استكشاف مشاكل الأداء المتعلقة بالحماية في الوقت الحقيقي وإصلاحها
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- برنامج الحماية من الفيروسات من Microsoft Defender
الأنظمة الأساسية
- بالنسبة لنظام التشغيل
إذا كان النظام الخاص بك لديه مشكلات عالية في استخدام وحدة المعالجة المركزية أو الأداء المتعلقة بخدمة الحماية في الوقت الحقيقي في Microsoft Defender لنقطة النهاية، يمكنك إرسال تذكرة إلى دعم Microsoft. اتبع الخطوات الواردة في جمع بيانات تشخيص برنامج الحماية من الفيروسات Microsoft Defender.
بصفتك مسؤولا، يمكنك أيضا استكشاف هذه المشكلات وإصلاحها بنفسك.
أولا، قد ترغب في التحقق مما إذا كانت المشكلة ناتجة عن برنامج آخر. اقرأ التحقق من المورد لمعرفة استثناءات مكافحة الفيروسات.
وإلا، يمكنك تحديد البرنامج المرتبط بمشكلة الأداء المحددة باتباع الخطوات الواردة في تحليل سجل حماية Microsoft.
يمكنك أيضا توفير سجلات إضافية لإرسالك إلى دعم Microsoft باتباع الخطوات الواردة في:
- تسجيل سجلات العمليات باستخدام "مراقبة العمليات"
- تسجيل سجلات الأداء باستخدام Windows Performance Recorder
بالنسبة للمشكلات الخاصة بالأداء المتعلقة Microsoft Defender Antivirus، راجع: محلل الأداء لبرنامج مكافحة الفيروسات Microsoft Defender
التحقق من البائع بحثا عن استثناءات مكافحة الفيروسات
إذا كان بإمكانك بسهولة تحديد البرنامج الذي يؤثر على أداء النظام، فانتقل إلى قاعدة معارف مورد البرنامج أو مركز الدعم. البحث إذا كانت لديهم توصيات حول استثناءات مكافحة الفيروسات. إذا لم يكن موقع المورد على الويب يحتوي عليها، يمكنك فتح تذكرة دعم معهم ومطالبتهم بنشر تذكرة.
نوصي بموردي البرامج باتباع الإرشادات المختلفة في الشراكة مع الصناعة لتقليل الإيجابيات الكاذبة. يمكن للمورد إرسال برامجه من خلال مدخل التحليل الذكي لمخاطر الأمان من Microsoft.
تحليل سجل حماية Microsoft
يمكنك العثور على ملف سجل حماية Microsoft في C:\ProgramData\Microsoft\Windows Defender\Support.
في MPLog-xxxxxxxx-xxxxxx.log، يمكنك العثور على معلومات تأثير الأداء المقدرة لتشغيل البرامج باسم EstimatedImpact:
Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%
اسم الحقل | الوصف |
---|---|
ProcessImageName | اسم صورة العملية |
إجمالي الوقت | المدة التراكمية بالمللي ثانية التي تم إنفاقها في عمليات مسح الملفات التي تم الوصول إليها بواسطة هذه العملية |
عدد | عدد الملفات الممسوحة ضوئيا التي تم الوصول إليها بواسطة هذه العملية |
الحد الأقصى للوقت | المدة بالمللي ثانية في أطول فحص فردي لملف تم الوصول إليه بواسطة هذه العملية |
MaxTimeFile | مسار الملف الذي تم الوصول إليه بواسطة هذه العملية الذي تم تسجيل أطول فحص للمدة له MaxTime |
EstimatedImpact | النسبة المئوية للوقت المستغرق في عمليات الفحص بحثا عن الملفات التي تم الوصول إليها بواسطة هذه العملية خارج الفترة التي شهدت فيها هذه العملية نشاط فحص |
إذا كان تأثير الأداء مرتفعا، فحاول إضافة العملية إلى استثناءات المسار/العملية باتباع الخطوات الواردة في تكوين الاستثناءات والتحقق من صحتها Microsoft Defender عمليات فحص برنامج الحماية من الفيروسات.
إذا لم تحل الخطوة السابقة المشكلة، يمكنك جمع المزيد من المعلومات من خلال "مراقبة العملية " أو "مسجل أداء Windows" في الأقسام التالية.
تسجيل سجلات العمليات باستخدام "مراقبة العمليات"
مراقبة العملية (ProcMon) هي أداة مراقبة متقدمة يمكنها إظهار العمليات في الوقت الحقيقي. يمكنك استخدام هذا لالتقاط مشكلة الأداء أثناء حدوثها.
