CPU使用率が定期的に上昇する

Deep Security9.6 , Deep Security11.0 , Deep Security10.0 , Deep Security12.0 , Deep Security9.5 , Cloud One - Endpoint and Workload SecurityAll

更新日: 2020/09/16

記事ID: KA-0007880

カテゴリ: Troubleshoot

Windows環境にDeep Security Agent (以降、DSA) を導入して以来、約10秒間隔でCPU使用率が一時的に上昇します。

上昇しているCPU使用率はさほど高くは無いものの、この原因と対処法について教えてください。

一部のファイアウォールルールでは、保護対象のコンピュータがドメイン内に存在するか否かによって動作を変更します。

ドメイン内に存在するかどうかの判定基準として、DSAは10秒間隔(初期設定)でICMP(PING)によるドメインコントローラ(以降、DC)との疎通確認を行います。この疎通確認処理がCPUリソースを一時的に消費し、CPUリソースが限られている環境では顕著なCPU使用率増大に繋がります。

定期的なCPU使用率の増大を緩和する対処法として、以下のいずれかが挙げられます。

CPUリソースの増強

保護対象コンピュータが仮想マシンで、CPUリソースの割り当てが少ない場合、仮想マシンに割り当てるCPUリソースを増強する事によってDCとの疎通確認処理におけるシステム全体のCPU使用率を大幅に低下できます。
DCとの疎通確認の間隔を延長する

DCとの疎通確認の間隔は、[管理]→[システム設定]→[コンテキスト]画面の
「テスト間隔」で定義されています。この項目は最長で5分まで延長可能です。

Deep Security 10.0～12.0をご利用の場合はポリシーで使用するコンテキストの定義をご参照ください。
※リンク先の画面左上のリストから対象バージョンを選択してください。
Deep Security 20.0をご利用の場合はポリシーで使用するコンテキストの定義をご参照ください。
Cloud One - Workload Security をご利用の場合はポリシーで使用するコンテキストの定義をご参照ください。

Deep Security Manager 10.0 Update 2 (10.0.3297) 以降では、上述の「テスト間隔」を「なし」に設定する事によって、DCとの疎通確認を無効化できます。

DCとの疎通確認は、不正プログラム対策機能およびWebレピュテーション機能の[Smart Protection]タブで、「ドメインに参加していない場合はGlobal Smart Protectionサービスに接続 (Windowsのみ)」にチェックが入っている場合にも利用されています。

該当のチェックが有効化されている状態でDCとの疎通確認を無効化した場合、DSAはローカルにインストールされたSmart Protection Serverを利用しなくなりますので、DCとの疎通確認を無効化する際には該当のチェックを外してください。

この記事は役に立ちましたか？