Sdílet prostřednictvím

Řešení potíží s výkonem souvisejících s ochranou v reálném čase

  • Článek

Platí pro:

Platformy

  • Windows

Pokud má váš systém vysoké využití procesoru nebo problémy s výkonem související se službou ochrany v reálném čase v Microsoft Defender for Endpoint, můžete odeslat lístek podpory Microsoftu. Postupujte podle pokynů v tématu Shromažďování diagnostických dat Microsoft Defender antivirové ochrany.

Jako správce můžete tyto problémy řešit i sami.

Nejprve můžete zkontrolovat, jestli problém způsobuje jiný software. Přečtěte si článek Kontrola vyloučení antivirové ochrany u dodavatele.

Jinak můžete zjistit, který software souvisí s identifikovaným problémem s výkonem, podle kroků v tématu Analýza protokolu ochrany Microsoftu.

K odeslání na podporu Microsoftu můžete také poskytnout další protokoly podle pokynů v tématu:

Problémy související s výkonem související s Microsoft Defender Antivirus najdete tady: Analyzátor výkonu pro Microsoft Defender Antivirus.

U dodavatele vyhledejte vyloučení antivirového softwaru.

Pokud můžete snadno identifikovat software, který má vliv na výkon systému, přejděte na znalostní báze nebo centrum podpory dodavatele softwaru. Search, pokud mají doporučení týkající se vyloučení antivirového softwaru. Pokud je web dodavatele neobsahuje, můžete s nimi otevřít lístek podpory a požádat ho o jeho publikování.

Doporučujeme, aby dodavatelé softwaru dodržovali různé pokyny v tématu Partnerství s odvětvím, aby minimalizovali falešně pozitivní výsledky. Dodavatel může svůj software odeslat prostřednictvím portálu Microsoft Bezpečnostní analýza.

Analýza protokolu služby Microsoft Protection

Soubor protokolu ochrany microsoftu najdete ve složce C:\ProgramData\Microsoft\Windows Defender\Support.

V MPLog-xxxxxxxx-xxxxxx.log najdete informace o odhadovaném dopadu spuštěného softwaru na výkon jako EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Název pole Popis
ProcessImageName Název image procesu
TotalTime Souhrnná doba trvání v milisekundách strávená při kontrolách souborů, ke které tento proces přistupuje
Počet Počet naskenovaných souborů, ke které tento proces přistupuje
MaxTime Doba trvání v milisekundách v nejdelším jediném prohledávání souboru, ke které tento proces přistupuje
MaxTimeFile Cesta k souboru, ke kterému tento proces přistupuje, u kterého byla zaznamenána nejdelší kontrola MaxTime doby trvání
EstimatedImpact Procento času stráveného prohledáváním souborů, ke kterým tento proces přistupuje, mimo období, ve kterém u tohoto procesu došlo k aktivitě prohledávání

Pokud je dopad na výkon vysoký, zkuste přidat proces do vyloučení cest a procesů podle kroků v tématu Konfigurace a ověření vyloučení pro Microsoft Defender antivirové kontroly.

Pokud předchozí krok problém nevyřeší, můžete shromáždit další informace prostřednictvím sledování procesu nebo služby Windows Performance Recorder v následujících částech.

Zachytávání protokolů procesů pomocí sledování procesů

Process Monitor (ProcMon) je pokročilý monitorovací nástroj, který dokáže zobrazit procesy v reálném čase. Můžete ho použít k zachycení problému s výkonem, k němuž dochází.

  1. Stáhněte si nástroj Process Monitor v3.89 do složky, jako je C:\temp.

  2. Odebrání značky souboru z webu:

    1. Klikněte pravým tlačítkem na ProcessMonitor.zip a vyberte Vlastnosti.
    2. Na kartě Obecné vyhledejte Zabezpečení.
    3. Zaškrtněte políčko vedle možnosti Odblokovat.
    4. Vyberte Použít.

    Stránka Odebrat MOTW

  3. Rozbalte soubor v C:\temp souboru tak, aby cesta ke složce byla C:\temp\ProcessMonitor.

  4. Zkopírujte ProcMon.exe na klienta Windows nebo na server Windows, který řešíte.

  5. Před spuštěním nástroje ProcMon se ujistěte, že všechny ostatní aplikace nesouvisejí s problémem s vysokým využitím procesoru jsou zavřené. Tím se minimalizuje počet procesů, které se mají zkontrolovat.

  6. ProcMon můžete spustit dvěma způsoby.

    1. Klikněte pravým tlačítkem na ProcMon.exe a vyberte Spustit jako správce.

      Vzhledem k tomu, že se protokolování spustí automaticky, vyberte ikonu lupy a zastavte aktuální záznam nebo použijte klávesovou zkratku Ctrl+E.

      Ikona lupy

      Pokud chcete ověřit, že jste záznam zastavili, zkontrolujte, jestli se teď ikona lupy zobrazuje s červeným symbolem X.

      Červené lomítko

      Pokud chcete vymazat předchozí záznam, vyberte ikonu gumy.

