Del via

Dataindsamling til avanceret fejlfinding på Windows

  • Artikel

Gælder for:

Når du samarbejder med Microsofts supportteknikere, bliver du muligvis bedt om at bruge klientanalysen til at indsamle data til fejlfinding af mere komplekse scenarier. Analysescriptet understøtter andre parametre til dette formål og kan indsamle et bestemt logsæt baseret på de observerede symptomer, der skal undersøges.

Kør MDEClientAnalyzer.cmd /? for at se listen over tilgængelige parametre og deres beskrivelse:

Parametrene for MDEClientAnalyzer.cmd

Skifte Beskrivelse Hvornår skal du bruge? Behandl, at du foretager fejlfinding.
-h Kald til Windows Performance Recorder for at indsamle en detaljeret generel ydeevnesporing ud over standardlogsættet. Langsom programstart/-start. Når du klikker på en knap i appen, tager det x sekunder længere. Et af følgende:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Kald til indbygget Windows-ydelsesmåler for at indsamle en letvægts-perfmonsporing. Dette scenarie kan være nyttigt, når du diagnosticerer problemer med langsom ydeevneforringelse, der opstår over tid, men som er svære at genskabe efter behov. Fejlfinding af programydeevne, der kan tage lang tid at genskabe (manifest) selv. Vi anbefaler, at du tager op til tre minutter (højst fem minutter), fordi dit datasæt kan blive for stort. Et af følgende:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Kald til procesovervågning til avanceret overvågning af filsystem, registreringsdatabase og proces-/trådaktivitet i realtid. Dette er især nyttigt, når du skal foretage fejlfinding af forskellige scenarier for programkompatibilitet. Procesovervågning (ProcMon) for at starte en startsporing, når du undersøger et problem, der er relateret til start af en driver eller tjeneste eller et program eller et program. Eller programmer, der hostes på et netværksshare, som ikke bruger SMB Opportunistic Locking (Oplock) korrekt, hvilket medfører problemer med programkompatibilitet. Et af følgende:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Kald til indbygget netsh.exe kommando for at starte et netværk og en Windows Firewall-sporing, der er nyttig til fejlfinding af forskellige netværksrelaterede problemer. Når du foretager fejlfinding af netværksrelaterede problemer, f.eks. Defender for Endpoint EDR-telemetri eller problemer med indsendelse af CnC-data. Microsoft Defender rapporteringsproblemer med Antivirus Cloud Protection (MAPS). Netværksbeskyttelsesrelaterede problemer osv. En af følgende processer:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b Det samme som -c men sporingen af procesovervågningen startes under næste start og stoppes kun, når -b bruges igen. Procesovervågning (ProcMon) for at starte en startsporing, når du undersøger et problem, der er relateret til start af en driver eller tjeneste eller et program eller et program. Dette scenarie kan også bruges til at undersøge en langsom start eller langsom logon. En af følgende processer:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Kald til Windows Performance Recorder for at indsamle Defender AV-klientsporing (AM-Engine og AM-Service) til analyse af problemer med Antivirus-cloudforbindelse. Når du foretager fejlfinding af rapporteringsfejl i Cloud Protection (MAPS). MsMpEng.exe
-a Kald til Windows Performance Recorder for at indsamle en detaljeret ydeevnesporing, der er specifik for analyse af høje CPU-problemer, der er relateret til antivirusprocessen (MsMpEng.exe). Når du foretager fejlfinding af høj cpu-udnyttelse med Microsoft Defender Antivirus (Eksekverbar eller MsMpEng.exe i Antimalware-tjenesten), hvis du allerede har brugt Microsoft Defender Antivirus-Effektivitetsanalyse til at indsnævre /path/process- eller /path- eller filtypenavnet, hvilket bidrager til den høje cpu-udnyttelse. Dette scenarie giver mulighed for yderligere at undersøge, hvad programmet eller tjenesten gør for at bidrage til den høje cpu-udnyttelse. MsMpEng.exe
-v Bruger antivirus MpCmdRun.exe kommandolinjeargument med de fleste detaljerede -trace-flag. Når der er brug for en avanceret fejlfinding. F.eks. når du foretager fejlfinding af rapporteringsfejl i Cloud Protection (MAPS), fejl i forbindelse med platformsopdatering, programopdateringsfejl, fejl i sikkerhedsintelligensopdatering, falske negativer osv. Kan også bruges sammen med -b, -c, -heller -l. MsMpEng.exe
-t Starter detaljeret sporing af alle komponenter på klientsiden, der er relevante for Slutpunkt DLP, hvilket er nyttigt i scenarier, hvor DLP-handlinger ikke sker som forventet for filer. Når du støder på problemer, hvor de forventede DLP-handlinger (Microsoft Endpoint Data Loss Prevention) ikke forekommer. MpDlpService.exe
-q Kald til DLPDiagnose.ps1 script fra analysemappen Tools , der validerer den grundlæggende konfiguration og kravene til Endpoint DLP. Kontrollerer den grundlæggende konfiguration og kravene til Microsoft Endpoint DLP MpDlpService.exe
-d Indsamler et hukommelsesdump af MsSenseS.exe (sensorprocessen på Windows Server 2016 eller ældre OPERATIVSYSTEM) og relaterede processer. - * Dette flag kan bruges sammen med ovennævnte flag. - ** Hentning af et hukommelsesdump af PPL-beskyttede processer , f.eks MsSense.exe . eller MsMpEng.exe understøttes ikke af analysefunktionen på nuværende tidspunkt. På Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 eller Windows Server 2016, der kører m/ MMA-agenten og har ydeevne (højt cpu- eller højt hukommelsesforbrug) eller problemer med programkompatibilitet. MsSenseS.exe
-z Konfigurerer registreringsdatabasenøgler på computeren for at forberede den til fuld indsamling af hukommelsesdump via CrashOnCtrlScroll. Dette kan være nyttigt til analyse af problemer med computerfrysning. * Hold Ctrl-tasten længst til højre nede, og tryk derefter på SCROLL LOCK to gange. Computeren hænger eller svarer ikke eller er langsom. Højt hukommelsesforbrug (hukommelsesfejl): a) Brugertilstand: Private byte b) Kernetilstand: sideinddelt pool- eller ikke-sideinddelt gruppehukommelse, håndter lækager. MSSense.exe Eller MsMpEng.exe
-k Bruger Værktøjet NotMyFault til at tvinge systemet til at gå ned og generere et maskinhukommelsesdump. Dette vil være nyttigt til analyse af forskellige problemer med stabilitet i operativsystemet. Det samme som ovenfor. MSSense.exe Eller MsMpEng.exe

Analysefunktionen og alle de scenarieflag, der er angivet i denne artikel, kan startes eksternt ved at køre RemoteMDEClientAnalyzer.cmd, som også er samlet i analyseværktøjssættet:

Parametrene for RemoteMDEClientAnalyzer.cmd

Bemærk!

Når der bruges en avanceret fejlfindingsparameter, kalder analysefunktionen også tilMpCmdRun.exe for at indsamle Microsoft Defender Antivirus-relaterede supportlogge. Du kan bruge -g flag til at validere URL-adresser for et bestemt datacenterområde, selv uden at du er onboardet til det pågældende område
Tvinger f.eks MDEClientAnalyzer.cmd -g EU . analysefunktionen til at teste URL-adresser i cloudmiljøet i området Europa.

Et par punkter, du skal være opmærksom på

Når du bruger RemoteMDEClientAnalyzer.cmd, kaldes det for psexec at downloade værktøjet fra det konfigurerede filshare og derefter køre det lokalt via PsExec.exe.

CMD-scriptet bruger flaget -r til at angive, at det kører eksternt i SYSTEM-konteksten, og brugeren bliver derfor ikke spurgt.

Det samme flag kan bruges sammen med MDEClientAnalyzer.cmd for at undgå en prompt til brugeren om at angive antallet af minutter for dataindsamling. Overvej MDEClientAnalyzer.cmd -r -i -m 5f.eks. .

  • -r angiver, at værktøjet køres fra en ekstern (eller ikke-interaktiv kontekst).
  • -i er scenarieflaget for indsamling af netværkssporing sammen med andre relaterede logge.
  • -m # angiver det antal minutter, der skal køres (vi brugte 5 minutter i vores eksempel).

Når du bruger MDEClientAnalyzer.cmd, søger scriptet efter rettigheder ved hjælp af net session, hvilket kræver, at tjenesten Server kører. Hvis det ikke er det, får du vist fejlmeddelelsen Scriptet kører med utilstrækkelige rettigheder. Kør den med administratorrettigheder, hvis ECHO er slået fra.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.