Jump to content

Recommended Posts

Столкнулись со следующей проблемой: внезапно посыпался SSD на сервере, выяснилось, что исчерпан ресурс TBW.

Диск заменили, на новом показатель TBW тоже прирастает очень энергично (7,3 ТБ за месяц) при занятых на диске 30 Гб.

Выяснилось, что столь интенсивно диск использует процесс avp.exe. На сервере установлен KES 11.0.0.6499.

На другом сервере такая же ситуация, прирост TBW 17 ТБ за 20 дней, активность нагнал KES 10.6.0.6294.

Такими темпами никаких дисков не напасешься.

Что посоветуете?

Scr1.png

Scr2.png

Share this post


Link to post

А почему не поставить антивирус предназначенный не для локалок а для серверов (Kaspersky Security 10 для Windows Server)? 

Share this post


Link to post
6 часов назад, Scorokhod сказал:

Что посоветуете? 

Смотрите что и куда KES пишет и в каком объеме, через тот же монитор ресурсов. С таким объемом записи этот процесс должно быть видно невооруженным взглядом - у вас прирост по 500Мбайт в минуту. По возможности минимизируйте все логи KES, отключите все несущественные события, вернитесь к стандартной политике по умолчанию, создаваемой KSC.

При этом нужно иметь ввиду, что KES всегда активно молотит в свою папку в каталоге %ProgramData%, сохраняя временную информацию на рабочий сеанс, отчеты, логи и пр. Заодно он перманентно ковыряет $LogFile (журнал тома NTFS) на этом же диске. Однако такого объема быть все-таки не должно, у нас к примеру на контроллере домена заодно с сетевыми ресурсами и виртуалками на борту KES 11-й съедает по 15Гб в месяц, что уже приемлимо. Для рабочих станций с тем же 11-м KES съедается по 10Гб.

Share this post


Link to post

Добрый день. 

Уточните, пожалуйста, роль сервера. 

 

Share this post


Link to post
22 часа назад, Scorokhod сказал:

Что посоветуете?

Поставьте на сервер KSWS10

Share this post


Link to post
20 часов назад, Coliseum сказал:

А почему не поставить антивирус предназначенный не для локалок а для серверов (Kaspersky Security 10 для Windows Server)? 

KES на серверных версиях Windows - поддерживаемая конфигурация. Если бы он не был предназначен для серверов, он просто не инсталлировался бы, как не инсталлируются версии для домашнего использования. Да и смысл ставить другие версии, если используются только файловый антивирус и мониторинг уязвимостей.

15 часов назад, KaeSkat сказал:

Смотрите что и куда KES пишет и в каком объеме, через тот же монитор ресурсов. С таким объемом записи этот процесс должно быть видно невооруженным взглядом - у вас прирост по 500Мбайт в минуту. По возможности минимизируйте все логи KES, отключите все несущественные события, вернитесь к стандартной политике по умолчанию, создаваемой KSC.

При этом нужно иметь ввиду, что KES всегда активно молотит в свою папку в каталоге %ProgramData%, сохраняя временную информацию на рабочий сеанс, отчеты, логи и пр. Заодно он перманентно ковыряет $LogFile (журнал тома NTFS) на этом же диске. Однако такого объема быть все-таки не должно, у нас к примеру на контроллере домена заодно с сетевыми ресурсами и виртуалками на борту KES 11-й съедает по 15Гб в месяц, что уже приемлимо. Для рабочих станций с тем же 11-м KES съедается по 10Гб.

Появилось предположение, что активность на запись нагоняется во время полной проверки, потому что вот уже сутки значения счётчиков почти не изменяются. Проблема проявляет себя только на этих двух серверах, в другом домене объёмы записи примерно как вы указали.

33 минуты назад, Evgeny_E сказал:

Добрый день. 

Уточните, пожалуйста, роль сервера. 

 

Первый скриншот - контроллер домена, второй - терминальный сервер + SQL-сервер.

Сейчас возникла гипотеза, что активность на запись возникает во время полной проверки. На каждом из серверов лежит по 3,5 Tb бэкапов в RAR-архивах, и, возможно, KES при полной проверке, распаковывая эти архивы, нагоняет TBW.

Share this post


Link to post

Scorokhod 

На терминальный лучше установить KSWS 10.1 

В задачах сканирования лучше не проверять большие архивы, в принципе архивы можно исключить из проверок если область защиты покрывает все диски, новые файлы будут сканированы после распаковки и при первом обращении, и при обращении после обновления баз. 

Для SQL сервера можно придерживаться рекомендаций по настройке антивирусного ПО составленного Microsoft https://support.microsoft.com/en-us/help/309422/choosing-antivirus-software-for-computers-that-run-sql-server

Share this post


Link to post
13 минут назад, Evgeny_E сказал:

Scorokhod 

На терминальный лучше установить KSWS 10.1 

В задачах сканирования лучше не проверять большие архивы, в принципе архивы можно исключить из проверок если область защиты покрывает все диски, новые файлы будут сканированы после распаковки и при первом обращении, и при обращении после обновления баз. 

