Fejlfinding af problemer med ydeevnen i forbindelse med beskyttelse i realtid

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus

Platforme

• Windows

Hvis dit system har et højt CPU-forbrug eller ydeevneproblemer, der er relateret til beskyttelsestjenesten i realtid i Microsoft Defender for Endpoint, kan du indsende en anmodning til Microsoft Support. Følg trinnene i Indsaml Microsoft Defender Antivirus diagnosticeringsdata.

Som administrator kan du også selv foretage fejlfinding af disse problemer.

Først kan det være en god idé at kontrollere, om problemet skyldes en anden software. Læs Spørg forhandleren om antivirusudeladelser.

Ellers kan du identificere, hvilken software der er relateret til det identificerede problem med ydeevnen, ved at følge trinnene i Analysér Microsoft-beskyttelsesloggen.

Du kan også angive yderligere logge til din indsendelse til Microsoft Support ved at følge trinnene i:

• Hent proceslogge ved hjælp af Procesovervågning
• Registrer ydeevnelogge ved hjælp af Windows Performance Recorder

Hvis du vil have mere at vide om ydeevnespecifikke problemer, der er relateret til Microsoft Defender Antivirus, skal du se: Effektivitetsanalyse for Microsoft Defender Antivirus

Kontakt forhandleren for at få antivirusudeladelser

Hvis du nemt kan identificere den software, der påvirker systemets ydeevne, skal du gå til softwareleverandørens videnbase eller supportcenter. Søg, hvis de har anbefalinger om antivirusudeladelser. Hvis leverandørens websted ikke har dem, kan du åbne en supportanmodning sammen med vedkommende og bede vedkommende om at publicere en.

Vi anbefaler, at softwareleverandører følger de forskellige retningslinjer i Partnering med branchen for at minimere falske positiver. Leverandøren kan indsende sin software via Microsoft Sikkerhedsviden-portalen.

Analysér Microsoft Protection Log

Du kan finde logfilen til Microsoft-beskyttelse i C:\ProgramData\Microsoft\Windows Defender\Support.

I MPLog-xxxxxxxx-xxxxxx.log kan du finde oplysninger om den anslåede påvirkning af ydeevnen for kørsel af software som EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

---

Feltnavn	Beskrivelse
ProcessImageName	Behandl billednavn
TotalTime	Den samlede varighed i millisekunder, der er brugt på scanninger af filer, som denne proces bruger
Tælle	Antallet af scannede filer, som denne proces tilgås
Maks. tid	Varigheden i millisekunder i den længstvarende enkelte scanning af en fil, der tilgås af denne proces
MaxTimeFile	Stien til den fil, der blev åbnet af denne proces, hvor den længste scanning af MaxTime varigheden blev registreret
Anslået effekt	Den procentdel af tid, der er brugt på scanninger af filer, som denne proces tilgås, ud af den periode, hvor denne proces oplevede scanningsaktivitet

Hvis påvirkningen af ydeevnen er høj, kan du prøve at føje processen til sti-/procesudeladelser ved at følge trinnene i Konfigurer og valider udeladelser for Microsoft Defender Antivirus-scanninger.

Hvis det forrige trin ikke løser problemet, kan du indsamle flere oplysninger via Procesovervågning eller Windows Performance Recorder i følgende afsnit.

Hent proceslogge ved hjælp af Procesovervågning

Procesovervågning (ProcMon) er et avanceret overvågningsværktøj, der kan vise processer i realtid. Du kan bruge dette til at registrere problemet med ydeevnen, efterhånden som det opstår.

1. Download Process Monitor v3.89 til en mappe som C:\temp.

2. Sådan fjernes filens webmærke:

   1. Højreklik ProcessMonitor.zip , og vælg Egenskaber.
   2. Søg efter Sikkerhed under fanen Generelt.
   3. Markér afkrydsningsfeltet ud for Fjern blokering.
   4. Vælg Anvend.

   

3. Pak filen ud, C:\temp så mappestien bliver C:\temp\ProcessMonitor.

4. Kopiér ProcMon.exe til den Windows-klient eller Windows-server, du foretager fejlfinding af.

5. Før du kører ProcMon, skal du kontrollere, at alle andre programmer, der ikke er relateret til problemet med højt CPU-forbrug, er lukket. Hvis du gør dette, minimeres antallet af processer, der skal kontrolleres.

6. Du kan starte ProcMon på to måder.

   1. Højreklik på ProcMon.exe , og vælg Kør som administrator.

      Da logføring starter automatisk, skal du vælge forstørrelsesglasikonet for at stoppe den aktuelle optagelse eller bruge tastaturgenvejen Ctrl+E.

      

      Hvis du vil kontrollere, at du har stoppet hentningen, skal du kontrollere, om forstørrelsesglasikonet nu vises med et rødt X.

      

      Derefter skal du vælge viskelæderikonet for at rydde den tidligere hentning.

      

      Eller brug tastaturgenvejen Ctrl+X.

   2. Den anden måde er at køre kommandolinjen som administrator og derefter køre fra stien Procesovervågning:

      

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Tip

      Gør vinduet ProcMon så lille som muligt, når du henter data, så du nemt kan starte og stoppe sporingen.

      

7. Når du har fulgt en af procedurerne i trin 6, får du derefter vist en indstilling for at angive filtre. Vælg OK. Du kan altid filtrere resultaterne, når hentningen er fuldført.

   

8. Hvis du vil starte hentningen, skal du vælge forstørrelsesglasikonet igen.

9. Genskab problemet.

   Tip

   Vent på, at problemet gengives fuldt ud, og notér derefter tidsstemplet, da sporingen startede.

10. Når du har to til fire minutters procesaktivitet under den høje CPU-forbrugstilstand, skal du stoppe hentningen ved at vælge forstørrelsesglasikonet.

11. Hvis du vil gemme hentningen med et entydigt navn og med .pml-formatet, skal du vælge Filer og derefter vælge Gem.... Sørg for at vælge alternativknapperne Alle hændelser og PML (Native Process Monitor Format).

    

12. Hvis du vil have bedre sporing, skal du ændre standardstien fra C:\temp\ProcessMonitor\LogFile.PML til C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML hvor:

    • %ComputerName% er enhedsnavnet
    • MMDDYEAR er måned, dag og år
    • Repro_of_issue er navnet på det problem, du forsøger at genskabe

    Tip

    Hvis du har et fungerende system, kan det være en god idé at få en eksempellog til sammenligning.

13. Zip .pml-filen, og send den til Microsoft Support.

Registrer ydeevnelogge ved hjælp af Windows Performance Recorder

Du kan bruge WPR (Windows Performance Recorder) til at inkludere yderligere oplysninger i din indsendelse til Microsoft Support. WPR er et effektivt optagelsesværktøj, der opretter Event Tracing til Windows-optagelser.

WPR er en del af Windows Assessment and Deployment Kit (Windows ADK) og kan downloades fra Download og installér Windows ADK. Du kan også downloade den som en del af Windows 10 Software Development Kit på Windows 10 SDK.

Du kan bruge WPR-brugergrænsefladen ved at følge trinnene i Hent ydelseslogge ved hjælp af brugergrænsefladen for WPR.

Du kan også bruge kommandolinjeværktøjet wpr.exe, som er tilgængeligt i Windows 8 og nyere versioner, ved at følge trinnene i Registrer ydeevnelogge ved hjælp af kommandolinjegrænsefladen for WPR.

Hent ydelseslogge ved hjælp af WPR-brugergrænsefladen

Tip

Hvis flere enheder oplever dette problem, skal du bruge den, der har mest RAM.

1. Download og installér WPR.

2. Højreklik på Windows Performance Recorder under Windows Kits.

   

   Vælg Mere. Vælg Kør som administrator.

3. Når dialogboksen Brugerkontokontrol vises, skal du vælge Ja.

   

4. Download derefter den Microsoft Defender for Endpoint analyseprofil, og gem som MDAV.wprp i en mappe som .C:\temp

5. Vælg Flere indstillinger i dialogboksen WPR.

   

6. Vælg Tilføj profiler... , og gå til stien MDAV.wprp til filen.

7. Derefter får du vist en ny profil, der er angivet under Brugerdefinerede målinger med navnet Microsoft Defender for Endpoint analyse under den.

   

   Advarsel

   Hvis din Windows Server har 64 GB RAM eller mere, skal du bruge den brugerdefinerede måling Microsoft Defender for Endpoint analysis for large servers i stedet for Microsoft Defender for Endpoint analysis. Ellers kan dit system forbruge en stor mængde hukommelse eller buffere, der ikke er sideopdelt, hvilket kan medføre ustabile systemer. Du kan vælge, hvilke profiler der skal tilføjes, ved at udvide Ressourceanalyse. Denne brugerdefinerede profil giver den nødvendige kontekst til dybdegående ydeevneanalyse.

8. Sådan bruger du den brugerdefinerede måling Microsoft Defender for Endpoint detaljeret analyseprofil i brugergrænsefladen i WPR:

   1. Sørg for, at der ikke er valgt nogen profiler under grupperne Første niveau, Ressourceanalyse og Scenarieanalyse .
   2. Vælg Brugerdefinerede målinger.
   3. Vælg Microsoft Defender for Endpoint analyse.
   4. Vælg Detaljeret under detaljeniveau .
   5. Vælg Fil eller hukommelse under Logføringstilstand.

   Vigtigt!

   Du skal vælge Fil for at bruge fillogføringstilstanden, hvis problemet med ydeevnen kan genskabes direkte af brugeren. De fleste problemer falder ind under denne kategori. Men hvis brugeren ikke direkte kan genskabe problemet, men nemt kan bemærke det, når problemet opstår, skal brugeren vælge Hukommelse for at bruge hukommelseslogføringstilstanden. Dette sikrer, at sporingsloggen ikke pumper overdrevent op på grund af den lange kørselstid.

9. Nu er du klar til at indsamle data. Afslut alle de programmer, der ikke er relevante for at gengive problemet med ydeevnen. Du kan vælge Skjul indstillinger for at holde pladsen optaget af WPR-vinduet.

   

   Tip

   Prøv at starte sporingen heltalssekunder. For eksempel 01:30:00. Det gør det nemmere at analysere dataene. Prøv også at holde styr på tidsstemplet for præcis, hvornår problemet genskabes.

10. Vælg Start.

    

11. Genskab problemet.

    Tip

    Bevar dataindsamlingen på højst fem minutter. To til tre minutter er et godt interval, da der indsamles mange data.

12. Vælg Gem.

    

13. Udfyld Type i en detaljeret beskrivelse af problemet: med oplysninger om problemet, og hvordan du genskabede problemet.

    

    1. Vælg Filnavn: for at bestemme, hvor sporingsfilen skal gemmes. Som standard gemmes den i %user%\Documents\WPR Files\.
    2. Vælg Gem.

14. Vent, mens sporingen flettes.

    

15. Når sporingen er gemt, skal du vælge Åbn mappe.

    

    Medtag både filen og mappen i din indsendelse til Microsoft Support.

    

Hent ydelseslogge ved hjælp af kommandolinjegrænsefladen for WPR

Kommandolinjeværktøjet wpr.exe er en del af operativsystemet, der starter med Windows 8. Sådan indsamler du en WPR-sporing ved hjælp af kommandolinjeværktøjet wpr.exe:

1. Download Microsoft Defender for Endpoint analyseprofil for ydeevnesporinger til en fil, der er navngivet MDAV.wprp i en lokal mappe, f.eksC:\traces. .

2. Højreklik på ikonet Menuen Start, og vælg Windows PowerShell (Administration) eller kommandoprompt (Administration) for at åbne et Administration kommandopromptvindue.

3. Når dialogboksen Brugerkontokontrol vises, skal du vælge Ja.

4. Kør følgende kommando i prompten med administratorrettigheder for at starte en Microsoft Defender for Endpoint sporing af ydeevnen:

   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   

   Advarsel

   Hvis din Windows Server har 64 GB eller RAM eller mere, skal du bruge henholdsvis profiler WDForLargeServers.Light og WDForLargeServers.Verbose i stedet for profiler WD.Light og WD.Verbose. Ellers kan dit system forbruge en stor mængde hukommelse eller buffere, der ikke er sideopdelt, hvilket kan medføre ustabile systemer.

5. Genskab problemet.

   Tip

   Bevar dataindsamlingen til højst fem minutter. Afhængigt af scenariet er to til tre minutter et godt interval, da der indsamles mange data.

6. Kør følgende kommando ved prompten med administratorrettigheder for at stoppe sporingen af ydeevnen, og sørg for at angive oplysninger om problemet, og hvordan du har reproduceret problemet:

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. Vent, indtil sporingen er flettet.

8. Medtag både filen og mappen i din indsendelse til Microsoft Support.

Tip

Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:

• Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
• Microsoft Defender for Endpoint på Mac
• Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
• Angiv indstillinger for Microsoft Defender for Endpoint på Linux
• Microsoft Defender for Endpoint på Linux
• Konfigurer Defender for Endpoint på Android-funktioner
• Konfigurer Microsoft Defender for Endpoint på iOS-funktioner

Tip

Tip til ydeevne På grund af en række forskellige faktorer (eksempler nedenfor) Microsoft Defender Antivirus, ligesom andre antivirusprogrammer, kan det medføre problemer med ydeevnen på slutpunktsenheder. I nogle tilfælde skal du muligvis tilpasse ydeevnen for Microsoft Defender Antivirus for at afhjælpe disse problemer med ydeevnen. Microsofts Effektivitetsanalyse er et PowerShell-kommandolinjeværktøj, der hjælper med at finde ud af, hvilke filer, filstier, processer og filtypenavne der kan forårsage problemer med ydeevnen. nogle eksempler er:

• Topstier, der påvirker scanningstiden
• De mest populære filer, der påvirker scanningstiden
• De vigtigste processer, der påvirker scanningstiden
• De mest populære filtypenavne, der påvirker scanningstiden
• Kombinationer – f.eks.:
  • topfiler pr. filtypenavn
  • øverste stier pr. udvidelse
  • topprocesser pr. sti
  • mest populære scanninger pr. fil
  • mest populære scanninger pr. fil pr. proces

Du kan bruge de oplysninger, der indsamles, ved hjælp af Effektivitetsanalyse til bedre at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger. Se: Effektivitetsanalyse for Microsoft Defender Antivirus.

Se også

• Indsaml Microsoft Defender antivirusdiagnosticeringsdata
• Konfigurer og valider udeladelser for Microsoft Defender Antivirus-scanninger
• Effektivitetsanalyse for Microsoft Defender Antivirus

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.