تجميع البيانات من أجل استكشاف الأخطاء وإصلاحها على Windows

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية

• Defender for Endpoint الخطة 2

• Microsoft Defender for Business

• برنامج الحماية من الفيروسات من Microsoft Defender

عند التعاون مع محترفي دعم Microsoft، قد يطلب منك استخدام محلل العميل لجمع البيانات لاستكشاف أخطاء السيناريوهات الأكثر تعقيدا وإصلاحها. يدعم البرنامج النصي المحلل معلمات أخرى لهذا الغرض ويمكنه جمع مجموعة سجل محددة استنادا إلى الأعراض التي تمت ملاحظتها والتي تحتاج إلى التحقيق.

قم بتشغيل MDEClientAnalyzer.cmd /? لمشاهدة قائمة المعلمات المتوفرة ووصفها:

التبديل	الوصف	متى تستخدم	معالجة استكشاف الأخطاء وإصلاحها.
-h	استدعاءات إلى Windows Performance Recorder لجمع تتبع أداء عام مطول بالإضافة إلى مجموعة السجلات القياسية.	بدء/تشغيل التطبيق البطيء. عند النقر فوق زر على التطبيق، يستغرق الأمر x ثواني أطول.	أحد الإجراءات التالية: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-l	استدعاءات في Windows Performance Monitor المضمنة لجمع تتبع perfmon خفيف الوزن. يمكن أن يكون هذا السيناريو مفيدا عند تشخيص مشكلات انخفاض الأداء البطيئة التي تحدث بمرور الوقت ولكن من الصعب إعادة إنتاجها عند الطلب.	استكشاف أخطاء أداء التطبيق التي قد تكون بطيئة في إعادة إنتاج (البيان) نفسه وإصلاحها. نوصي بالتقاط ما يصل إلى ثلاث دقائق (على الأكثر خمس دقائق)، لأن مجموعة البيانات الخاصة بك قد تصبح كبيرة جدا.	أحد الإجراءات التالية: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-c	استدعاءات إلى مراقبة العملية للمراقبة المتقدمة لنظام الملفات في الوقت الحقيقي والسجل ونشاط العملية/مؤشر الترابط. هذا مفيد بشكل خاص عند استكشاف أخطاء سيناريوهات توافق التطبيقات المختلفة وإصلاحها.	مراقبة العملية (ProcMon) لبدء تتبع التمهيد عند التحقيق في مشكلة تتعلق بتأخير تشغيل برنامج التشغيل أو الخدمة أو التطبيق. أو التطبيقات المستضافة على مشاركة شبكة لا تستخدم SMB Opportunistic Locking (Oplock) التي تسبب مشاكل توافق التطبيق بشكل صحيح.	أحد الإجراءات التالية: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-i	استدعاءات في الأمر netsh.exe المضمن لبدء تتبع شبكة وجدار حماية Windows مفيد عند استكشاف المشكلات المختلفة المتعلقة بالشبكة وإصلاحها.	عند استكشاف المشكلات المتعلقة بالشبكة وإصلاحها مثل Defender for Endpoint EDR عن بعد أو مشكلات إرسال بيانات CnC. Microsoft Defender مشكلات الإبلاغ عن الحماية السحابية من الفيروسات (MAPS). المشكلات المتعلقة بحماية الشبكة، وما إلى ذلك.	إحدى العمليات التالية: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-b	نفس ولكن -c سيتم بدء تتبع مراقبة العملية أثناء التمهيد التالي وإيقافه فقط عند استخدام -b مرة أخرى.	مراقبة العملية (ProcMon) لبدء تتبع التمهيد عند التحقيق في مشكلة تتعلق بتأخير تشغيل برنامج التشغيل أو الخدمة أو التطبيق. يمكن أيضا استخدام هذا السيناريو للتحقيق في التمهيد البطيء أو تسجيل الدخول البطيء.	إحدى العمليات التالية: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-e	استدعاءات إلى مسجل أداء Windows لجمع تتبع عميل Defender AV (AM-Engine وAM-Service) لتحليل مشكلات اتصال سحابة مكافحة الفيروسات.	عند استكشاف أخطاء تقارير الحماية السحابية (MAPS) وإصلاحها.	MsMpEng.exe
-a	استدعاءات إلى مسجل أداء Windows لجمع تتبع أداء مطول خاص بتحليل مشكلات وحدة المعالجة المركزية العالية المتعلقة بعملية مكافحة الفيروسات (MsMpEng.exe).	عند استكشاف أخطاء الاستخدام العالي لوحدة المعالجة المركزية وإصلاحها باستخدام برنامج الحماية من الفيروسات Microsoft Defender (خدمة مكافحة البرامج الضارة القابلة للتنفيذ أو MsMpEng.exe) إذا كنت قد استخدمت بالفعل محلل الأداء مكافحة الفيروسات Microsoft Defender لتضييق نطاق /path/process أو /path أو ملحق الملف الذي يساهم في الاستخدام العالي لوحدة المعالجة المركزية. يتيح هذا السيناريو مزيدا من التحقيق في ما يفعله التطبيق أو الخدمة للمساهمة في الاستخدام العالي لوحدة المعالجة المركزية.	MsMpEng.exe
-v	يستخدم وسيطة سطر الأوامرMpCmdRun.exe مكافحة الفيروسات مع معظم علامات التتبع المطولة.	في أي وقت تكون هناك حاجة إلى استكشاف الأخطاء وإصلاحها المتقدمة. مثل عند استكشاف أخطاء تقارير الحماية السحابية (MAPS) وإصلاحها، وفشل تحديث النظام الأساسي، وفشل تحديث المحرك، وفشل تحديث التحليل الذكي للأمان، والسلبيات الخاطئة، وما إلى ذلك. يمكن أيضا استخدام مع -bأو -c-hأو أو -l.	MsMpEng.exe
-t	يبدأ التتبع المطول لجميع المكونات من جانب العميل ذات الصلة بنقطة النهاية DLP، وهو أمر مفيد للسيناريوهات التي لا تحدث فيها إجراءات DLP كما هو متوقع للملفات.	عند حدوث مشكلات حيث لا تحدث إجراءات منع فقدان بيانات نقطة النهاية من Microsoft (DLP) المتوقعة.	MpDlpService.exe
-q	استدعاءات إلى برنامج نصي DLPDiagnose.ps1 من دليل المحلل Tools الذي يتحقق من صحة التكوين الأساسي والمتطلبات لنقطة النهاية DLP.	التحقق من التكوين الأساسي والمتطلبات ل Microsoft Endpoint DLP	MpDlpService.exe
-d	يجمع تفريغ الذاكرة ( MsSenseS.exe عملية الاستشعار على Windows Server 2016 أو نظام التشغيل الأقدم) والعمليات ذات الصلة. - * يمكن استخدام هذه العلامة مع العلامات المذكورة أعلاه. - ** التقاط تفريغ الذاكرة للعمليات المحمية ب PPL مثل MsSense.exe أو MsMpEng.exe غير مدعومة من قبل المحلل في هذا الوقت.	في Windows 7 SP1 أو Windows 8.1 أو Windows Server 2008 R2 أو Windows Server 2012 R2 أو Windows Server 2016 قيد التشغيل w/ عامل MMA وأداء (استخدام وحدة المعالجة المركزية العالي أو الذاكرة العالية) أو مشكلات توافق التطبيق.	MsSenseS.exe
-z	تكوين مفاتيح التسجيل على الجهاز لإعداده لمجموعة تفريغ ذاكرة الجهاز الكاملة عبر CrashOnCtrlScroll. سيكون هذا مفيدا لتحليل مشكلات تجميد الكمبيوتر. * اضغط باستمرار على مفتاح CTRL في أقصى اليمين، ثم اضغط على مفتاح SCROLL LOCK مرتين.	الجهاز معلق أو لا يستجيب أو بطيئا. استخدام الذاكرة العالية (تسرب الذاكرة): أ) وضع المستخدم: وحدات البايت الخاصة ب) وضع Kernel: تجمع صفحات أو ذاكرة تجمع غير مدفوعة، معالجة التسربات.	MSSense.exe او MsMpEng.exe
-k	يستخدم أداة NotMyFault لإجبار النظام على التعطل وإنشاء تفريغ ذاكرة الجهاز. وسيكون هذا مفيدا لتحليل مختلف مشكلات استقرار نظام التشغيل.	كما هو موضح أعلاه.	MSSense.exe او MsMpEng.exe

