ファイルに何らかの変更が行われる度に本ファイルがリアルタイムで更新されていきます。そのため、本ファイルのファイルサイズと更新日時が更新されている場合は、EDR機能とリアルタイムハッシュ計算が有効になっています。
※通常環境であれば、本ファイルの更新日時が数日以上古い場合、リアルタイムハッシュ計算は無効になっていると考えられます。

本ファイルが肥大化している(※目安として数百MB以上)場合、マシンによってはパフォーマンスに影響を与える可能性があります。後述の「リアルタイムハッシュ計算で切り分けを行う」に進んでください。

■ EDROnDemandWork.db

本ファイルが存在する場合は、EDR機能が有効になっており、オンデマンドハッシュ計算が完了していません。

オンデマンドハッシュ計算では、マシンに存在するファイルのハッシュ値を計算するため、マシン全体を走査します。そのため、フルスキャン実施時のように負荷がかかり、マシンによってはパフォーマンスに影響を与える可能性があります。

EDR機能の利用時には、必ず完了させる必要があるため、マシンを起動したままにしていただくなど、オンデマンドハッシュ計算を完了させてください。

なお、オンデマンドハッシュ計算のステータスについては、AMCからも確認ができます。詳細は以下のFAQを参照してください。
参考FAQ:EDR機能について教えてください

リアルタイムハッシュ計算で切り分けを行う

リアルタイムハッシュ計算を有効にした場合、ファイルに何らかの変更が行われた時にハッシュ計算が行われます。
そのため、ファイル書き込みが頻繁に行われた場合、都度ハッシュ計算が行われることにより、マシンによってはパフォーマンスに影響を与える可能性があります。

まずは、リアルタイムハッシュ計算を無効にしたポリシーの配布を行い、事象が改善するか確認してください。



※リアルタイムハッシュ計算を無効にした場合、ハッシュ検索を実施することができなくなるため、ご注意ください。

もしリアルタイムハッシュ計算の無効で改善する場合には、有効に戻していただき、次に進んでください。

リアルタイムハッシュ計算の無効で改善する場合

もしポリシーにて「ハッシュ計算対象ファイルの上限サイズ」をデフォルトから変更されている場合は、元に戻していただき、改善するかをお試しください。本設定を大きなサイズにした場合、パフォーマンスに影響が出ることがあります。
※上記以外でも、EDR機能に関連したポリシー項目をデフォルトから変更されている場合は、切り分けのため、元に戻してください。

上記で改善しない場合は、書き込みの多いファイルやフォルダを「ハッシュ計算例外リスト」に登録していただき、配布をしてください。ファイル名がランダムな場合はワイルドカードを利用することも可能です。詳細については、「FFRI AMC オペレーションマニュアル」を参照してください。



参考情報

ご参考までの案内となりますが、Process Monitorを使用し、Procmon.exeを実行後、メニューバーより「Tools」→「File Summary...」を押下し、「By Path」タブ上で「Writes」で降順に並び替えれば書き込みの多いファイルを特定しやすくなります。(右端に「Path」の記載があります。)

※Process Monitorは下記URLよりダウンロード可能です
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon


上記でも改善しない場合

上記でも改善しない場合は、上記の切り分けを行った結果と、以下の情報を併せて、ご購入いただいた販売店までお問い合わせください。

  • 該当クライアントのログ収集ツールのログ
    ログ収集ツールの入手方法については、ご購入いただいた販売店までお問い合わせください。
  • 上記で確認した「edr.db」ファイル
  • 問題が始まったと考えられる契機(yaraiをアップデートした、該当ソフトウェアをバージョンアップしたなど)
  • yaraiをインストールした何台中の何台程度で発生しているか
この内容は参考になりましたか?
  • このフォームにお寄せいただいたご意見への回答は行っておりません(回答が必要な場合は販売店までお問い合わせください)
  • お名前、ご連絡先等の個人情報は入力しないようお願いいたします
  • 250文字以内でご記入をお願いいたします
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop