提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

二、基础排查:定位真实占用高的进程(L1、渠道、客户)

|

问题描述

安装EDR后CPU/内存使用高。

有效排查步骤

可能原因
1、EDR版本较低--检查EDR版本是否为最新版本,如果不是最新版本且没有定制信息,升级最新版本后观察;
2、尝试禁用EDR测试是否正常
3、终端上有其他软件导致冲突--如有安装可和客户沟通卸载测试;
4、EDR本身进程问题--查看终端任务管理器,确认是否确认是否进程占用高导致使用异常,并确认对应进程是否为EDR的进程。
更多详细操作步骤请参考以下方法:
1、检查EDR版本是否为最新版本,如果不是最新版本且没有定制信息,升级最新版本后观察;

2、尝试禁用EDR测试是否正常;


3、查看终端进程占用:
1)查看电脑的任务管理器(任务栏右键打开,或者按Ctrl+Alt+del打开);




2)打开进程,并在【查看】-【选择列】勾选映像路径名称;





3)点击CPU及内存排序,观察电脑占用高的进程,确认是否进程占用高导致使用异常,并确认对应进程是否为EDR的进程。



EDR在Windows系统中主要进程如下:
abs_ deplover. exe //绿色通道服务
edr_monitor.exe //Agent端主控服务,用于和平台通信
sfupdatemgr.exe //升级进程
ipc_proxy.exe //通信代理进程
edr_sec_ plan.exe //云安全计划进程
wtpclient.exe //流量上报应用层进程
edr_agent.exe //各插件业务宿主进程( 包括终端管理/基线检查/杀毒管理/ 微隔离/威胁定位/webshell检测等)
sfavsvc.exe //杀毒/实时监控服务
sfavui.exe //UI进程
EDR在Linux系统中的主要进程如下:
sfavsrv //毒查杀进程 在进行查杀操作的时候会被拉起,其他的时候进程不运行。
abs_deployer //绿色通道服务
edr_monitor //Agent端主控服务,用于和平台通信
sfupdatemgr/sfupdate //升级进程(sfupdate升级时启动)
Ipc_proxy //通信代理进程
edr_sec_plan //云安全计划进程
flux_app //流量上报应用层进程
edr_agent //各插件业务宿主进程(包括终端管理/基线检查/杀毒管理/微隔离/威胁定位/webshell检测等)
sfavsrv //杀毒进程 lloader //webshell/僵尸网络检测的威胁文件隔离进程
cpulimit //针对edr_agent、sfavsrv进行CPU资源控制的进程
EDR在MAC系统中的主要进程如下:
edr_agent sfavsrv //病毒查杀进程
edr_monitor //Agent端主控服务,用于和平台通信
ipc_proxy //通信代理进程
abs_deployer //绿色通道服务
4、查看电脑是否有安装其他杀毒软件,如有安装可和客户沟通卸载测试。

解决方案

下一步解决方案
联系技术支持建议提供以下信息:
1、故障现象描述以及复现方式:
2、故障发生时间:
3、故障影响范围:
4、故障前做过的操作:
5、EDR设备版本信息:
6、前面排查效果:

我要分享
文档编号: 231681
作者: admin
更新时间: 2023-01-05 17:29
适用版本: