Fejlfinding af problemer med ydeevnen i forbindelse med beskyttelse i realtid
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender Antivirus
Platforme
- Windows
Hvis dit system har et højt CPU-forbrug eller ydeevneproblemer, der er relateret til beskyttelsestjenesten i realtid i Microsoft Defender for Endpoint, kan du indsende en anmodning til Microsoft Support. Følg trinnene i Indsaml Microsoft Defender Antivirus diagnosticeringsdata.
Som administrator kan du også selv foretage fejlfinding af disse problemer.
Først kan det være en god idé at kontrollere, om problemet skyldes en anden software. Læs Spørg forhandleren om antivirusudeladelser.
Ellers kan du identificere, hvilken software der er relateret til det identificerede problem med ydeevnen, ved at følge trinnene i Analysér Microsoft-beskyttelsesloggen.
Du kan også angive yderligere logge til din indsendelse til Microsoft Support ved at følge trinnene i:
- Hent proceslogge ved hjælp af Procesovervågning
- Registrer ydeevnelogge ved hjælp af Windows Performance Recorder
Hvis du vil have mere at vide om ydeevnespecifikke problemer, der er relateret til Microsoft Defender Antivirus, skal du se: Effektivitetsanalyse for Microsoft Defender Antivirus
Kontakt forhandleren for at få antivirusudeladelser
Hvis du nemt kan identificere den software, der påvirker systemets ydeevne, skal du gå til softwareleverandørens videnbase eller supportcenter. Søg, hvis de har anbefalinger om antivirusudeladelser. Hvis leverandørens websted ikke har dem, kan du åbne en supportanmodning sammen med vedkommende og bede vedkommende om at publicere en.
Vi anbefaler, at softwareleverandører følger de forskellige retningslinjer i Partnering med branchen for at minimere falske positiver. Leverandøren kan indsende sin software via Microsoft Sikkerhedsviden-portalen.
Analysér Microsoft Protection Log
Du kan finde logfilen til Microsoft-beskyttelse i C:\ProgramData\Microsoft\Windows Defender\Support.
I MPLog-xxxxxxxx-xxxxxx.log kan du finde oplysninger om den anslåede påvirkning af ydeevnen for kørsel af software som EstimatedImpact:
Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%
Feltnavn | Beskrivelse |
---|---|
ProcessImageName | Behandl billednavn |
TotalTime | Den samlede varighed i millisekunder, der er brugt på scanninger af filer, som denne proces bruger |
Tælle | Antallet af scannede filer, som denne proces tilgås |
Maks. tid | Varigheden i millisekunder i den længstvarende enkelte scanning af en fil, der tilgås af denne proces |
MaxTimeFile | Stien til den fil, der blev åbnet af denne proces, hvor den længste scanning af MaxTime varigheden blev registreret |
Anslået effekt | Den procentdel af tid, der er brugt på scanninger af filer, som denne proces tilgås, ud af den periode, hvor denne proces oplevede scanningsaktivitet |
Hvis påvirkningen af ydeevnen er høj, kan du prøve at føje processen til sti-/procesudeladelser ved at følge trinnene i Konfigurer og valider udeladelser for Microsoft Defender Antivirus-scanninger.
Hvis det forrige trin ikke løser problemet, kan du indsamle flere oplysninger via Procesovervågning eller Windows Performance Recorder i følgende afsnit.
Hent proceslogge ved hjælp af Procesovervågning
Procesovervågning (ProcMon) er et avanceret overvågningsværktøj, der kan vise processer i realtid. Du kan bruge dette til at registrere problemet med ydeevnen, efterhånden som det opstår.
Download Process Monitor v3.89 til en mappe som
C:\temp
.Sådan fjernes filens webmærke:
- Højreklik ProcessMonitor.zip , og vælg Egenskaber.
- Søg efter Sikkerhed under fanen Generelt.
- Markér afkrydsningsfeltet ud for Fjern blokering.
- Vælg Anvend.
Pak filen ud,
C:\temp
så mappestien bliverC:\temp\ProcessMonitor
.Kopiér ProcMon.exe til den Windows-klient eller Windows-server, du foretager fejlfinding af.
Før du kører ProcMon, skal du kontrollere, at alle andre programmer, der ikke er relateret til problemet med højt CPU-forbrug, er lukket. Hvis du gør dette, minimeres antallet af processer, der skal kontrolleres.
Du kan starte ProcMon på to måder.
Højreklik på ProcMon.exe , og vælg Kør som administrator.
Da logføring starter automatisk, skal du vælge forstørrelsesglasikonet for at stoppe den aktuelle optagelse eller bruge tastaturgenvejen Ctrl+E.
Hvis du vil kontrollere, at du har stoppet hentningen, skal du kontrollere, om forstørrelsesglasikonet nu vises med et rødt X.
Derefter skal du vælge viskelæderikonet for at rydde den tidligere hentning.
Eller brug tastaturgenvejen Ctrl+X.
Den anden måde er at køre kommandolinjen som administrator og derefter køre fra stien Procesovervågning:
Procmon.exe /AcceptEula /Noconnect /Profiling
Når du har fulgt en af procedurerne i trin 6, får du derefter vist en indstilling for at angive filtre. Vælg OK. Du kan altid filtrere resultaterne, når hentningen er fuldført.
Hvis du vil starte hentningen, skal du vælge forstørrelsesglasikonet igen.
Genskab problemet.
Tip
Vent på, at problemet gengives fuldt ud, og notér derefter tidsstemplet, da sporingen startede.
Når du har to til fire minutters procesaktivitet under den høje CPU-forbrugstilstand, skal du stoppe hentningen ved at vælge forstørrelsesglasikonet.
Hvis du vil gemme hentningen med et entydigt navn og med .pml-formatet, skal du vælge Filer og derefter vælge Gem.... Sørg for at vælge alternativknapperne Alle hændelser og PML (Native Process Monitor Format).
Hvis du vil have bedre sporing, skal du ændre standardstien fra
C:\temp\ProcessMonitor\LogFile.PML
tilC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML
hvor:-
%ComputerName%
er enhedsnavnet -
MMDDYEAR
er måned, dag og år -
Repro_of_issue
er navnet på det problem, du forsøger at genskabe
Tip
Hvis du har et fungerende system, kan det være en god idé at få en eksempellog til sammenligning.
-
Zip .pml-filen, og send den til Microsoft Support.
Registrer ydeevnelogge ved hjælp af Windows Performance Recorder
Du kan bruge WPR (Windows Performance Recorder) til at inkludere yderligere oplysninger i din indsendelse til Microsoft Support. WPR er et effektivt optagelsesværktøj, der opretter Event Tracing til Windows-optagelser.
WPR er en del af Windows Assessment and Deployment Kit (Windows ADK) og kan downloades fra Download og installér Windows ADK. Du kan også downloade den som en del af Windows 10 Software Development Kit på Windows 10 SDK.
Du kan bruge WPR-brugergrænsefladen ved at følge trinnene i Hent ydelseslogge ved hjælp af brugergrænsefladen for WPR.
Du kan også bruge kommandolinjeværktøjet wpr.exe, som er tilgængeligt i Windows 8 og nyere versioner, ved at følge trinnene i Registrer ydeevnelogge ved hjælp af kommandolinjegrænsefladen for WPR.
Hent ydelseslogge ved hjælp af WPR-brugergrænsefladen
Tip
Hvis flere enheder oplever dette problem, skal du bruge den, der har mest RAM.
Download og installér WPR.
Højreklik på Windows Performance Recorder under Windows Kits.
Vælg Mere. Vælg Kør som administrator.
Når dialogboksen Brugerkontokontrol vises, skal du vælge Ja.
Download derefter den Microsoft Defender for Endpoint analyseprofil, og gem som
MDAV.wprp
i en mappe som .C:\temp
Vælg Flere indstillinger i dialogboksen WPR.
Vælg Tilføj profiler... , og gå til stien
MDAV.wprp
til filen.Derefter får du vist en ny profil, der er angivet under Brugerdefinerede målinger med navnet Microsoft Defender for Endpoint analyse under den.
Advarsel
Hvis din Windows Server har 64 GB RAM eller mere, skal du bruge den brugerdefinerede måling
Microsoft Defender for Endpoint analysis for large servers
i stedet forMicrosoft Defender for Endpoint analysis
. Ellers kan dit system forbruge en stor mængde hukommelse eller buffere, der ikke er sideopdelt, hvilket kan medføre ustabile systemer. Du kan vælge, hvilke profiler der skal tilføjes, ved at udvide Ressourceanalyse. Denne brugerdefinerede profil giver den nødvendige kontekst til dybdegående ydeevneanalyse.Sådan bruger du den brugerdefinerede måling Microsoft Defender for Endpoint detaljeret analyseprofil i brugergrænsefladen i WPR:
- Sørg for, at der ikke er valgt nogen profiler under grupperne Første niveau, Ressourceanalyse og Scenarieanalyse .
- Vælg Brugerdefinerede målinger.
- Vælg Microsoft Defender for Endpoint analyse.
- Vælg Detaljeret under detaljeniveau .
- Vælg Fil eller hukommelse under Logføringstilstand.
Vigtigt!
Du skal vælge Fil for at bruge fillogføringstilstanden, hvis problemet med ydeevnen kan genskabes direkte af brugeren. De fleste problemer falder ind under denne kategori. Men hvis brugeren ikke direkte kan genskabe problemet, men nemt kan bemærke det, når problemet opstår, skal brugeren vælge Hukommelse for at bruge hukommelseslogføringstilstanden. Dette sikrer, at sporingsloggen ikke pumper overdrevent op på grund af den lange kørselstid.
