Effektivitetsanalyse til Microsoft Defender Antivirus

Gælder for

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus

Platforme

• Windows

Forudsætninger

Ydeevneanalysen til Microsoft Defender Antivirus har følgende forudsætninger:

• Understøttede Windows-versioner:
  • Windows 10
  • Windows 11
  • Windows Server 2016 og nyere
  • Windows Server 2012 R2 (når den er onboardet ved hjælp af moderne, samlet løsning)
  • Til Windows Server 2012 R2 kræves Windows ADK (Windows Performance Toolkit). Download og installér Windows ADK
• Platformversion: 4.18.2108.7 eller nyere
• PowerShell-version: PowerShell Version 5.1, PowerShell ISE, remote PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Hvad er Ydeevneanalyse for Microsoft Defender Antivirus?

Hvis der er problemer med ydeevnen for de enheder, der kører Microsoft Defender Antivirus, kan du bruge effektivitetsanalysen til at forbedre ydeevnen af Microsoft Defender Antivirus. Effektivitetsanalyse er et PowerShell-kommandolinjeværktøj, der hjælper dig med at bestemme filer, filtypenavne og processer, der kan medføre problemer med ydeevnen på individuelle slutpunkter under antivirusscanninger. Du kan bruge de oplysninger, der indsamles af Effektivitetsanalyse, til at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger.

På samme måde som mekanikere udfører diagnosticering og service på et køretøj, der har problemer med ydeevnen, kan effektivitetsanalysen hjælpe dig med at forbedre Ydeevnen for Microsoft Defender Antivirus.

Nogle af de indstillinger, der skal analyseres, omfatter:

• Topstier, der påvirker scanningstiden
• De mest populære filer, der påvirker scanningstiden
• De vigtigste processer, der påvirker scanningstiden
• De mest populære filtypenavne, der påvirker scanningstiden
• Kombinationer – f.eks.:
  • topfiler pr. filtypenavn
  • øverste stier pr. udvidelse
  • topprocesser pr. sti
  • mest populære scanninger pr. fil
  • mest populære scanninger pr. fil pr. proces

Kørsel af Effektivitetsanalyse

Processen på højt niveau til kørsel af effektivitetsanalysen omfatter følgende trin:

1. Kør effektivitetsanalysen for at indsamle en ydeevneoptagelse af Microsoft Defender Antivirus-hændelser på slutpunktet.

   Bemærk!

   Ydeevnen af Microsoft Defender Antivirus-hændelser af typen Microsoft-Antimalware-Engine registreres via effektivitetsanalysen.

2. Analysér scanningsresultaterne ved hjælp af forskellige optagelsesrapporter.

Brug af Effektivitetsanalyse

Hvis du vil starte optagelsen af systemhændelser, skal du åbne PowerShell i administratortilstand og udføre følgende trin:

1. Kør følgende kommando for at starte optagelsen:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   hvor -RecordTo parameteren angiver den fulde stiplacering, hvor sporingsfilen gemmes. Du kan få flere cmdlet-oplysninger under Microsoft Defender Antivirus-cmdlet'er.

2. Hvis processer eller tjenester menes at påvirke ydeevnen, skal situationen genskabes ved at udføre de relevante opgaver.

3. Tryk på ENTER for at stoppe og gemme optagelsen, eller tryk på Ctrl+C for at annullere optagelsen.

4. Analysér resultaterne ved hjælp af parameteren for effektivitetsanalysen Get-MpPerformanceReport . Ved udførelse af kommandoen Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10får brugeren f.eks. vist en liste over top-10-scanninger for de tre øverste filer, der påvirker ydeevnen.

   Du kan få flere oplysninger om kommandolinjeparametre og -indstillinger i New-MpPerformanceRecording and Get-MpPerformanceReport.

Bemærk!

Hvis du får vist fejlen "Ydelsesoptagelsen kan ikke startes, fordi Windows Performance Recorder allerede optager", når du kører en optagelse, skal du køre følgende kommando for at stoppe den eksisterende sporing med den nye kommando: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Justering af ydeevnedata og -oplysninger

Baseret på forespørgslen kan brugeren få vist data for antal scanninger, varighed (total/min/average/max/median), sti, proces og årsag til scanning. På følgende billede vises eksempeloutputtet for en enkel forespørgsel med de 10 øverste filer med henblik på scanningseffekt.

Eksportér og konvertering til CSV og JSON

Resultaterne af effektivitetsanalysen kan også eksporteres og konverteres til en CSV- eller JSON-fil. Denne artikel indeholder eksempler, der beskriver processen med at "eksportere" og "konvertere" via eksempelkode.