قم بتنزيل Process Monitor v3.89 إلى مجلد مثل
C:\temp
.لإزالة علامة الملف على الويب:
- انقر بزر الماوس الأيمن فوقProcessMonitor.zip وحدد خصائص.
- ضمن علامة التبويب عام ، ابحث عن الأمان.
- حدد المربع الموجود بجانب إلغاء الحظر.
- حدد تطبيق.
قم بإلغاء ضغط الملف في
C:\temp
بحيث يكونC:\temp\ProcessMonitor
مسار المجلد .انسخ ProcMon.exe إلى عميل Windows أو خادم Windows الذي تقوم باستكشاف الأخطاء وإصلاحها.
قبل تشغيل ProcMon، تأكد من إغلاق جميع التطبيقات الأخرى غير المرتبطة بمشكلة استخدام وحدة المعالجة المركزية العالية. سيؤدي القيام بذلك إلى تقليل عدد العمليات التي يجب التحقق منها.
يمكنك تشغيل ProcMon بطريقتين.
انقر بزر الماوس الأيمن فوق ProcMon.exe وحدد تشغيل كمسؤول.
نظرا لأن التسجيل يبدأ تلقائيا، حدد أيقونة عدسة التكبير لإيقاف الالتقاط الحالي أو استخدم اختصار لوحة المفاتيح Ctrl+E.
للتحقق من إيقاف الالتقاط، تحقق مما إذا كانت أيقونة العدسة المكبرة تظهر الآن مع X أحمر.
بعد ذلك، لمسح الالتقاط السابق، حدد أيقونة الممحاة.
أو استخدم اختصار لوحة المفاتيح Ctrl+X.
الطريقة الثانية هي تشغيل سطر الأوامر كمسؤول، ثم من مسار مراقبة العملية، قم بتشغيل:
Procmon.exe /AcceptEula /Noconnect /Profiling
بعد اتباع أحد الإجراءات في الخطوة 6، سترى بعد ذلك خيارا لتعيين عوامل التصفية. حدد موافق. يمكنك دائما تصفية النتائج بعد اكتمال الالتقاط.
لبدء الالتقاط، حدد أيقونة العدسة المكبرة مرة أخرى.
إعادة إنتاج المشكلة.
تلميح
انتظر حتى يتم إعادة إنتاج المشكلة بالكامل، ثم لاحظ الطابع الزمني عند بدء التتبع.
بمجرد أن يكون لديك دقيقتان إلى أربع دقائق من نشاط العملية أثناء حالة استخدام وحدة المعالجة المركزية العالية، أوقف الالتقاط عن طريق تحديد أيقونة العدسة المكبرة.
لحفظ الالتقاط باسم فريد وب تنسيق .pml، حدد ملف ثم حدد حفظ.... تأكد من تحديد الأزرار التبادلية كافة الأحداث وتنسيق مراقبة العملية الأصلية (PML).
للحصول على تتبع أفضل، قم بتغيير المسار الافتراضي من
C:\temp\ProcessMonitor\LogFile.PML
إلىC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML
حيث:-
%ComputerName%
هو اسم الجهاز -
MMDDYEAR
هو الشهر واليوم والسنة -
Repro_of_issue
هو اسم المشكلة التي تحاول إعادة إنتاجها
تلميح
إذا كان لديك نظام عمل، فقد ترغب في الحصول على نموذج سجل للمقارنة.
-
قم بضغط ملف .pml وإرساله إلى دعم Microsoft.
تسجيل سجلات الأداء باستخدام Windows Performance Recorder
يمكنك استخدام Windows Performance Recorder (WPR) لتضمين معلومات إضافية في إرسالك إلى دعم Microsoft. WPR هي أداة تسجيل قوية تنشئ تتبع الأحداث لتسجيلات Windows.
WPR هو جزء من Windows Assessment and Deployment Kit (Windows ADK) ويمكن تنزيله من تنزيل Windows ADK وتثبيته. يمكنك أيضا تنزيله كجزء من Windows 10 Software Development Kit في Windows 10 SDK.
يمكنك استخدام واجهة مستخدم WPR باتباع الخطوات الواردة في التقاط سجلات الأداء باستخدام واجهة مستخدم WPR.
بدلا من ذلك، يمكنك أيضا استخدام أداة سطر الأوامر wpr.exe، والتي تتوفر في Windows 8 والإصدارات الأحدث باتباع الخطوات الواردة في التقاط سجلات الأداء باستخدام WPR CLI.
