Dépanner les Fichiers de Vidage de Processus

S'applique À : WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPDR., WatchGuard EDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR.,WatchGuard EDR Core Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR Core., WatchGuard EPP Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPP.

ProcDump est un utilitaire de ligne de commande Windows que vous pouvez utiliser pour surveiller un processus et créer un fichier de vidage. Vous pouvez utiliser ProcDump de manière à déclencher la création d'un fichier de vidage lorsque des conditions spécifiques sont satisfaites, par exemple un pic d'utilisation du processeur de l'ordinateur.

Lorsque vous créez un fichier de vidage de processus à partir d'un ordinateur Microsoft Windows, le fichier contient des informations sur la mémoire physique disponible utilisée par le processus. Le fichier contient l'enregistrement de l'état de toute la mémoire disponible ainsi que les événements survenus en mémoire au moment de la création du fichier de vidage.

Pour de plus amples informations concernant la création de fichiers de vidage PSANHost en cas d'interruption du processus PSANHost, accédez à Dépanner les Fichiers de Vidage sur Incident PSANHost.

Désactiver la Protection Anti-Altération

La protection anti-altération garantit que seuls les utilisateurs autorisés peuvent installer, désactiver ou désinstaller WatchGuard Endpoint Security. Si vous activez cette option, le mot de passe configuré est exigé pour désactiver la protection anti-altération localement à partir de l'ordinateur protégé.

Avant de créer un fichier de vidage, vous devez désactiver la protection anti-altération de WatchGuard Endpoint Security pour l'ordinateur d'endpoint. Vous devez également redémarrer l'ordinateur d'endpoint pour lequel vous souhaitez créer le fichier de vidage.

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Configurer "Paramètres par Ordinateur" pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour désactiver la protection anti-altération :

1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
2. Sélectionnez Configuration.
3. Dans le volet gauche, sélectionnez Paramètres par Ordinateur.
4. Copiez un profil de paramètres existant et utilisez-le pour créer un nouveau profil de paramètres par ordinateur. Pour de plus amples informations, accédez à Configurer les Paramètres par Ordinateur.
5. Attribuez le profil à l'ordinateur d'endpoint sur lequel vous souhaitez créer un fichier de vidage.
6. Dans le nouveau profil de paramètres par ordinateur, désactivez l'option Activer la Protection Anti-Altération.

7. Cliquez sur Enregistrer.
8. Pour déverrouiller les processus de protection anti-altération, redémarrez l'ordinateur d'endpoint.

Collecter un Fichier de Vidage de Processus

Il existe différentes manières de collecter un fichier de vidage de processus. Utilisez les instructions qui correspondent le mieux à votre cas d'utilisation :

• Collecter un Fichier de Vidage de Processus en cas d'Utilisation du Processeur Élevée Constante
• Collecter un Fichier de Vidage de Processus en cas d'Interruption d'un Processus
• Collecter un Fichier de Vidage de Processus Sur Demande

Collecter un Fichier de Vidage de Processus en cas d'Utilisation du Processeur Élevée Constante

Vous pouvez utiliser ProcDump pour surveiller un processus et déclencher la création d'un fichier de vidage lorsque ProcDump détecte une utilisation élevée du processeur de l'ordinateur d'endpoint.

Avant de suivre ces étapes, vous devez Désactiver la Protection Anti-Altération.

Pour surveiller une utilisation élevée du processeur et créer un fichier de vidage :

1. Téléchargez ProcDump.exe sur le site web de Microsoft :
   https://learn.microsoft.com/en-en/sysinternals/downloads/procdump
2. À partir de l'ordinateur d'endpoint pour lequel vous souhaitez créer un fichier de vidage, ouvrez une fenêtre d'invite de commande en tant qu'administrateur.

