مشاركة عبر

استكشاف مشاكل الأداء المتعلقة بالحماية في الوقت الحقيقي وإصلاحها

  • مقالة

ينطبق على:

الأنظمة الأساسية

  • بالنسبة لنظام التشغيل

إذا كان النظام الخاص بك لديه مشكلات عالية في استخدام وحدة المعالجة المركزية أو الأداء المتعلقة بخدمة الحماية في الوقت الحقيقي في Microsoft Defender لنقطة النهاية، يمكنك إرسال تذكرة إلى دعم Microsoft. اتبع الخطوات الواردة في جمع بيانات تشخيص برنامج الحماية من الفيروسات Microsoft Defender.

بصفتك مسؤولا، يمكنك أيضا استكشاف هذه المشكلات وإصلاحها بنفسك.

أولا، قد ترغب في التحقق مما إذا كانت المشكلة ناتجة عن برنامج آخر. اقرأ التحقق من المورد لمعرفة استثناءات مكافحة الفيروسات.

وإلا، يمكنك تحديد البرنامج المرتبط بمشكلة الأداء المحددة باتباع الخطوات الواردة في تحليل سجل حماية Microsoft.

يمكنك أيضا توفير سجلات إضافية لإرسالك إلى دعم Microsoft باتباع الخطوات الواردة في:

بالنسبة للمشكلات الخاصة بالأداء المتعلقة Microsoft Defender Antivirus، راجع: محلل الأداء لبرنامج مكافحة الفيروسات Microsoft Defender

التحقق من البائع بحثا عن استثناءات مكافحة الفيروسات

إذا كان بإمكانك بسهولة تحديد البرنامج الذي يؤثر على أداء النظام، فانتقل إلى قاعدة معارف مورد البرنامج أو مركز الدعم. البحث إذا كانت لديهم توصيات حول استثناءات مكافحة الفيروسات. إذا لم يكن موقع المورد على الويب يحتوي عليها، يمكنك فتح تذكرة دعم معهم ومطالبتهم بنشر تذكرة.

نوصي بموردي البرامج باتباع الإرشادات المختلفة في الشراكة مع الصناعة لتقليل الإيجابيات الكاذبة. يمكن للمورد إرسال برامجه من خلال مدخل التحليل الذكي لمخاطر الأمان من Microsoft.

تحليل سجل حماية Microsoft

يمكنك العثور على ملف سجل حماية Microsoft في C:\ProgramData\Microsoft\Windows Defender\Support.

في MPLog-xxxxxxxx-xxxxxx.log، يمكنك العثور على معلومات تأثير الأداء المقدرة لتشغيل البرامج باسم EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


اسم الحقل الوصف
ProcessImageName اسم صورة العملية
إجمالي الوقت المدة التراكمية بالمللي ثانية التي تم إنفاقها في عمليات مسح الملفات التي تم الوصول إليها بواسطة هذه العملية
عدد عدد الملفات الممسوحة ضوئيا التي تم الوصول إليها بواسطة هذه العملية
الحد الأقصى للوقت المدة بالمللي ثانية في أطول فحص فردي لملف تم الوصول إليه بواسطة هذه العملية
MaxTimeFile مسار الملف الذي تم الوصول إليه بواسطة هذه العملية الذي تم تسجيل أطول فحص للمدة له MaxTime
EstimatedImpact النسبة المئوية للوقت المستغرق في عمليات الفحص بحثا عن الملفات التي تم الوصول إليها بواسطة هذه العملية خارج الفترة التي شهدت فيها هذه العملية نشاط فحص

إذا كان تأثير الأداء مرتفعا، فحاول إضافة العملية إلى استثناءات المسار/العملية باتباع الخطوات الواردة في تكوين الاستثناءات والتحقق من صحتها Microsoft Defender عمليات فحص برنامج الحماية من الفيروسات.

إذا لم تحل الخطوة السابقة المشكلة، يمكنك جمع المزيد من المعلومات من خلال "مراقبة العملية " أو "مسجل أداء Windows" في الأقسام التالية.

تسجيل سجلات العمليات باستخدام "مراقبة العمليات"

مراقبة العملية (ProcMon) هي أداة مراقبة متقدمة يمكنها إظهار العمليات في الوقت الحقيقي. يمكنك استخدام هذا لالتقاط مشكلة الأداء أثناء حدوثها.

  1. قم بتنزيل Process Monitor v3.89 إلى مجلد مثل C:\temp.

  2. لإزالة علامة الملف على الويب:

    1. انقر بزر الماوس الأيمن فوقProcessMonitor.zip وحدد خصائص.
    2. ضمن علامة التبويب عام ، ابحث عن الأمان.
    3. حدد المربع الموجود بجانب إلغاء الحظر.
    4. حدد تطبيق.

    صفحة إزالة MOTW

  3. قم بإلغاء ضغط الملف في C:\temp بحيث يكون C:\temp\ProcessMonitorمسار المجلد .

  4. انسخ ProcMon.exe إلى عميل Windows أو خادم Windows الذي تقوم باستكشاف الأخطاء وإصلاحها.

  5. قبل تشغيل ProcMon، تأكد من إغلاق جميع التطبيقات الأخرى غير المرتبطة بمشكلة استخدام وحدة المعالجة المركزية العالية. سيؤدي القيام بذلك إلى تقليل عدد العمليات التي يجب التحقق منها.

  6. يمكنك تشغيل ProcMon بطريقتين.

    1. انقر بزر الماوس الأيمن فوق ProcMon.exe وحدد تشغيل كمسؤول.

      نظرا لأن التسجيل يبدأ تلقائيا، حدد أيقونة عدسة التكبير لإيقاف الالتقاط الحالي أو استخدم اختصار لوحة المفاتيح Ctrl+E.

      أيقونة العدسة المكبرة

      للتحقق من إيقاف الالتقاط، تحقق مما إذا كانت أيقونة العدسة المكبرة تظهر الآن مع X أحمر.

      الشرطة المائلة الحمراء

      بعد ذلك، لمسح الالتقاط السابق، حدد أيقونة الممحاة.

      الأيقونة

      أو استخدم اختصار لوحة المفاتيح Ctrl+X.

    2. الطريقة الثانية هي تشغيل سطر الأوامر كمسؤول، ثم من مسار مراقبة العملية، قم بتشغيل:

      procmon cmd 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      تلميح

      اجعل نافذة ProcMon صغيرة قدر الإمكان عند التقاط البيانات حتى تتمكن من بدء التتبع وإيقافه بسهولة.

      الصفحة التي تعرض تصغير Procmon

  7. بعد اتباع أحد الإجراءات في الخطوة 6، سترى بعد ذلك خيارا لتعيين عوامل التصفية. حدد موافق. يمكنك دائما تصفية النتائج بعد اكتمال الالتقاط.

    الصفحة التي يتم اختيار

  8. لبدء الالتقاط، حدد أيقونة العدسة المكبرة مرة أخرى.

  9. إعادة إنتاج المشكلة.

    تلميح

    انتظر حتى يتم إعادة إنتاج المشكلة بالكامل، ثم لاحظ الطابع الزمني عند بدء التتبع.

  10. بمجرد أن يكون لديك دقيقتان إلى أربع دقائق من نشاط العملية أثناء حالة استخدام وحدة المعالجة المركزية العالية، أوقف الالتقاط عن طريق تحديد أيقونة العدسة المكبرة.

  11. لحفظ الالتقاط باسم فريد وب تنسيق .pml، حدد ملف ثم حدد حفظ.... تأكد من تحديد الأزرار التبادلية كافة الأحداث وتنسيق مراقبة العملية الأصلية (PML).

    صفحة إعدادات الحفظ

  12. للحصول على تتبع أفضل، قم بتغيير المسار الافتراضي من C:\temp\ProcessMonitor\LogFile.PML إلى C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML حيث:

    • %ComputerName% هو اسم الجهاز
    • MMDDYEAR هو الشهر واليوم والسنة
    • Repro_of_issue هو اسم المشكلة التي تحاول إعادة إنتاجها

    تلميح

    إذا كان لديك نظام عمل، فقد ترغب في الحصول على نموذج سجل للمقارنة.

  13. قم بضغط ملف .pml وإرساله إلى دعم Microsoft.

تسجيل سجلات الأداء باستخدام Windows Performance Recorder

يمكنك استخدام Windows Performance Recorder (WPR) لتضمين معلومات إضافية في إرسالك إلى دعم Microsoft. WPR هي أداة تسجيل قوية تنشئ تتبع الأحداث لتسجيلات Windows.

WPR هو جزء من Windows Assessment and Deployment Kit (Windows ADK) ويمكن تنزيله من تنزيل Windows ADK وتثبيته. يمكنك أيضا تنزيله كجزء من Windows 10 Software Development Kit في Windows 10 SDK.

يمكنك استخدام واجهة مستخدم WPR باتباع الخطوات الواردة في التقاط سجلات الأداء باستخدام واجهة مستخدم WPR.

بدلا من ذلك، يمكنك أيضا استخدام أداة سطر الأوامر wpr.exe، والتي تتوفر في Windows 8 والإصدارات الأحدث باتباع الخطوات الواردة في التقاط سجلات الأداء باستخدام WPR CLI.

تسجيل سجلات الأداء باستخدام واجهة مستخدم WPR

تلميح

إذا كانت هناك أجهزة متعددة تواجه هذه المشكلة، فاستخدم الجهاز الذي يحتوي على أكبر عدد من ذاكرة الوصول العشوائي.

  1. قم بتنزيل WPR وتثبيته.

  2. ضمن Windows Kits، انقر بزر الماوس الأيمن فوق Windows Performance Recorder.

    قائمة البدء

    حدد المزيد. حدد تشغيل كمسؤول.

  3. عند ظهور مربع الحوار التحكم في حساب المستخدم، حدد نعم.

    صفحة UAC

  4. بعد ذلك، قم بتنزيل ملف تعريف تحليل Microsoft Defender لنقطة النهاية واحفظه في MDAV.wprp مجلد مثل C:\temp.

  5. في مربع الحوار WPR، حدد المزيد من الخيارات.

    الصفحة التي يمكنك تحديد المزيد من الخيارات عليها

  6. حدد إضافة ملفات تعريف... واستعرض وصولا إلى مسار MDAV.wprp الملف.

  7. بعد ذلك، يجب أن تشاهد مجموعة ملفات تعريف جديدة ضمن القياسات المخصصة المسماة Microsoft Defender لنقطة النهاية التحليل أسفلها.

    في الملف

    تحذير

    إذا كان Windows Server يحتوي على 64 غيغابايت من ذاكرة الوصول العشوائي أو أكثر، فاستخدم القياس Microsoft Defender for Endpoint analysis for large servers المخصص بدلا من Microsoft Defender for Endpoint analysis. وإلا، فقد يستهلك النظام كمية كبيرة من ذاكرة التجمع غير المصفحة أو المخازن المؤقتة التي يمكن أن تؤدي إلى عدم استقرار النظام. يمكنك اختيار ملفات التعريف التي يجب إضافتها عن طريق توسيع Resource Analysis. يوفر ملف التعريف المخصص هذا السياق الضروري لتحليل الأداء المتعمق.

  8. لاستخدام القياس المخصص Microsoft Defender لنقطة النهاية ملف تعريف التحليل المطول في واجهة مستخدم WPR:

    1. تأكد من عدم تحديد أي ملفات تعريف ضمن مجموعات فرز المستوى الأولوتحليل المواردوتحليل السيناريو .
    2. حدد القياسات المخصصة.
    3. حدد Microsoft Defender لنقطة النهاية analysis.
    4. حدد مطول ضمن مستوى التفاصيل .
    5. حدد ملف أو ذاكرة ضمن وضع التسجيل.

    هام

    يجب تحديد ملف لاستخدام وضع تسجيل الملف إذا كان يمكن إعادة إنتاج مشكلة الأداء مباشرة من قبل المستخدم. تندرج معظم المشكلات ضمن هذه الفئة. ومع ذلك، إذا لم يتمكن المستخدم من إعادة إنتاج المشكلة مباشرة ولكن يمكنه ملاحظتها بسهولة بمجرد حدوث المشكلة، يجب على المستخدم تحديد الذاكرة لاستخدام وضع تسجيل الذاكرة. وهذا يضمن أن سجل التتبع لن يتضخم بشكل مفرط بسبب وقت المدى الطويل.

  9. أنت الآن جاهز لجمع البيانات. قم بإنهاء جميع التطبيقات غير ذات الصلة بإعادة إنتاج مشكلة الأداء. يمكنك تحديد إخفاء الخيارات للحفاظ على المساحة التي تشغلها نافذة WPR صغيرة.

    خيارات إخفاء

    تلميح

    حاول بدء التتبع في عدد صحيح من الثوان. على سبيل المثال، 01:30:00. سيؤدي ذلك إلى تسهيل تحليل البيانات. حاول أيضا تعقب الطابع الزمني بالضبط عند إعادة إنتاج المشكلة.

  10. حدد البدء.

    صفحة معلومات نظام التسجيل

  11. إعادة إنتاج المشكلة.

    تلميح

    احتفظ بجمع البيانات إلى ما لا يزيد عن خمس دقائق. دقيقتان إلى ثلاث دقائق هي نطاق جيد حيث يتم جمع الكثير من البيانات.

  12. حدد حفظ.

