Prozessabbilddateien Fehlersuche und -behebung

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.,WatchGuard EDR Core Dieses Thema betrifft das WatchGuard EDR Core Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.

ProcDump ist eine Windows-Befehlszeile, die Sie verwenden können, um einen Prozess zu überwachen und eine Abbilddatei zu erstellen. Sie können ProcDump verwenden, um die Erstellung einer Abbilddatei auszulösen, wenn bestimmte Anforderungen erfüllt sind, z. B. CPU-Spitzen auf dem Computer.

Wenn Sie eine Prozessabbilddatei auf einem Microsoft Windows-Computer erstellen, enthält die Datei Informationen über den verfügbaren physischen Speicher, den der Prozess verwendet. Die Datei enthält zudem einen Datensatz über den Zustand des gesamten verfügbaren Speichers auf dem Computer und über die Vorgänge im besagten Speicher zum Zeitpunkt der Erstellung der Abbilddatei.

Informationen darüber, wie Sie PSANHost-Abbilddateien beim Absturz des PSANHost-Prozesses erstellen, finden Sie unter PSANHost-Absturzabbilddateien Fehlersuche und -behebung.

Anti-Manipulationsschutz deaktivieren

Der Anti-Manipulationsschutz gewährleistet, dass nur autorisierte Benutzer WatchGuard Endpoint Security installieren, deinstallieren oder deaktivieren können. Wenn Sie den Anti-Manipulationsschutz aktivieren, wird das konfigurierte Passwort verlangt, um den Anti-Manipulationsschutz lokal auf dem geschützten Computer zu deaktivieren.

Deaktivieren Sie den Anti-Manipulationsschutz von WatchGuard Endpoint Security für den Endpoint-Computer, bevor Sie eine Abbilddatei erstellen. Führen Sie zudem einen Neustart des Endpoint-Computers durch, für den Sie die Abbilddatei erstellen möchten.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Computerspezifische Einstellungen konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So deaktivieren Sie den Anti-Manipulationsschutz:

1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
2. Wählen Sie Einstellungen.
3. Wählen Sie im linken Fenster Computerspezifische Einstellungen.
4. Kopieren Sie ein vorhandenes Einstellungsprofil, und verwenden Sie es, um ein neues computerspezifisches Einstellungsprofil zu erstellen. Weitere Informationen finden Sie unter Computerspezifische Einstellungen konfigurieren.
5. Weisen Sie das Profil dem Endpoint-Computer zu, auf dem Sie eine Abbilddatei erstellen möchten.
6. Deaktivieren Sie im neuen computerspezifischen Einstellungsprofil den Schalter Anti-Manipulationsschutz aktivieren.

7. Klicken Sie auf Speichern.
8. Starten Sie den Endpoint-Computer neu, um alle Anti-Manipulationsschutz-Prozesse zu entsperren.

Prozessabbilddateien erfassen

Es gibt mehrere Methoden, um eine Prozessabbilddatei zu erfassen. Folgen Sie den Anweisungen, die am besten zu Ihrem Anwendungsfall passen:

• Prozessabbilddateien für konstant hohe CPU-Auslastung erfassen
• Prozessabbilddateien bei Prozess-Abstürzen erfassen
• Prozessabbilddateien nach Bedarf erfassen

Prozessabbilddateien für konstant hohe CPU-Auslastung erfassen

Sie können ProcDump verwenden, um einen Prozess zu überwachen und die Erstellung einer Abbilddatei auszulösen, wenn ProcDump eine hohe CPU-Auslastung auf dem Endpoint-Computer erkennt.

Führen Sie im Vorfeld die folgenden Schritte aus: Anti-Manipulationsschutz deaktivieren.

So überwachen Sie eine hohe CPU-Auslastung und erstellen eine Abbilddatei:

1. Laden Sie ProcDump.exe von der folgenden Microsoft-Website herunter:
   https://learn.microsoft.com/de-de/sysinternals/downloads/procdump
2. Öffnen Sie auf dem Endpoint-Computer, für den Sie eine Abbilddatei erstellen möchten, ein Eingabeaufforderungsfenster als Administrator.