Fra og med Defender-versionen 4.18.2206.Xkan brugerne få vist oplysninger om årsagen til scanningen under SkipReason kolonnen . De mulige værdier er:

• Ikke sprunget over
• Optimering (typisk af hensyn til ydeevnen)
• Brugeren blev sprunget over (typisk pga. udeladelser fra brugersæt)

Til CSV

• Sådan eksporterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Sådan konverterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

For JSON

• Sådan konverterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Hvis du vil sikre, at maskinlæsbart output til eksport med andre databehandlingssystemer, anbefales det at bruge -Raw parameteren for Get-MpPerformanceReport. Du kan finde flere oplysninger i følgende afsnit.

PowerShell-reference

Der er to nye PowerShell-cmdlet'er, der bruges til at justere ydeevnen af Microsoft Defender Antivirus:

• Ny-MpPerformanceRecording
• Get-MpPerformanceReport

New-MpPerformanceRecording

I følgende afsnit beskrives referencen til den nye PowerShell-cmdlet New-MpPerformanceRecording. Denne cmdlet indsamler en ydeevneoptagelse af Microsoft Defender Antivirus-scanninger.

Syntaks: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Beskrivelse: New-MpPerformanceRecording

Cmdlet'en New-MpPerformanceRecording indsamler en ydeevneoptagelse af Microsoft Defender Antivirus-scanninger. Disse ydelsesoptagelser indeholder kerneproceshændelser i Microsoft-Antimalware og NT og kan analyseres efter samling ved hjælp af Cmdlet'en Get-MpPerformanceReport .

Denne New-MpPerformanceRecording cmdlet giver indsigt i problematiske filer, der kan medføre en forringelse af ydeevnen af Microsoft Defender Antivirus. Dette værktøj leveres "som det er og forefindes" og er ikke beregnet til at komme med forslag til undtagelser. Udeladelser kan reducere beskyttelsesniveauet på dine slutpunkter. Eventuelle udeladelser skal defineres med forsigtighed.

Du kan få flere oplysninger om effektivitetsanalysen i Dokumenter om Effektivitetsanalyse .

Vigtigt!

Denne cmdlet kræver administratorrettigheder med administratorrettigheder.

Eksempler: New-MpPerformanceRecording

Eksempel 1: Indsaml en optagelse af ydeevnen, og gem den

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

Kommandoen indsamler en optagelse af ydeevnen og gemmer den på den angivne sti: .\Defender-scans.etl.

Eksempel 2: Indsaml en ydelsesoptagelse for en ekstern PowerShell-session

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

Kommandoen indsamler en ydelsesoptagelse på Server02 (som angivet af argument $s af parametersessionen) og gemmer den på den angivne sti: C:\LocalPathOnServer02\trace.etl den Server02.

Parametre: New-MpPerformanceRecording

-Optag til

Angiver den placering, hvor ydeevnen for Microsoft Defender Antimalware skal gemmes.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Session

Angiver det PSSession objekt, hvor ydeevneoptagelsen af Microsoft Defender Antivirus skal oprettes og gemmes. Når du bruger denne kommando, henviser parameteren RecordTo til den lokale sti på fjerncomputeren. Tilgængelig med Defender-platformversion 4.18.2201.10 og nyere.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

I følgende afsnit beskrives PowerShell-cmdlet'en Get-MpPerformanceReport . Analyserer og rapporterer om ydeevneoptagelse af Microsoft Defender Antivirus.

Syntaks: Get-MpPerformanceReport

    Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile 
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath 
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>] 
    [-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>] 
    [-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>] 
    [-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>] 
    [-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>] 
    [-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>] 
    [-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>] 
    [-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>] 
    [-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw] 
    [<CommonParameters>]

Beskrivelse: Get-MpPerformanceReport

Cmdlet'en Get-MpPerformanceReport analyserer en tidligere indsamlet ydeevneoptagelse af Microsoft Defender Antivirus (New-MpPerformanceRecording) og rapporterer de filstier, filtypenavne og processer, der forårsager den største indvirkning på Microsoft Defender Antivirus-scanninger.

Effektivitetsanalysen giver indsigt i problematiske filer, der kan medføre en forringelse af ydeevnen af Microsoft Defender Antivirus. Dette værktøj leveres "som det er og forefindes" og er ikke beregnet til at komme med forslag til undtagelser. Udeladelser kan reducere beskyttelsesniveauet på dine slutpunkter. Eventuelle udeladelser skal defineres med forsigtighed.

Du kan få flere oplysninger om effektivitetsanalysen i Dokumenter om Effektivitetsanalyse .

Understøttede operativsystemversioner:

Windows Version 10 og nyere.