    الخيار

  13. املأ النوع في وصف مفصل للمشكلة: بمعلومات حول المشكلة وكيفية إعادة إنتاج المشكلة.

    الجزء الذي تملأ فيه

    1. حدد اسم الملف: لتحديد مكان حفظ ملف التتبع. بشكل افتراضي، يتم حفظه في %user%\Documents\WPR Files\.
    2. حدد حفظ.

  14. انتظر أثناء دمج التتبع.

    التتبع العام لجمع WPR

  15. بمجرد حفظ التتبع، حدد فتح المجلد.

    الصفحة التي تعرض الإعلام بحفظ تتبع WPR

    قم بتضمين كل من الملف والمجلد في إرسالك إلى دعم Microsoft.

    تفاصيل الملف والمجلد

تسجيل سجلات الأداء باستخدام WPR CLI

أداة سطر الأوامر wpr.exe هي جزء من نظام التشغيل بدءا من Windows 8. لجمع تتبع WPR باستخدام أداة سطر الأوامر wpr.exe:

  1. قم بتنزيل ملف تعريف تحليل Microsoft Defender لنقطة النهاية لتتبع الأداء إلى ملف مسمى MDAV.wprp في دليل محلي مثل C:\traces.

  2. انقر بزر الماوس الأيمن فوق أيقونة قائمة البدء وحدد Windows PowerShell (مسؤول) أو موجه الأوامر (مسؤول) لفتح نافذة موجه أوامر مسؤول.

  3. عند ظهور مربع الحوار التحكم في حساب المستخدم، حدد نعم.

  4. في المطالبة المرتفعة، قم بتشغيل الأمر التالي لبدء تتبع أداء Microsoft Defender لنقطة النهاية:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    تحذير

    إذا كان Windows Server يحتوي على 64 غيغابايت أو ذاكرة وصول عشوائي أو أكثر، فاستخدم ملفات التعريف WDForLargeServers.LightWDForLargeServers.Verbose وبدلا من ملفات التعريف WD.Light و WD.Verbose، على التوالي. وإلا، فقد يستهلك النظام كمية كبيرة من ذاكرة التجمع غير المصفحة أو المخازن المؤقتة التي يمكن أن تؤدي إلى عدم استقرار النظام.

  5. إعادة إنتاج المشكلة.

    تلميح

    احتفظ بجمع البيانات لمدة لا تزيد عن خمس دقائق. اعتمادا على السيناريو، فإن دقيقتين إلى ثلاث دقائق هي نطاق جيد حيث يتم جمع الكثير من البيانات.

  6. في المطالبة المرتفعة، قم بتشغيل الأمر التالي لإيقاف تتبع الأداء، مع التأكد من توفير معلومات حول المشكلة وكيفية إعادة إنتاج المشكلة:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. انتظر حتى يتم دمج التتبع.

  8. قم بتضمين كل من الملف والمجلد في عملية الإرسال إلى دعم Microsoft.

تلميح

إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:

تلميح

تلميح الأداء نظرا لمجموعة متنوعة من العوامل (الأمثلة المذكورة أدناه) Microsoft Defender مكافحة الفيروسات، مثل برامج مكافحة الفيروسات الأخرى، يمكن أن يسبب مشكلات في الأداء على أجهزة نقطة النهاية. في بعض الحالات، قد تحتاج إلى ضبط أداء برنامج الحماية من الفيروسات Microsoft Defender للتخفيف من مشكلات الأداء هذه. محلل الأداء من Microsoft هو أداة سطر أوامر PowerShell تساعد في تحديد الملفات ومسارات الملفات والعمليات وملحقات الملفات التي قد تسبب مشكلات في الأداء؛ بعض الأمثلة هي:

  • أهم المسارات التي تؤثر على وقت الفحص
  • أهم الملفات التي تؤثر على وقت الفحص
  • أهم العمليات التي تؤثر على وقت الفحص
  • أهم ملحقات الملفات التي تؤثر على وقت الفحص
  • المجموعات - على سبيل المثال:
    • أهم الملفات لكل ملحق
    • أهم المسارات لكل ملحق
    • أهم العمليات لكل مسار
    • أهم عمليات الفحص لكل ملف
    • أهم عمليات الفحص لكل ملف لكل عملية

يمكنك استخدام المعلومات التي تم جمعها باستخدام محلل الأداء لتقييم مشكلات الأداء بشكل أفضل وتطبيق إجراءات المعالجة. راجع: محلل الأداء لبرنامج مكافحة الفيروسات Microsoft Defender.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.