Resolver Problemas de Archivos de Volcado de Procesos

Aplica A: WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EPDR., WatchGuard EDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR.,WatchGuard EDR Core Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR Core., WatchGuard EPP Este tema se aplica al producto de seguridad de endpoints WatchGuard EPP.

ProcDump es una utilidad de línea de comandos de Windows que se puede utilizar para monitorizar un proceso y crear un archivo de volcado. Puede utilizar ProcDump para activar la creación de un archivo de volcado cuando se cumplan requisitos específicos, como un pico de CPU en la computadora.

Cuando se crea un archivo de volcado de proceso desde una computadora con Microsoft Windows, el archivo contiene información sobre la memoria física disponible que utiliza el proceso. El archivo también contiene un registro del estado de toda la memoria disponible de la computadora y lo que ocurrió en esa memoria en el momento en que creó el archivo de volcado.

Para obtener información sobre cómo crear archivos de volcado de PSANHost cuando se bloquea el proceso PSANHost, vaya a Resolver Problemas de Archivos de Volcado de PSANHost Crash.

Deshabilitar la Protección Antimanipulación

La protección antimanipulación garantiza que solo los usuarios autorizados puedan instalar, deshabilitar o desinstalar WatchGuard Endpoint Security. Si habilita la protección antimanipulación, se requiere la contraseña configurada para deshabilitar la protección antimanipulación localmente desde la computadora protegida.

Antes de crear un archivo de volcado, debe desactivar la protección antimanipulación de WatchGuard Endpoint Security para la computadora endpoint. También debe reiniciar la computadora endpoint para la que desea crear el archivo de volcado.

Su rol de operador determina lo que puede ver y hacer en WatchGuard Cloud. Su rol debe tener el permiso Configurar Ajustes Por Computadora para ver o configurar esta función. Para más información, vaya a Administrar Operadores y Roles de WatchGuard Cloud.

Para deshabilitar la protección antimanipulación:

1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
2. Seleccione Configuración.
3. En el panel izquierdo, seleccione Ajustes Por Equipo.
4. Copie un perfil de ajustes existente y utilícelo para crear un nuevo perfil de ajustes por computadora. Para más información, vaya a Configurar los Ajustes Por Computadora.
5. Asigne el perfil a la computadora endpoint donde desea crear un archivo de volcado.
6. Desde el nuevo perfil de ajustes por computadora, deshabilite el interruptor Activar protección Anti-tamper.

7. Haga clic en Guardar.
8. Para desbloquear cualquier proceso de protección antimanipulación, reinicie la computadora endpoint.

Recopilar un Archivo de Volcado de Proceso

Existen varios métodos para recopilar un archivo de volcado de proceso. Siga las instrucciones que mejor se adapten a su caso:

• Recopilar un Archivo de Volcado de Proceso para un Uso Elevado Constante de la CPU
• Recopilar un Archivo de Volcado de Proceso cuando se Bloquea un Proceso
• Recopilar un Archivo de Volcado de Proceso A Pedido

Recopilar un Archivo de Volcado de Proceso para un Uso Elevado Constante de la CPU

Puede utilizar ProcDump para monitorizar un proceso y activar la creación de un archivo de volcado cuando ProcDump detecte un uso elevado de la CPU en la computadora del endpoint.

Antes de completar estos pasos, debe Deshabilitar la Protección Antimanipulación.

Para monitorizar el uso elevado de la CPU y crear un archivo de volcado:

1. Descargue ProcDump.exe del sitio web de Microsoft:
   https://learn.microsoft.com/en-en/sysinternals/downloads/procdump
2. Desde la computadora endpoint para la que desea crear un archivo de volcado, abra una ventana del Símbolo del Sistema como administrador.

3. Ejecute ProcDump con estos parámetros:

procdump.exe -c <CPUTHRESHOLD> -e -ma -s 30 -w <ProcessName>.exe -accepteula <YourLocation>\<ProcessName>.dmp

Este ejemplo crea un archivo de volcado para el proceso AgentSVC.exe cuando el uso de la CPU supera el 20 % durante 30 segundos consecutivos:

procdump.exe -c 20 -e -ma -s 30 -w AgentSVC.exe -accepteula C:\WG\AgentSVC.dmp

Asegúrese de que la ubicación que especifica para guardar el archivo de volcado existe en la computadora.

4. Mantenga abierta la ventana del Símbolo del Sistema y ejecute la aplicación ProcDump hasta que se reproduzca el problema.

No es necesario que presione Ctrl+C en el teclado para detener la monitorización. El archivo de volcado del proceso se guarda automáticamente en la computadora.

5. Cree un archivo .ZIP con el contenido de la carpeta y envíelo al Soporte.

Recopilar un Archivo de Volcado de Proceso cuando se Bloquea un Proceso

Puede utilizar ProcDump cuando un proceso se bloquea en una computadora endpoint.

Antes de completar estos pasos, debe Deshabilitar la Protección Antimanipulación.

Para crear un archivo de volcado cuando un proceso se bloquea:

1. Desde la computadora endpoint para la que desea crear un archivo de volcado, abra una ventana del Símbolo del Sistema como administrador.

2. Ejecute ProcDump con estos parámetros:

procdump.exe -e -ma -w <ProcessName> -accepteula <YourLocation>\<ProcessName>.dmp

Este ejemplo recopila un archivo de volcado para el proceso AgentSVC.exe cuando la aplicación se bloquea:

procdump.exe -e -ma -w AgentSVC.exe -accepteula C:\WG\AgentSVC.dmp

Asegúrese de que la ubicación que especifica para guardar el archivo de volcado existe en la computadora.

3. Mantenga abierta la ventana del Símbolo del Sistema y ejecute la aplicación ProcDump hasta que se reproduzca el problema.

No es necesario que presione Ctrl+C en el teclado para finalizar la monitorización. El archivo de volcado del proceso se guarda automáticamente en la computadora.

4. Cree un archivo .ZIP con el contenido de la carpeta y envíelo al Soporte.

Recopilar un Archivo de Volcado de Proceso A Pedido

Si desea crear un archivo de volcado a pedido, puede crear un archivo de volcado desde Microsoft Windows en la computadora endpoint después de que se produzca un problema.

Antes de completar estos pasos, debe Deshabilitar la Protección Antimanipulación.

Para crear un archivo de volcado, desde Microsoft Windows en la computadora endpoint:

1. Espere hasta que se vuelva a producir el problema.
2. Para abrir el Administrador de Tareas, presione Ctrl+Alt+Supr.
3. En la pestaña Detalles, haga clic con el botón derecho en el proceso de destino para el que desea crear un archivo de volcado.
4. Seleccione Crear Archivo de Volcado.

5. Haga clic en Abrir Ubicación del Archivo para buscar el archivo de volcado.

6. Cree un archivo .ZIP con el contenido de la carpeta y envíelo al Soporte.

Resolución de Problemas de Errores de ProcDump

Si se produce un error al utilizar ProcDump, es posible que el proceso esté protegido por la protección antimanipulaciones.

Este es un ejemplo de error:

Error opening PSANHost.exe (8164):

Access is denied. (0x00000005, 5)

Si se produce un error, asegúrese de deshabilitar la protección antimanipulación en WatchGuard Endpoint Security para la computadora endpoint y, a continuación, reinicie la computadora.

Temas Relacionados

Resolución de Problemas de WatchGuard Endpoint Security