تسجيل سجلات الأداء باستخدام واجهة مستخدم WPR
تلميح
إذا كانت هناك أجهزة متعددة تواجه هذه المشكلة، فاستخدم الجهاز الذي يحتوي على أكبر عدد من ذاكرة الوصول العشوائي.
قم بتنزيل WPR وتثبيته.
ضمن Windows Kits، انقر بزر الماوس الأيمن فوق Windows Performance Recorder.
حدد المزيد. حدد تشغيل كمسؤول.
عند ظهور مربع الحوار التحكم في حساب المستخدم، حدد نعم.
بعد ذلك، قم بتنزيل ملف تعريف تحليل Microsoft Defender لنقطة النهاية واحفظه في
MDAV.wprp
مجلد مثلC:\temp
.في مربع الحوار WPR، حدد المزيد من الخيارات.
حدد إضافة ملفات تعريف... واستعرض وصولا إلى مسار
MDAV.wprp
الملف.بعد ذلك، يجب أن تشاهد مجموعة ملفات تعريف جديدة ضمن القياسات المخصصة المسماة Microsoft Defender لنقطة النهاية التحليل أسفلها.
تحذير
إذا كان Windows Server يحتوي على 64 غيغابايت من ذاكرة الوصول العشوائي أو أكثر، فاستخدم القياس
Microsoft Defender for Endpoint analysis for large servers
المخصص بدلا منMicrosoft Defender for Endpoint analysis
. وإلا، فقد يستهلك النظام كمية كبيرة من ذاكرة التجمع غير المصفحة أو المخازن المؤقتة التي يمكن أن تؤدي إلى عدم استقرار النظام. يمكنك اختيار ملفات التعريف التي يجب إضافتها عن طريق توسيع Resource Analysis. يوفر ملف التعريف المخصص هذا السياق الضروري لتحليل الأداء المتعمق.لاستخدام القياس المخصص Microsoft Defender لنقطة النهاية ملف تعريف التحليل المطول في واجهة مستخدم WPR:
- تأكد من عدم تحديد أي ملفات تعريف ضمن مجموعات فرز المستوى الأولوتحليل المواردوتحليل السيناريو .
- حدد القياسات المخصصة.
- حدد Microsoft Defender لنقطة النهاية analysis.
- حدد مطول ضمن مستوى التفاصيل .
- حدد ملف أو ذاكرة ضمن وضع التسجيل.
هام
يجب تحديد ملف لاستخدام وضع تسجيل الملف إذا كان يمكن إعادة إنتاج مشكلة الأداء مباشرة من قبل المستخدم. تندرج معظم المشكلات ضمن هذه الفئة. ومع ذلك، إذا لم يتمكن المستخدم من إعادة إنتاج المشكلة مباشرة ولكن يمكنه ملاحظتها بسهولة بمجرد حدوث المشكلة، يجب على المستخدم تحديد الذاكرة لاستخدام وضع تسجيل الذاكرة. وهذا يضمن أن سجل التتبع لن يتضخم بشكل مفرط بسبب وقت المدى الطويل.
أنت الآن جاهز لجمع البيانات. قم بإنهاء جميع التطبيقات غير ذات الصلة بإعادة إنتاج مشكلة الأداء. يمكنك تحديد إخفاء الخيارات للحفاظ على المساحة التي تشغلها نافذة WPR صغيرة.
تلميح
حاول بدء التتبع في عدد صحيح من الثوان. على سبيل المثال، 01:30:00. سيؤدي ذلك إلى تسهيل تحليل البيانات. حاول أيضا تعقب الطابع الزمني بالضبط عند إعادة إنتاج المشكلة.
حدد البدء.
إعادة إنتاج المشكلة.
تلميح
احتفظ بجمع البيانات إلى ما لا يزيد عن خمس دقائق. دقيقتان إلى ثلاث دقائق هي نطاق جيد حيث يتم جمع الكثير من البيانات.
حدد حفظ.
املأ النوع في وصف مفصل للمشكلة: بمعلومات حول المشكلة وكيفية إعادة إنتاج المشكلة.
- حدد اسم الملف: لتحديد مكان حفظ ملف التتبع. بشكل افتراضي، يتم حفظه في
%user%\Documents\WPR Files\
. - حدد حفظ.
- حدد اسم الملف: لتحديد مكان حفظ ملف التتبع. بشكل افتراضي، يتم حفظه في
انتظر أثناء دمج التتبع.