3. Führen Sie ProcDump mit den folgenden Parametern aus:

procdump.exe -c <CPUTHRESHOLD> -e -ma -s 30 -w <ProcessName>.exe -accepteula <YourLocation>\<ProcessName>.dmp

In diesem Beispiel wird eine Abbilddatei für den AgentSVC.exe-Prozess erstellt, wenn die CPU-Auslastung 30 aufeinanderfolgende Sekunden lang 20 % überschreitet:

procdump.exe -c 20 -e -ma -s 30 -w AgentSVC.exe -accepteula C:\WG\AgentSVC.dmp

Stellen Sie sicher, dass der für die Abbilddatei bestimmte Speicherort auf dem Computer vorhanden ist.

4. Lassen Sie das Eingabeaufforderungsfenster geöffnet, und führen Sie die ProcDump-Anwendung aus, bis das Problem erneut auftritt.

Es ist nicht nötig, die Tastenkombination Strg+C zu drücken, um die Überwachung zu beenden. Die Prozessabbilddatei wird automatisch auf dem Computer gespeichert.

5. Erstellen Sie ein .ZIP-Archiv mit dem Inhalt des Ordners, und senden Sie es an den Support.

Prozessabbilddateien bei Prozess-Abstürzen erfassen

Sie können ProcDump verwenden, wenn ein Prozess auf einem Endpoint-Computer abstürzt.

Führen Sie im Vorfeld die folgenden Schritte aus: Anti-Manipulationsschutz deaktivieren.

So erstellen Sie eine Abbilddatei, wenn ein Prozess abstürzt:

1. Öffnen Sie auf dem Endpoint-Computer, für den Sie eine Abbilddatei erstellen möchten, ein Eingabeaufforderungsfenster als Administrator.

2. Führen Sie ProcDump mit den folgenden Parametern aus:

procdump.exe -e -ma -w <ProcessName> -accepteula <YourLocation>\<ProcessName>.dmp

In diesem Beispiel wird eine Abbilddatei für den AgentSVC.exe-Prozess erfasst, wenn die Anwendung abstürzt:

procdump.exe -e -ma -w AgentSVC.exe -accepteula C:\WG\AgentSVC.dmp

Stellen Sie sicher, dass der für die Abbilddatei bestimmte Speicherort auf dem Computer vorhanden ist.

3. Lassen Sie das Eingabeaufforderungsfenster geöffnet, und führen Sie die ProcDump-Anwendung aus, bis das Problem erneut auftritt.

Es ist nicht nötig, die Tastenkombination Strg+C zu drücken, um die Überwachung zu beenden. Die Prozessabbilddatei wird automatisch auf dem Computer gespeichert.

4. Erstellen Sie ein .ZIP-Archiv mit dem Inhalt des Ordners, und senden Sie es an den Support.

Prozessabbilddateien nach Bedarf erfassen

Wenn Sie eine On-Demand-Abbilddatei erfassen möchten, können Sie in Microsoft Windows auf dem Endpoint-Computer eine Abbilddatei erstellen, sobald ein Problem auftritt.

Führen Sie im Vorfeld die folgenden Schritte aus: Anti-Manipulationsschutz deaktivieren.

So erstellen Sie in Microsoft Windows eine On-Demand-Abbilddatei auf dem Endpoint-Computer:

1. Warten Sie ab, dass das Problem erneut auftritt.
2. Öffnen Sie den Task-Manager über die Tastenkombination Strg+Alt+Entf.
3. Klicken Sie in der Registerkarte Details mit der rechten Maustaste auf den Zielprozess, für den Sie eine Abbilddatei erstellen möchten.
4. Wählen Sie Abbilddatei erstellen.

5. Klicken Sie auf Dateispeicherort öffnen und navigieren Sie zur Abbilddatei.

6. Erstellen Sie ein .ZIP-Archiv mit dem Inhalt des Ordners, und senden Sie es an den Support.

ProcDump Fehlersuche und -behebung

Wenn ein Fehler auftritt, während Sie ProcDump ausführen, könnte Anti-Manipulationsschutz für den Prozess aktiviert sein.

Fehlerbeispiel:

Fehler öffnet PSANHost.exe (8164):

Zugriff verweigert. (0x00000005, 5)

Wenn ein Fehler auftritt, deaktivieren Sie den Anti-Manipulationsschutz in WatchGuard Endpoint Security für den Endpoint-Computer und starten Sie den Computer neu.

Ähnliche Themen

WatchGuard Endpoint Security Fehlersuche und -behebung