1、问题背景
客户反馈EDR控制台看不到验证码,无法登录
2、问题排查 ①后台top命令查看,eps-cfg-center进程CPU跑到100%。eps-cfg-center就是MGR的核心进程。
②使用/sf/edr/manager/bin/eps_services restart,命令重启下eps进程,看是否会恢复
③客户直接重启虚拟机了,重启完一会正常,几分钟后CPU又跑满了。
④3.7.2有eps优化包,打上优化包后,又正常了,叫客户观察下。
⑤两小时后,EDR控制台登陆界面直接加载不出来了。查看后台,EPS进程又100%了
⑥重启虚拟机,进到控制台,检查EDR配置,看是否有消耗CPU的功能开启。
⑦客户开了终端行为数据上报,目前有700终端
⑧叫客户关掉该功能测试,正常了。CPU慢慢降下来了。
3、排查结果 ①cpu占用高的问题,目前看是终端行为数据上报这个功能占用有关。 目前关闭后,cpu占用率降低下来了,前面占用的cfg进程已经没有高占用了。
但是由于前面的数据还在处理,所以mongo数据库还会有占用。
观察一会,等前面接受的处理完后,CPU降下来了。
②EDR可以采集终端系统日志和终端行为日志,并传输给NGSOC进行集中分析。 当管理员开启终端系统日志采集,采集的日志包括windows终端事件管理中的安全日志;
当管理员开启终端行为数据采集,采集的行为数据包含文件、进程、网络、注册表、DNS、计划任务、主机信息等
注:开启终端行为与日志信息采集后,EDR需接入mss,资产信息开启终端行为和日志上报后在mss上查看,EDR管理端本身无法查看
没有mss场景该功能是不需要开启的。 |