      Ikona Vymazat

      Nebo použijte klávesovou zkratku Ctrl+X.

    2. Druhým způsobem je spustit příkazový řádek jako správce a pak z cesty Sledování procesu spustit:

      Cmd procmon 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Tip

      Při zachytávání dat nastavte co nejmenší okno ProcMon, abyste mohli trasování snadno spustit a zastavit.

      Stránka zobrazující minimalizovaný procmon

  7. Po provedení některého z postupů v kroku 6 se zobrazí možnost nastavit filtry. Vyberte OK. Výsledky můžete filtrovat vždy po dokončení zachycení.

    Stránka, na které je vybrána možnost Vyloučit systém jako Název odfiltrování procesu

  8. Pokud chcete záznam spustit, znovu vyberte ikonu lupy.

  9. Reprodukujte problém.

    Tip

    Počkejte, až se problém plně reprodukuje, a pak si poznamenejte časové razítko při spuštění trasování.

  10. Jakmile budete mít dvě až čtyři minuty aktivity procesu během podmínky vysokého využití procesoru, zastavte zachycení výběrem ikony lupy.

  11. Pokud chcete záznam uložit s jedinečným názvem a ve formátu .pml, vyberte Soubor a pak vyberte Uložit.... Nezapomeňte vybrat přepínače Všechny události a PmL (Native Process Monitor Format).

    Stránka nastavení uložení

  12. Pro lepší sledování změňte výchozí cestu z C:\temp\ProcessMonitor\LogFile.PML umístění na C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML :

    • %ComputerName% je název zařízení.
    • MMDDYEAR je měsíc, den a rok.
    • Repro_of_issue je název problému, který se pokoušíte reprodukovat.

    Tip

    Pokud máte funkční systém, můžete si pro porovnání pořídit ukázkový protokol.

  13. Zazipujte soubor .pml a odešlete ho podpoře Microsoftu.

Zachytávání protokolů výkonu pomocí nástroje Windows Performance Recorder

Pomocí wpr (Windows Performance Recorder) můžete zahrnout další informace do odeslání pro podporu Microsoftu. WPR je výkonný nástroj pro záznam, který vytváří trasování událostí pro nahrávky Windows.

WPR je součástí sady Windows Assessment and Deployment Kit (Windows ADK) a dá se stáhnout z části Stažení a instalace sady Windows ADK. Můžete si ho také stáhnout jako součást sady Windows 10 Software Development Kit na webu Windows 10 SDK.

Uživatelské rozhraní WPR můžete použít podle kroků v tématu Zachycení protokolů výkonu pomocí uživatelského rozhraní WPR.

Případně můžete použít také nástroj příkazového řádku wpr.exe, který je k dispozici v Windows 8 a novějších verzích, a to podle pokynů v tématu Zachycení protokolů výkonu pomocí rozhraní příkazového řádku WPR.

Zachytávání protokolů výkonu pomocí uživatelského rozhraní WPR

Tip

Pokud k tomuto problému dochází u více zařízení, použijte to, které má nejvíce paměti RAM.

  1. Stáhněte a nainstalujte WPR.

  2. V části Windows Kits (Sady Windows Kits) klikněte pravým tlačítkem na Windows Performance Recorder (Záznam výkonu Systému Windows).

    Nabídka Start

    Vyberte Další. Vyberte Spustit jako správce.

  3. Když se zobrazí dialogové okno Řízení uživatelských účtů, vyberte Ano.

    Stránka Řízení uživatelských dat

  4. Pak si stáhněte profil Microsoft Defender for Endpoint analýzy a uložte ho jako MDAV.wprp do složky, jako je C:\temp.

  5. V dialogovém okně WPR vyberte Další možnosti.

    Stránka, na které můžete vybrat další možnosti

  6. Vyberte Přidat profily ... a přejděte k cestě k MDAV.wprp souboru.

  7. Potom by se měla v části Vlastní měření zobrazit nová sada profilů s názvem Microsoft Defender for Endpoint analýza.

    Soubor v souboru

    Upozornění

    Pokud má váš Windows Server 64 GB paměti RAM nebo více, použijte vlastní měření Microsoft Defender for Endpoint analysis for large servers místo Microsoft Defender for Endpoint analysis. V opačném případě by systém mohl spotřebovávat velké množství paměti nebo vyrovnávací paměti nestránkovaného fondu, což může vést k nestabilitě systému. Profily, které chcete přidat, můžete zvolit rozbalením možnosti Analýza prostředků. Tento vlastní profil poskytuje nezbytný kontext pro podrobnou analýzu výkonu.

  8. Použití vlastního Microsoft Defender for Endpoint profilu podrobné analýzy v uživatelském rozhraní WPR:

    1. Ujistěte se, že ve skupinách První úroveň posouzení, Analýza prostředků a Analýza scénářů nejsou vybrané žádné profily.
    2. Vyberte Vlastní měření.
    3. Vyberte Microsoft Defender for Endpoint analýzu.
    4. V části Úroveň podrobností vyberte Podrobné.
    5. V části Režim protokolování vyberte Soubor nebo Paměť .