3. Exécutez ProcDump avec les paramètres suivants :

procdump.exe -c <CPUTHRESHOLD> -e -ma -s 30 -w <ProcessName>.exe -accepteula <YourLocation>\<ProcessName>.dmp

Cet exemple crée un fichier de vidage pour le processus AgentSVC.exe lorsque l'utilisation du processeur dépasse 20 % pendant 30 secondes consécutives :

procdump.exe -c 20 -e -ma -s 30 -w AgentSVC.exe -accepteula C:\WG\AgentSVC.dmp

Assurez-vous que l'emplacement spécifié pour enregistrer le fichier de vidage existe sur l'ordinateur.

4. Laissez la fenêtre de l'invite de commande ouverte et exécutez l'application ProcDump jusqu'à ce que le problème se reproduise.

Il n'est pas nécessaire d'appuyer sur les touches Ctrl+C de votre clavier pour arrêter la surveillance. Le fichier de vidage de processus est enregistré automatiquement sur l'ordinateur.

5. Créez une archive ZIP du contenu du dossier et envoyez-la à l'Assistance.

Collecter un Fichier de Vidage de Processus en cas d'Interruption d'un Processus

Vous pouvez utiliser ProcDump lorsqu'un processus s'interrompt sur un ordinateur d'endpoint.

Avant de suivre ces étapes, vous devez Désactiver la Protection Anti-Altération.

Pour créer un fichier de vidage lorsqu'un processus s'interrompt :

1. À partir de l'ordinateur d'endpoint pour lequel vous souhaitez créer un fichier de vidage, ouvrez une fenêtre d'invite de commande en tant qu'administrateur.

2. Exécutez ProcDump avec les paramètres suivants :

procdump.exe -e -ma -w <ProcessName> -accepteula <YourLocation>\<ProcessName>.dmp

Cet exemple collecte un fichier de vidage pour le processus AgentSVC.exe lorsque l'application s'interrompt :

procdump.exe -e -ma -w AgentSVC.exe -accepteula C:\WG\AgentSVC.dmp

Assurez-vous que l'emplacement spécifié pour enregistrer le fichier de vidage existe sur l'ordinateur.

3. Laissez la fenêtre de l'invite de commande ouverte et exécutez l'application ProcDump jusqu'à ce que le problème se reproduise.

Il n'est pas nécessaire d'appuyer sur les touches Ctrl+C de votre clavier pour achever la surveillance. Le fichier de vidage de processus est enregistré automatiquement sur l'ordinateur.

4. Créez une archive ZIP du contenu du dossier et envoyez-la à l'Assistance.

Collecter un Fichier de Vidage de Processus Sur Demande

Si vous souhaitez créer un fichier de vidage sur demande, vous pouvez le créer à partir de Microsoft Windows sur l'ordinateur d'endpoint après qu'un problème se soit produit.

Avant de suivre ces étapes, vous devez Désactiver la Protection Anti-Altération.

Pour créer un fichier de vidage, ouvrez Microsoft Windows sur l'ordinateur d'endpoint :

1. Attendez que le problème se reproduise.
2. Pour ouvrir le Gestionnaire de Tâches, appuyez sur Ctrl+Alt+Suppr.
3. Dans l'onglet Détails, faites un clic droit sur le processus pour lequel vous souhaitez créer un fichier de vidage.
4. Sélectionnez Créer un Fichier de Vidage.

5. Cliquez sur Ouvrir l'Emplacement du Fichier pour parcourir le système et localiser le fichier de vidage.

6. Créez une archive ZIP du contenu du dossier et envoyez-la à l'Assistance.

Dépanner les Erreurs de ProcDump

Si vous rencontrez une erreur lorsque vous utilisez ProcDump, il est possible que le processus soit protégé par une protection anti-altération.

Voici un exemple d'erreur :

Error opening PSANHost.exe (8164):

Access is denied. (0x00000005, 5)

Si vous rencontrez une erreur, assurez-vous de désactiver la protection anti-altération dans WatchGuard Endpoint Security pour l'ordinateur d'endpoint puis redémarrez l'ordinateur.

Rubriques Connexes

Dépanner WatchGuard Endpoint Security