Для SQL сервера можно придерживаться рекомендаций по настройке антивирусного ПО составленного Microsoft https://support.microsoft.com/en-us/help/309422/choosing-antivirus-software-for-computers-that-run-sql-server

Всё подтвердилось насчёт полной проверки. KES находит эти 3,5 Tb архивов на диске D: (RAID-массив магнитных дисков) и распаковывает их для проверки на диск C: (SSD) в папку C:\Windows\Temp, что при степени сжатия 35% даёт 10 TBW на SSD раз в неделю.

Можно ли каким-то образом задавать временную папку, которую KES будет использовать для распаковки архивов. Пока добавили в исключения папки с бэкапами.

Share this post


Link to post

Нет изменить рабочие каталоги KES в текущих версиях нельзя, реализация данной возможности также маловероятна. 

Можете выставить настройки сканирования таким образом чтобы не проверять архивные файлы размером более 100 мегабайт, задается в параметрах задачи сканирования. 

scan.PNG

Share this post


Link to post
15 минут назад, Evgeny_E сказал:

Нет изменить рабочие каталоги KES в текущих версиях нельзя, реализация данной возможности также маловероятна. 

Можете выставить настройки сканирования таким образом чтобы не проверять архивные файлы размером более 100 мегабайт, задается в параметрах задачи сканирования. 

Ок, спасибо, так и поступим. Остаётся только вопрос, почему проблема не проявляла себя 3 года и до сих пор не проявляет себя на других серверах, настройки везде идентичны.

Share this post


Link to post
1 час назад, Scorokhod сказал:

Всё подтвердилось насчёт полной проверки. KES находит эти 3,5 Tb архивов на диске D: (RAID-массив магнитных дисков) и распаковывает их для проверки на диск C: (SSD) в папку C:\Windows\Temp, что при степени сжатия 35% даёт 10 TBW на SSD раз в неделю.

Можно ли каким-то образом задавать временную папку, которую KES будет использовать для распаковки архивов. Пока добавили в исключения папки с бэкапами. 

В KSWS 10.1 настраивать временную папку на другой диск можно через реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment]
"ProcessingTempPath"="d:\\Temp\\"

 

Share this post


Link to post

Я понаблюдал за работой KES 11 при помощи Process Monitor и заметил такую странность: avp.exe очень часто пишет данные блоками по 261 800 байт в файл C:\ProgramData\Kaspersky Lab\KES\SysWHist\object.sdb. В моём случае за сутки avp.exe записывает порядка 35 Гб на системный диск! С чем связана такая файловая активность?

Share this post


Link to post

Добрый день. 

Уточните текущий размер файла, вы уверены что идет запись а не чтение ?

Share this post


Link to post
В 12.07.2018 в 17:10, Oleg Bykov сказал:

В KSWS 10.1 настраивать временную папку на другой диск можно через реестр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment]
"ProcessingTempPath"="d:\\Temp\\"

 

На мой взгляд правильнее было бы ввести возможность опционально использовать оперативку, с указанием допустимого объема. В большинстве случаев нет проблем выделить 2-4ГБ под такие фокусы, а процесс обработки пошел бы гораздо быстрее. Мало ли что там в процессе полной проверки будет в %temp% распаковываться, зачем лишний раз напрягать дисковую подсистему и убивать накопители.

Edited by KaeSkat
дополнено

Share this post


Link to post
3 часа назад, KaeSkat сказал:

На мой взгляд правильнее было бы ввести возможность опционально использовать оперативку, с указанием допустимого объема. В большинстве случаев нет проблем выделить 2-4ГБ под такие фокусы, а процесс обработки пошел бы гораздо быстрее. Мало ли что там в процессе полной проверки будет в %temp% распаковываться, зачем лишний раз напрягать дисковую подсистему и убивать накопители.

Полностью согласен! Мало того, я и сам на каждый релиз предлагаю эту фичу. Обновления мы же уже оптимизируем с использованием памяти (в KSWS), почему бы ту же технологию не использовать и для других диско-убивательных операций.

Думаю, в один из релизов это всё-таки войдёт.

P.S. Кстати, а это же и сейчас можно сделать - создать RAM disk, через Junction направить на него какую-нибудь папку на диске и перенаправить временный каталог через реестр на эту папку.

 

Share this post


Link to post
22 часа назад, Oleg Bykov сказал:

P.S. Кстати, а это же и сейчас можно сделать - создать RAM disk, через Junction направить на него какую-нибудь папку на диске и перенаправить временный каталог через реестр на эту папку.

Мне кажется, если не угадать с размером рамдиска, то будут проблемы

Share this post


Link to post
23 минуты назад, Scorokhod сказал:

Мне кажется, если не угадать с размером рамдиска, то будут проблемы

Проблемы будут такого плана - если не хватит размера RAM-диска, то прервётся сканирование текущего архива с выводом соответствующего события в отчёт задачи.

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.