Risoluzione problemi di performance sugli endpoint

Risoluzione problemi di performance sugli endpoint

Utilizza questa procedura se su uno o più endpoint noti:

  • blocchi/freezing o “impuntamenti”
  • lentezza generale
  • consumo anomalo di CPU, RAM o disco

Prima di aprire un ticket, raccogli le informazioni e completa i passaggi seguenti: riducono i tempi di diagnosi e aiutano a isolare la causa.

1) Verifiche rapide (prima analisi)

  1. Server Windows se l’endpoint è un server, assicurati che la policy rispetti le impostazioni consigliate per i ruoli server (DNS/DHCP/DC ecc.). Alcuni layer possono impattare sui servizi.
  2. Scansione rootkit verifica che sia disattivata: può allungare sensibilmente i tempi di scansione e influire sulla responsività.

Nota
Le due verifiche sopra risolvono molti casi di rallentamento dovuti a conflitti di ruolo/server o a scansioni troppo approfondite nel momento sbagliato.

2) Abilita il logging di debug

Abilita il debug logging dell’Endpoint Agent per catturare dettagli aggiuntivi (timestamp, moduli coinvolti, errori marginali). Annota:

  • ora/minuto di insorgenza
  • pattern di ricorrenza (es. sempre alle 13:00)
  • eventuali passi per riprodurre il problema

Questo materiale è indispensabile per l’analisi successiva.

3) “Layer testing” (isolamento del modulo)

Con il debug attivo, esegui un test controllato disabilitando temporaneamente i layer di protezione per capire quale componente introduce il degrado.

3.1 Crea una policy di test con protezioni in tempo reale disabilitate

  1. Configure → Policies → New
  2. Nome: Troubleshooting – Protection disabled
  3. Protection settings
    : disabilita tutti i Real-Time Protection
  4. Se dispone di EDR: Endpoint Detection and Response disabilita Suspicious activity monitoring
  5. Save

3.2 Crea un gruppo di test

  1. Configure → Groups → New
  2. Nome: Troubleshooting
  3. Assegna la policy creata sopra
  4. Save

3.3 Sposta gli endpoint interessati nel gruppo

  1. Manage → Endpoints
  2. Seleziona gli endpoint coinvolti
  3. Actions → Move → Troubleshooting → Save
  4. Forza l’aggiornamento policy: Actions → Check for Protection Updates → verifica in Tasks lo stato Success

3.4 Testa e riattiva i layer uno alla volta (ordine consigliato)

  1. Suspicious activity monitoring (EDR)
  2. Ransomware Behavior protection
  3. Malware protection
  4. Web Protection
  5. Exploit Protection

Dopo ogni riattivazione, riproduci il problema. Quando il problema ricompare hai individuato il layer critico.

4) Raccolta evidenze (quando hai isolato il layer)

  1. Process Monitor (ProcMon): avvia la cattura mentre riproduci il problema per avere lo stack di eventi file/registro/rete in tempo reale.
  2. Log dell’Endpoint Agent: raccogli i log diagnostici completi.
  3. Windows Performance Toolkit (se serve): utile su Windows per profili prestazionali di basso livello (WPT/Xperf).

Al termine, apri il ticket al Supporto Elovade Italia e allega ProcMon + log agent

Best practice Elovade (per evitare ricadute)

  • Policy per ruoli server: crea policy dedicate per DNS/DHCP/DC/Backup server con Web/Network layer calibrati o disattivati dove noto che creano conflitti, seguendo le linee guida: ruoli server.
  • Rootkit scan off per default sugli asset produttivi, salvo necessità specifiche di forensics.
  • Finestra di scansione: pianifica gli scan completi fuori orario, evita sovrapposizioni con job di backup/AV di terze parti e task I/O intensivi.
  • Change control: quando la causa è un layer specifico, applica l’eccezione in policy mirata (gruppo asset) e documenta motivazione e durata.