Nu er du klar til at indsamle data. Afslut alle de programmer, der ikke er relevante for at gengive problemet med ydeevnen. Du kan vælge Skjul indstillinger for at holde pladsen optaget af WPR-vinduet.
Tip
Prøv at starte sporingen heltalssekunder. For eksempel 01:30:00. Det gør det nemmere at analysere dataene. Prøv også at holde styr på tidsstemplet for præcis, hvornår problemet genskabes.
Vælg Start.
Genskab problemet.
Tip
Bevar dataindsamlingen på højst fem minutter. To til tre minutter er et godt interval, da der indsamles mange data.
Vælg Gem.
Udfyld Type i en detaljeret beskrivelse af problemet: med oplysninger om problemet, og hvordan du genskabede problemet.
- Vælg Filnavn: for at bestemme, hvor sporingsfilen skal gemmes. Som standard gemmes den i
%user%\Documents\WPR Files\
. - Vælg Gem.
- Vælg Filnavn: for at bestemme, hvor sporingsfilen skal gemmes. Som standard gemmes den i
Vent, mens sporingen flettes.
Når sporingen er gemt, skal du vælge Åbn mappe.
Medtag både filen og mappen i din indsendelse til Microsoft Support.
Hent ydelseslogge ved hjælp af kommandolinjegrænsefladen for WPR
Kommandolinjeværktøjet wpr.exe er en del af operativsystemet, der starter med Windows 8. Sådan indsamler du en WPR-sporing ved hjælp af kommandolinjeværktøjet wpr.exe:
Download Microsoft Defender for Endpoint analyseprofil for ydeevnesporinger til en fil, der er navngivet
MDAV.wprp
i en lokal mappe, f.eksC:\traces
. .Højreklik på ikonet Menuen Start, og vælg Windows PowerShell (Administration) eller kommandoprompt (Administration) for at åbne et Administration kommandopromptvindue.
Når dialogboksen Brugerkontokontrol vises, skal du vælge Ja.
Kør følgende kommando i prompten med administratorrettigheder for at starte en Microsoft Defender for Endpoint sporing af ydeevnen:
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
Advarsel
Hvis din Windows Server har 64 GB eller RAM eller mere, skal du bruge henholdsvis profiler
WDForLargeServers.Light
ogWDForLargeServers.Verbose
i stedet for profilerWD.Light
ogWD.Verbose
. Ellers kan dit system forbruge en stor mængde hukommelse eller buffere, der ikke er sideopdelt, hvilket kan medføre ustabile systemer.Genskab problemet.
Tip
Bevar dataindsamlingen til højst fem minutter. Afhængigt af scenariet er to til tre minutter et godt interval, da der indsamles mange data.
Kør følgende kommando ved prompten med administratorrettigheder for at stoppe sporingen af ydeevnen, og sørg for at angive oplysninger om problemet, og hvordan du har reproduceret problemet:
wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
Vent, indtil sporingen er flettet.
Medtag både filen og mappen i din indsendelse til Microsoft Support.
Tip
Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:
- Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
- Microsoft Defender for Endpoint på Mac
- Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux
- Microsoft Defender for Endpoint på Linux
- Konfigurer Defender for Endpoint på Android-funktioner
- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Tip
Tip til ydeevne På grund af en række forskellige faktorer (eksempler nedenfor) Microsoft Defender Antivirus, ligesom andre antivirusprogrammer, kan det medføre problemer med ydeevnen på slutpunktsenheder. I nogle tilfælde skal du muligvis tilpasse ydeevnen for Microsoft Defender Antivirus for at afhjælpe disse problemer med ydeevnen. Microsofts Effektivitetsanalyse er et PowerShell-kommandolinjeværktøj, der hjælper med at finde ud af, hvilke filer, filstier, processer og filtypenavne der kan forårsage problemer med ydeevnen. nogle eksempler er:
- Topstier, der påvirker scanningstiden
- De mest populære filer, der påvirker scanningstiden
- De vigtigste processer, der påvirker scanningstiden
- De mest populære filtypenavne, der påvirker scanningstiden
- Kombinationer – f.eks.:
- topfiler pr. filtypenavn
- øverste stier pr. udvidelse
- topprocesser pr. sti
- mest populære scanninger pr. fil
- mest populære scanninger pr. fil pr. proces
Du kan bruge de oplysninger, der indsamles, ved hjælp af Effektivitetsanalyse til bedre at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger. Se: Effektivitetsanalyse for Microsoft Defender Antivirus.
Se også
- Indsaml Microsoft Defender antivirusdiagnosticeringsdata
- Konfigurer og valider udeladelser for Microsoft Defender Antivirus-scanninger
- Effektivitetsanalyse for Microsoft Defender Antivirus
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.