ALERT: Some images may not load properly within the Knowledge Base Article. If you see a broken image, please right-click and select 'Open image in a new tab'. We apologize for this inconvenience.

レコーダー設定と splunkd.exe の両方が存在する場合に ccSvcHst.exe の CPU 負荷が高くなる

book

Article ID: 239748

calendar_today

Updated On:

Products

Endpoint Detection and Response

Issue/Introduction

Symantec Endpoint Detection and Response (SEDR) データレコーダー機能が有効で、かつ Splunk Add-On for Windows (splunkd.exe) が存在する場合、Symantec Endpoint Protection (SEP) クライアント上 Symantec Service Framework (ccSvcHst.exe) の CPU 負荷が高くなる。

Environment

  • SEP クライアントが SEDR アプライアンスに登録されている。
  • SEDR アプライアンスの Web コンソールの、SEP クライアントを制御する Symantec Endpoint Protection Manager (SEPM) Controllerの接続で、データレコーダー機能が有効になっている。
  • SEP クライアントと同じマシンに Splunk Add-On for Windows 7.0.0 がインストールされている。

Resolution

CPU サイクルの削減/節約の大きい順に、考えられる設定上の回避策を示します。

  1. Splunk Universal Forwarder のどの機能が自分の環境で不要または過度に使用されているかを特定し、Splunk Universal Forwarder の 1 つまたは複数の機能の間隔を変更し、それらの機能を無効にするか頻度を減らすことができるようにします。
    注: これらの変更を有効にするには、splunkd.exe のターゲットインスタンスの設定を保持する splunk サーバーのスケジュールされた再起動が必要になる場合があります。

  2. SEDR 内の SEPM Controller 接続で、保持したい Splunk Universal Forwarder の機能に対してプロセス除外を作成します。
  3. どの記録機能が最も CPU 使用率を上げるかを切り分け、CPU 使用率とセキュリティニーズのバランスを取るように決定します。SEP クライアントグループを作成してレコーダー例外に追加し、すべてのイベント記録を無効にします。その後、トラブルシューティングを行って、どの記録機能が最も CPU 使用率を増加させるかを評価し、CPU 使用率とセキュリティのバランスを取る方法を決定します。
     

Splunk Universal Forwarder の 1 つまたは複数の機能を無効化するには:

Splunk Universal Forwarder の個々の機能を無効にする手順については、splunk コミュニティ の記事を参照してください。
注: これらの変更を有効にするには、splunkd.exe のターゲットインスタンスの設定を保持している splunk サーバーのスケジュールされた再起動が必要になる場合があります。
 

Splunk Universal Forwarder のプロセス除外を作成するには:

SEDR 4.4 以前:

  1. SEDR UI で [Settings] - [Global] 移動します。
  2. SEPM Controller 接続のリストまでスクロールダウンします。
  3. 変更する SEPM Controller 接続の行で、行の右側にある楕円をクリックし [Recorder Exceptions] をクリックします。
  4. 以下のプロセスの Actor Type、Actor を追加します。
    splunkd.exe
    splunk-powershell.exe

 SEDR 4.5 以降:

  1. SEDR UIで [Policies] - [Recorder] に移動します。
  2. + 記号をクリックして [Recorder Rule] を追加します。
  3. [Disable Monitoring] を選択します。
  4. 以下のプロセスの Actor Type、Actor を追加します。
    splunkd.exe
    splunk-powershell.exe

Additional Information

[英語文書] Symantec Service Framework generates high CPU when SEDR recording and splunkd.exe are both present