    Důležité

    Pokud problém s výkonem může reprodukovat přímo uživatel, měli byste vybrat Soubor a použít režim protokolování souborů. Většina problémů spadá do této kategorie. Pokud ale uživatel nemůže problém přímo reprodukovat, ale může si ho snadno všimnout, jakmile k problému dojde, měl by uživatel vybrat paměť a použít režim protokolování paměti. Tím se zajistí, že se protokol trasování kvůli dlouhé době trvání příliš nenavýší.

  9. Teď jste připraveni shromažďovat data. Ukončete všechny aplikace, které nejsou relevantní pro reprodukci problému s výkonem. Výběrem možnosti Skrýt můžete zachovat malé místo v okně WPR.

    Možnosti Skrýt

    Tip

    Zkuste trasování spustit v celých sekundách. Například 01:30:00. Tím se usnadní analýza dat. Snažte se také sledovat časové razítko přesně toho, kdy se problém reprodukuje.

  10. Vyberte Start.

    Stránka Záznam systémových informací

  11. Reprodukujte problém.

    Tip

    Shromažďování dat nesmí být delší než pět minut. Dvě až tři minuty je dobrý rozsah, protože se shromažďuje velké množství dat.

  12. Vyberte Uložit.

    Možnost Uložit

  13. Zadejte podrobný popis problému s informacemi o problému a o tom, jak jste problém reprodukovali.

    Podokno, ve kterém vyplníte

    1. Vyberte Název souboru: a určete, kam se bude trasovací soubor ukládat. Ve výchozím nastavení se ukládá do %user%\Documents\WPR Files\.
    2. Vyberte Uložit.

  14. Počkejte, než se trasování slučuje.

    Obecné trasování shromažďování WPR

  15. Po uložení trasování vyberte Otevřít složku.

    Stránka zobrazující oznámení o uložení trasování WPR

    Do podpora Microsoftu zahrňte soubor i složku.

    Podrobnosti o souboru a složce

Zachytávání protokolů výkonu pomocí rozhraní příkazového řádku WPR

Nástroj příkazového řádku wpr.exe je součástí operačního systému počínaje Windows 8. Shromažďování trasování WPR pomocí nástroje příkazového řádku wpr.exe:

  1. Stáhněte Microsoft Defender for Endpoint profil analýzy pro trasování výkonu do souboru s názvem MDAV.wprp v místním adresáři, jako C:\tracesje .

  2. Klikněte pravým tlačítkem na ikonu Nabídky Start a výběrem Windows PowerShell (Správa) nebo Příkazového řádku (Správa) otevřete okno příkazového řádku Správa.

  3. Když se zobrazí dialogové okno Řízení uživatelských účtů, vyberte Ano.

  4. Na příkazovém řádku se zvýšenými oprávněními spusťte následující příkaz, který spustí trasování výkonu Microsoft Defender for Endpoint:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Upozornění

    Pokud má váš Windows Server 64 GB nebo více paměti RAM, použijte profily WDForLargeServers.Light a WDForLargeServers.Verbose místo profilů WD.Light a WD.Verbose. V opačném případě by systém mohl spotřebovávat velké množství paměti nebo vyrovnávací paměti nestránkovaného fondu, což může vést k nestabilitě systému.

  5. Reprodukujte problém.

    Tip

    Shromažďování dat nesmí být delší než pět minut. V závislosti na scénáři jsou vhodné dvě až tři minuty, protože se shromažďuje velké množství dat.

  6. Na příkazovém řádku se zvýšenými oprávněními spusťte následující příkaz, který zastaví trasování výkonu. Nezapomeňte zadat informace o problému a o tom, jak jste problém reprodukovali:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Počkejte, až se trasování sloučí.

  8. Do odeslání pro podporu Microsoftu zahrňte soubor i složku.

Tip

Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na:

Tip

Tip k výkonu Vzhledem k různým faktorům (příklady uvedené níže) může Microsoft Defender Antivirus, stejně jako ostatní antivirový software, způsobovat problémy s výkonem koncových zařízení. V některých případech může být potřeba vyladit výkon Microsoft Defender Antivirové ochrany, aby se tyto problémy s výkonem zmírnily. Analyzátor výkonu od Microsoftu je nástroj příkazového řádku PowerShellu, který pomáhá určit, které soubory, cesty k souborům, procesy a přípony souborů můžou způsobovat problémy s výkonem. Mezi příklady patří:

  • Hlavní cesty, které mají vliv na dobu kontroly
  • Hlavní soubory, které mají vliv na dobu kontroly
  • Hlavní procesy, které mají vliv na dobu kontroly
  • Hlavní přípony souborů, které mají vliv na dobu kontroly
  • Kombinace – například:
    • top files per extension
    • top paths per extension
    • top processes per path
    • top scans per file
    • top scans per file per process

Informace shromážděné pomocí Analyzátoru výkonu můžete použít k lepšímu posouzení problémů s výkonem a k použití nápravných akcí. Viz Analyzátor výkonu pro Microsoft Defender Antivirus.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.