提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

三、进阶排查:关闭对应模块测试是否正常(L2)

|

问题描述

安装EDR后CPU/内存使用高。



有效排查步骤

1、在管理平台上将对应的终端单独分组。
2、选择对应分组并关闭实时防护,点击下面的保存并应用到下级分组。


3、选择对应的终端并重启agent后查看终端的实时防护策略状态为下图则为关闭成功。





4、测试电脑是否还卡慢,如果不再卡慢则需依次测试监控等级改成低等级及中等级测试是否正常
5、如果依旧卡慢,则重命名驱动测试是否驱动问题导致。
驱动路径C:\Windows\System32\drivers\和EDR安装路径的bin目录,找到sfavflt.sys文件,需要关闭自保护后重命名为sfavflt.sys.bak,关闭自保护方法可以参考http://tskb.sangfor.com/forum.ph ... 30710&is_note=1的步骤5
6、如果修改驱动名后还是卡慢,可尝试卸载EDR测试是否正常。如果卸载EDR后正常,建议和客户沟通是否能升级EDR版本到EDR3.5.30及之后的版本,优化兼容性问题(升级需与用户确认后方可升级,中间会有一些变动,提前与用户说明)
7、以上未解决可以尝试快速查杀和全盘查杀,处理病毒后观察。
8、如果上述操作未解决,可收集信息流转L3协助;

解决方案

下一步操作:
若以上步骤未解决您的问题,可收集以下信息将问题流转L3:
1、故障现象描述以及复现方式:
2、故障发生时间:
3、故障影响范围:
4、故障前做过的操作:
5、设备详细版本信息:
6、前面排查效果:

我要分享
文档编号: 231683
作者: admin
更新时间: 2023-01-05 17:29
适用版本: