CTD 処理値のスパイクまたは高実行をトラブルシューティングする方法 > debug dataplane pow パフォーマンス

> debug dataplane pow performance
func                                  max-μs   avg-μs        count     total-μs  ac-max-μs  ac-avg-μs         ac-count      ac-total-μs
sml_vm                                     0      276491782.0  0            0         65        1.1           312208           369019
ctd_token                                  0      36.0           27197221  0        180       20.8            18000           374440
detector_run_p1                            0      0.0            0            0         66        4.9             8509            42053
detector_run_p2                            0      0.0            0            0         27        1.5             8786            13669
regex_lookup                               0      0.0            0            0       1093        7.0            11494            81464

• 汎OS
• CTD (コンテンツと脅威の検出)

• ファイアウォールの検査エンジンに大量または負荷のかかる特定の新しいトラフィック フロー（unknown-udp、unknown-tcp、ms-ds-smb、mssql-db など）が導入されました。
• 異常に高い量または速度のより重いタイプのトラフィックが、unknown-udp、unknown-tcp、ms-ds-smb、mssql-db などのファイアウォールを通過します。
• すべてまたは大量のトラフィックが、「厳密な」セキュリティ プロファイルが添付された 1 つのセキュリティ ポリシー許可ルールを通過します (特にトラフィック量がそのモデルの最大値に近づいている場合)パフォーマンスと容量- この場合、 sml_vm 、 ctd_token 、検出器_実行_p1 、 と検出器_実行_p2高いことが予想されます）。
• すべてまたはほとんどのトラフィックは、特にファイアウォールを通過する大量の未分類トラフィック (unknown-udp、unknown-tcp) または高データ レート トラフィック (ms-ds-smb、mssql-db など) がある場合に、多くの重いまたは厳密なセキュリティ プロファイルが構成されている単一の広範なセキュリティ プロファイル ルールを通過します。
• 非効率なカスタム URL フィルタリング、カスタム アプリケーション、またはカスタム脅威シグネチャ/オブジェクトが構成されています。これには、ワイルドカードの使用が多すぎる、単一のワイルドカードのみを使用する、範囲が広すぎるなどがあります (この構成ミスにより、多くの場合、機能が正常に動作しなくなる可能性があります)。正規表現検索具体的には高くすること）。 これを解決するには、URL フィルタリング オブジェクト、カスタム アプリケーション、またはカスタム シグネチャ内のパフォーマンスに影響を与える非効率的なワイルドカードまたはパターンを削除します。「」を参照してください。 URL 内の入れ子になったワイルドカード (*) はパフォーマンスに重大な影響を与える可能性があります詳細については

1. 問題が発生する前にこれらの値のベースラインを取得します (または履歴値を確認します)。現在の値がsml_vm 、 ctd_token 、検出器_実行_p1 、 と検出器_実行_p2それは多くの以前に確認された値よりも高い場合は、CPU またはトラフィック高の問題の原因である可能性があります。 現在の値が同じ問題が発生したときの古い値としていいえ問題が発生した場合、それらは問題の犯人または根本原因ではない可能性があります。 問題が発生し始める前のベースライン値よりも値が異常に高い場合は、以下のステップ 2 に進みます。
2. これらの値の増加を引き起こし始めた新しいトラフィック フロー (送信元 IP、送信元ポート、宛先 IP、宛先ポート、アプリケーション別) を特定します。
   1. 案内するACC >ネットワークアクティビティタブ > を表示ソース IP アクティビティ、宛先 IP アクティビティ、 とアプリケーションの使用法チャート
   2. 上記のグラフで、バイト、セッション、パケット レートなど（特に、新しい問題が発生し始めてからのみ出現したトラフィック フロー）。 問題が発生した場合にのみグラフに表示される特定のトラフィック フローまたはアプリケーションを探します。は発生しており、はいいえ問題が発生していないときに表示される
   3. CLI コマンドを実行します。 > 実行中のアプリケーションの統計を表示するアプリケーションの列の値が異常に高いかどうかを確認します (特に、Web ブラウジング、unknown-udp、unknown-tcp、dns、ms-ds-smb、ms-ds-smbv2、ms-ds-smbv3、mssql-db などの高データ レートのアプリケーション、またはカスタム アプリケーションの場合)。
   4. 上記の手順でトラフィック フローまたはアプリケーションが攻撃者の可能性として際立っている場合、つまり、トラフィックや CPU 使用率の問題がない通常の稼働時間よりも値が高い場合、ファイアウォールを通過するトラフィック フローを一時的に停止し、CTD 関連の値が> データプレーンのパフォーマンスをデバッグする(sml_vm、ctd_token、detector_run_p1、または detecter_run_p2) は通常のレベルに戻り、トラフィックの問題が解消された場合
3. 次の方法により、特定のトラフィック フローに対して行われる検査を削減します。
   1. を作成しますカスタムアプリケーションそのトラフィック用 (不明な udp または不明な tcp として分類されないように)
   2. 代わりに、セキュリティ プロファイルが添付されていないセキュリティ ポリシー ルールを通じてそのトラフィックを送信します (または、有効な署名が少なく、厳密性の低いプロファイルを使用します)。
   3. DSRI を有効にするそのトラフィックが受け取るセキュリティ ポリシー ルールについて
   4. を作成しますアプリケーションオーバーライドそのトラフィック用 (トラフィックが組織によって信頼されている場合にのみ使用します)