بمجرد حفظ التتبع، حدد فتح المجلد.
قم بتضمين كل من الملف والمجلد في إرسالك إلى دعم Microsoft.
تسجيل سجلات الأداء باستخدام WPR CLI
أداة سطر الأوامر wpr.exe هي جزء من نظام التشغيل بدءا من Windows 8. لجمع تتبع WPR باستخدام أداة سطر الأوامر wpr.exe:
قم بتنزيل ملف تعريف تحليل Microsoft Defender لنقطة النهاية لتتبع الأداء إلى ملف مسمى
MDAV.wprp
في دليل محلي مثلC:\traces
.انقر بزر الماوس الأيمن فوق أيقونة قائمة البدء وحدد Windows PowerShell (مسؤول) أو موجه الأوامر (مسؤول) لفتح نافذة موجه أوامر مسؤول.
عند ظهور مربع الحوار التحكم في حساب المستخدم، حدد نعم.
في المطالبة المرتفعة، قم بتشغيل الأمر التالي لبدء تتبع أداء Microsoft Defender لنقطة النهاية:
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
تحذير
إذا كان Windows Server يحتوي على 64 غيغابايت أو ذاكرة وصول عشوائي أو أكثر، فاستخدم ملفات التعريف
WDForLargeServers.Light
WDForLargeServers.Verbose
وبدلا من ملفات التعريفWD.Light
وWD.Verbose
، على التوالي. وإلا، فقد يستهلك النظام كمية كبيرة من ذاكرة التجمع غير المصفحة أو المخازن المؤقتة التي يمكن أن تؤدي إلى عدم استقرار النظام.إعادة إنتاج المشكلة.
تلميح
احتفظ بجمع البيانات لمدة لا تزيد عن خمس دقائق. اعتمادا على السيناريو، فإن دقيقتين إلى ثلاث دقائق هي نطاق جيد حيث يتم جمع الكثير من البيانات.
في المطالبة المرتفعة، قم بتشغيل الأمر التالي لإيقاف تتبع الأداء، مع التأكد من توفير معلومات حول المشكلة وكيفية إعادة إنتاج المشكلة:
wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
انتظر حتى يتم دمج التتبع.
قم بتضمين كل من الملف والمجلد في عملية الإرسال إلى دعم Microsoft.
تلميح
إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:
- تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
- Microsoft Defender for Endpoint على Mac
- إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
- تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
- مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
- تكوين Defender for Endpoint على ميزات Android
- تكوين Microsoft Defender for Endpoint على ميزات iOS
تلميح
تلميح الأداء نظرا لمجموعة متنوعة من العوامل (الأمثلة المذكورة أدناه) Microsoft Defender مكافحة الفيروسات، مثل برامج مكافحة الفيروسات الأخرى، يمكن أن يسبب مشكلات في الأداء على أجهزة نقطة النهاية. في بعض الحالات، قد تحتاج إلى ضبط أداء برنامج الحماية من الفيروسات Microsoft Defender للتخفيف من مشكلات الأداء هذه. محلل الأداء من Microsoft هو أداة سطر أوامر PowerShell تساعد في تحديد الملفات ومسارات الملفات والعمليات وملحقات الملفات التي قد تسبب مشكلات في الأداء؛ بعض الأمثلة هي:
- أهم المسارات التي تؤثر على وقت الفحص
- أهم الملفات التي تؤثر على وقت الفحص
- أهم العمليات التي تؤثر على وقت الفحص
- أهم ملحقات الملفات التي تؤثر على وقت الفحص
- المجموعات - على سبيل المثال:
- أهم الملفات لكل ملحق
- أهم المسارات لكل ملحق
- أهم العمليات لكل مسار
- أهم عمليات الفحص لكل ملف
- أهم عمليات الفحص لكل ملف لكل عملية
يمكنك استخدام المعلومات التي تم جمعها باستخدام محلل الأداء لتقييم مشكلات الأداء بشكل أفضل وتطبيق إجراءات المعالجة. راجع: محلل الأداء لبرنامج مكافحة الفيروسات Microsoft Defender.
راجع أيضًا
- جمع Microsoft Defender بيانات تشخيص مكافحة الفيروسات
- تكوين الاستثناءات والتحقق من صحتها لفحص برنامج الحماية من الفيروسات Microsoft Defender
- محلل الأداء لبرنامج الحماية من الفيروسات Microsoft Defender
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.