Avamar: Rendimiento de respaldo afectado por el escaneo del software antivirus en tiempo real de archivos

• Los mensajes de estado en el registro del cliente muestran un bajo uso de CPU por parte de avtar.exe (consulte el artículo de Dell Avamar: Cómo interpretar las líneas de estado del registro de respaldo de Avtar).
• El respaldo no sufre la generación de cuellos de botella debido a la congestión de la red.
• El software antivirus está instalado en el cliente.
• El software antivirus está configurado para escanear archivos en tiempo real “en acceso” (cuando una aplicación accede a archivos)

1. Pestaña Processes > View > Select Columns
2. Habilite las columnas I/O Read Bytes e I/O Reads.
3. Mientras haya un respaldo en curso, monitoree el proceso antivirus.
4. Si los bytes de lectura de I/O o los números de lecturas de I/O para la aplicación antivirus aumentan considerablemente durante el respaldo, esto puede indicar un problema.

La función de escaneo de antivirus en el acceso compite con el avtar proceso para I/O de almacenamiento mediante la interceptación de archivos que avtar está intentando acceder.

Es posible que el antivirus esté escaneando el almacenamiento de instantáneas cuyo contenido con avtar proceso para acceder a la instantánea que se tomó como parte del respaldo.

Esta carga adicional en el hardware de almacenamiento reduce la velocidad de escaneo de archivos potencial del respaldo.

Configure temporalmente una máquina virtual (VM) de prueba para realizar un respaldo en el nivel del cliente sin antivirus instalado, tiempo de registro y, a continuación, instale el antivirus y compare.

Compare el rendimiento del respaldo más reciente con los respaldos anteriores en los que el análisis en tiempo real estaba activo. Para hacerlo, revise un registro de cliente completo para respaldarlo.

Agregue manualmente --status=120 en opciones adicionales para aumentar la frecuencia de los mensajes de estado para las pruebas.

avtar Info <6083>: Backed-up 344.3 GB in 862.43 minutes: 24 GB/hour (1,508,688 files/hour)

avsql.exe       Microsoft SQL Server
avexchglr.exe   Exchange Server GLR
avexvss.exe     Exchange Server
axionfs.exe     Exchange Server GLR
avoracle.exe    Oracle
avlotus.exe     Lotus Notes
avscc.exe       Desktop Icon
avagent.exe     Communication service between the client and Avamar server
avvss.exe       Disaster Recovery, BMR
avmossvss.exe   SharePoint Servers
avupdate.exe    Client update tool

Para mostrar la ruta absoluta del volumen oculto, utilice un símbolo del sistema con privilegios elevados y ejecute el comando "vssadmin List Shadows" comando.

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy*\
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy*

Después de resolver este tipo de interferencia del software antivirus, si el rendimiento del respaldo sigue siendo bajo, consulte el artículo de Dell: Avamar slow backup performance - how to troubleshoot and identify bottlenecks (RESOLUTION PATH)

El comportamiento descrito se produce con cualquier programa antivirus que realice un análisis "en tiempo real" o "en acceso ".
A continuación, encontrará enlaces a artículos sugeridos de documentación en línea de varios proveedores de antivirus en los que se analiza el comportamiento o cómo mitigarlo.
Algunos programas antivirus mantienen sumas de comprobación hash o MD5 de programas excluidos o de la lista segura. Cuando se actualiza el software Avamar, la suma de comprobación de hash o MD5 se debe volver a calcular según los requisitos del proveedor de software.

Symantec EndPoint Protection

• Backup Exec o Backup Exec System Recovery de Broadcom: Las tasas de trabajos de respaldo y restauración son más lentas de lo esperado con Symantec EndPoint Protection 12.1 instalado (aunque, en el artículo, se menciona el software de respaldo propio de Symantec, el problema es el mismo para cualquier solución de respaldo).
• EndPoint Protection exclusions for Backup Exec de Broadcom 

Análisis de Trend Micro Office

• Artículo Cómo comprobar si el escaneo en tiempo real del antivirus de Trend Micro afecta el rendimiento de Avamar client (en inglés) de Dell (es necesario iniciar sesión en el soporte de Dell para ver este artículo)
• Recommended scan exclusion list for Trend Micro EndPoint products de Trend
• Excluding Volume Shadow copies from the Real-Time Scan of APEX One de Trend

Sophos

• Process exclusion (Windows) de Sophos 
• Artículo Poor backup performance for Avamar client running Sophos anti-virus de Dell (obsoleto)
• Central Server de Sophos: Establecer exclusión para el análisis de Volume Shadow Copies

Quick Heal Endpoint Security

• Artículo de Dell Avamar backup performance impacted due to virus protection software - Seqrite EndPoint Security by Quick Heal Technologies

ESET Endpoint Antivirus

• Processes exclusions ESET Endpoint 7

Panda Security

• What is the Application Control of Panda? de Panda

CrowdStrike

• Whitelisting de CrowdStrike

Microsoft

• Directiva antivirus de Microsoft para la seguridad de terminales en Intune
• Microsoft Defender for EndPoint
• How to add a file type or process exclusion to Windows Security de Microsoft

Carbon Black

• Configuring Exclusions for Core Prevention Rules de Broadcom

Fortinet

• FortiClient de Fortinet: Excluding applications from protection

Trellix (FireEye)
 

• EndPoint Security xAgent Administration Guide-Enabling a Custom Policy de Trellix 

Cisco AMP

• Configure and Identify Secure EndPoint Exclusions de Cisco 

Rapid7

• How to exclude activity from Endpoint Prevention de Rapid7