يمكن بدء المحلل وجميع علامات السيناريو المدرجة في هذه المقالة عن بعد عن طريق تشغيل RemoteMDEClientAnalyzer.cmd، والذي يتم تجميعه أيضا في مجموعة أدوات المحلل:

ملاحظة

عند استخدام أي معلمة متقدمة لاستكشاف الأخطاء وإصلاحها، يستدعي المحلل أيضا MpCmdRun.exe لجمع سجلات الدعم المتعلقة ب برنامج الحماية من الفيروسات Microsoft Defender. يمكنك استخدام -g العلامة للتحقق من صحة عناوين URL لمنطقة مركز بيانات معينة حتى دون إلحاقها بتلك المنطقة
على سبيل المثال، MDEClientAnalyzer.cmd -g EU يجبر المحلل على اختبار عناوين URL السحابية في منطقة أوروبا.

بعض النقاط التي يجب مراعاتها

عند استخدام RemoteMDEClientAnalyzer.cmd، فإنه يستدعي إلى psexec لتنزيل الأداة من مشاركة الملف المكونة ثم تشغيلها محليا عبر PsExec.exe.

يستخدم البرنامج النصي CMD العلامة -r لتحديد أنه يعمل عن بعد ضمن سياق SYSTEM، وبالتالي لا يتم تقديم أي مطالبة للمستخدم.

يمكن استخدام نفس العلامة مع MDEClientAnalyzer.cmd لتجنب مطالبة المستخدم بتحديد عدد الدقائق لجمع البيانات. على سبيل المثال، ضع في اعتبارك MDEClientAnalyzer.cmd -r -i -m 5.

• -r يشير إلى أنه يتم تشغيل الأداة من سياق بعيد (أو سياق غير تفاعلي).
• -i هي علامة السيناريو لمجموعة تتبع الشبكة جنبا إلى جنب مع السجلات الأخرى ذات الصلة.
• -m # يشير إلى عدد الدقائق التي يجب تشغيلها (استخدمنا 5 دقائق في مثالنا).

عند استخدام MDEClientAnalyzer.cmd، يتحقق البرنامج النصي من الامتيازات باستخدام net session، مما يتطلب تشغيل الخدمة Server . إذا لم يكن كذلك، فستتلقى رسالة الخطأ البرنامج النصي قيد التشغيل بامتيازات غير كافية. قم بتشغيله بامتيازات المسؤول إذا كان ECHO متوقفا عن التشغيل.

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.