Bemærk!

Denne funktion er tilgængelig fra platformversionen 4.18.2108.X og nyere.

Eksempler: Get-MpPerformanceReport

Eksempel 1: Enkelt forespørgsel

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

Eksempel 2: Flere forespørgsler

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

Eksempel 3: Indlejrede forespørgsler

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

Eksempel 4: Brug af parameteren -MinDuration

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

Eksempel 5: Brug af parameteren -Raw

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

Brug -Raw i kommandoen angiver, at outputtet skal være maskinlæsbart og let kan konverteres til serialiseringsformater, f.eks. JSON.

Parametre: Get-MpPerformanceReport

-TopPaths

Anmoder om en rapport med topstier og angiver, hvor mange topstier der skal udskrives, sorteret efter varighed. Aggregerer scanningerne baseret på deres sti og mappe. Brugeren kan angive, hvor mange mapper der skal vises på hvert niveau og dybden af markeringen.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

Angiver rekursiv dybde, der bruges til at gruppere og vise resultater for aggregerede stier. Svarer f.eks C:\ . til en dybde på 1 og C:\Users\Foo svarer til en dybde på 3.

Dette flag kan ledsage alle andre indstillinger for Øverste sti. Hvis den mangler, antages en standardværdi på 3. Værdien må ikke være 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

flag	definition
-TopScansPerPath	Angiver, hvor mange topscanninger der skal angives for hver øverste sti.
-TopFilesPerPath	Angiver, hvor mange topfiler der skal angives for hver øverste sti.
-TopScansPerFilePerPath	Angiver, hvor mange topscanninger der skal udskrives for hver topfil for hver øverste sti sorteret efter "Varighed"
-TopExtensionsPerPath	Angiver, hvor mange topudvidelser der skal udskrives for hver øverste sti
-TopScansPerExtensionPerPath	Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse for hver øverste sti
-TopProcessesPerPath	Angiver, hvor mange topprocesser der skal udskrives for hver øverste sti
-TopScansPerProcessPerPath	Angiver, hvor mange topscanninger der skal udskrives for hver topproces for hver topsti
-TopPathsPerExtension	Angiver, hvor mange øverste stier der skal udskrives for hver topudvidelse
-TopScansPerPathPerExtension	Angiver, hvor mange topscanninger der skal udskrives for hver topsti for hver topudvidelse
-TopPathsPerProcess	Angiver, hvor mange topstier der skal udskrives for hver topproces
-TopScansPerPathPerProcess	Angiver, hvor mange topscanninger der skal udskrives for hver topsti for hver topproces

-MinDuration

Angiver minimumvarigheden af eventuelle scannings- eller samlede scanningsvarigheder for filer, udvidelser og processer, der er inkluderet i rapporten. accepterer værdier som 0.1234567sec, 0.1234ms, 0.1useller en gyldig TimeSpan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Sti

Angiver stien eller stierne til en eller flere placeringer.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Rå

Angiver, at outputtet af ydelsesoptagelsen skal være maskinlæsbart og let kan konverteres til serialiseringsformater, f.eks. JSON (f.eks. via kommandoen Konvertér til JSON). Denne konfiguration anbefales til brugere, der er interesseret i batchbehandling med andre databehandlingssystemer.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-Topudvidelser

Angiver, hvor mange topudvidelser der skal udskrives, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Angiver, hvor mange topudvidelser der skal udskrives for hver topproces sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiler

Anmoder om en rapport med topfiler og angiver, hvor mange topfiler der skal udskrives, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Angiver, hvor mange topfiler der skal udskrives for hver topudvidelse sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Angiver, hvor mange topfiler der skal udskrives for hver topproces sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Topprocesser

Anmoder om en rapport af typen topprocesser og angiver, hvor mange af de øverste processer der skal udskrives, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Angiver, hvor mange topprocesser der skal udskrives for hver topudvidelse sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Angiver, hvor mange topprocesser der skal udskrives for hver topfil sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Anmoder om en rapport med en topscanning og angiver, hvor mange topscanninger der skal udskrives, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse for hver topproces sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Angiver, hvor mange topscanninger der skal udskrives for hver topfil sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Angiver, hvor mange topscanninger der skal udskrives for hver topfil for hvert øverste filtypenavn, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Angiver, hvor mange topscanninger for output for hver topfil for hver topproces sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Angiver, hvor mange topscanninger der skal udskrives for hver topproces i rapporten Topprocesser sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Angiver, hvor mange topscanninger for output for hver topproces for hver topudvidelse sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Angiver, hvor mange topscanninger for output for hver topproces for hver topfil sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.