Del via


Effektivitetsanalyse til Microsoft Defender Antivirus

Gælder for

Platforme

  • Windows

Forudsætninger

Ydeevneanalysen til Microsoft Defender Antivirus har følgende forudsætninger:

  • Understøttede Windows-versioner:
  • Platformversion: 4.18.2108.7 eller nyere
  • PowerShell-version: PowerShell Version 5.1, PowerShell ISE, remote PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Hvad er Ydeevneanalyse for Microsoft Defender Antivirus?

Hvis der er problemer med ydeevnen for de enheder, der kører Microsoft Defender Antivirus, kan du bruge effektivitetsanalysen til at forbedre ydeevnen af Microsoft Defender Antivirus. Effektivitetsanalyse er et PowerShell-kommandolinjeværktøj, der hjælper dig med at bestemme filer, filtypenavne og processer, der kan medføre problemer med ydeevnen på individuelle slutpunkter under antivirusscanninger. Du kan bruge de oplysninger, der indsamles af Effektivitetsanalyse, til at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger.

På samme måde som mekanikere udfører diagnosticering og service på et køretøj, der har problemer med ydeevnen, kan effektivitetsanalysen hjælpe dig med at forbedre Ydeevnen for Microsoft Defender Antivirus.

Konceptuelt billede af effektivitetsanalyse for Microsoft Defender Antivirus.

Nogle af de indstillinger, der skal analyseres, omfatter:

  • Topstier, der påvirker scanningstiden
  • De mest populære filer, der påvirker scanningstiden
  • De vigtigste processer, der påvirker scanningstiden
  • De mest populære filtypenavne, der påvirker scanningstiden
  • Kombinationer – f.eks.:
    • topfiler pr. filtypenavn
    • øverste stier pr. udvidelse
    • topprocesser pr. sti
    • mest populære scanninger pr. fil
    • mest populære scanninger pr. fil pr. proces

Kørsel af Effektivitetsanalyse

Processen på højt niveau til kørsel af effektivitetsanalysen omfatter følgende trin:

  1. Kør effektivitetsanalysen for at indsamle en ydeevneoptagelse af Microsoft Defender Antivirus-hændelser på slutpunktet.

    Bemærk!

    Ydeevnen af Microsoft Defender Antivirus-hændelser af typen Microsoft-Antimalware-Engine registreres via effektivitetsanalysen.

  2. Analysér scanningsresultaterne ved hjælp af forskellige optagelsesrapporter.

Brug af Effektivitetsanalyse

Hvis du vil starte optagelsen af systemhændelser, skal du åbne PowerShell i administratortilstand og udføre følgende trin:

  1. Kør følgende kommando for at starte optagelsen:

    New-MpPerformanceRecording -RecordTo <recording.etl>
    

    hvor -RecordTo parameteren angiver den fulde stiplacering, hvor sporingsfilen gemmes. Du kan få flere cmdlet-oplysninger under Microsoft Defender Antivirus-cmdlet'er.

  2. Hvis processer eller tjenester menes at påvirke ydeevnen, skal situationen genskabes ved at udføre de relevante opgaver.

  3. Tryk på ENTER for at stoppe og gemme optagelsen, eller tryk på Ctrl+C for at annullere optagelsen.

  4. Analysér resultaterne ved hjælp af parameteren for effektivitetsanalysen Get-MpPerformanceReport . Ved udførelse af kommandoen Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10får brugeren f.eks. vist en liste over top-10-scanninger for de tre øverste filer, der påvirker ydeevnen.

    Du kan få flere oplysninger om kommandolinjeparametre og -indstillinger i New-MpPerformanceRecording and Get-MpPerformanceReport.

Bemærk!

Hvis du får vist fejlen "Ydelsesoptagelsen kan ikke startes, fordi Windows Performance Recorder allerede optager", når du kører en optagelse, skal du køre følgende kommando for at stoppe den eksisterende sporing med den nye kommando: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Justering af ydeevnedata og -oplysninger

Baseret på forespørgslen kan brugeren få vist data for antal scanninger, varighed (total/min/average/max/median), sti, proces og årsag til scanning. På følgende billede vises eksempeloutputtet for en enkel forespørgsel med de 10 øverste filer med henblik på scanningseffekt.

Eksempel på output for en grundlæggende TopFiles-forespørgsel

Eksportér og konvertering til CSV og JSON

Resultaterne af effektivitetsanalysen kan også eksporteres og konverteres til en CSV- eller JSON-fil. Denne artikel indeholder eksempler, der beskriver processen med at "eksportere" og "konvertere" via eksempelkode.

Fra og med Defender-versionen 4.18.2206.Xkan brugerne få vist oplysninger om årsagen til scanningen under SkipReason kolonnen . De mulige værdier er:

  • Ikke sprunget over
  • Optimering (typisk af hensyn til ydeevnen)
  • Brugeren blev sprunget over (typisk pga. udeladelser fra brugersæt)

Til CSV

  • Sådan eksporterer du:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
  • Sådan konverterer du:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

For JSON

  • Sådan konverterer du:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Hvis du vil sikre, at maskinlæsbart output til eksport med andre databehandlingssystemer, anbefales det at bruge -Raw parameteren for Get-MpPerformanceReport. Du kan finde flere oplysninger i følgende afsnit.

PowerShell-reference

Der er to nye PowerShell-cmdlet'er, der bruges til at justere ydeevnen af Microsoft Defender Antivirus:

New-MpPerformanceRecording

I følgende afsnit beskrives referencen til den nye PowerShell-cmdlet New-MpPerformanceRecording. Denne cmdlet indsamler en ydeevneoptagelse af Microsoft Defender Antivirus-scanninger.

Syntaks: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Beskrivelse: New-MpPerformanceRecording

Cmdlet'en New-MpPerformanceRecording indsamler en ydeevneoptagelse af Microsoft Defender Antivirus-scanninger. Disse ydelsesoptagelser indeholder kerneproceshændelser i Microsoft-Antimalware og NT og kan analyseres efter samling ved hjælp af Cmdlet'en Get-MpPerformanceReport .

Denne New-MpPerformanceRecording cmdlet giver indsigt i problematiske filer, der kan medføre en forringelse af ydeevnen af Microsoft Defender Antivirus. Dette værktøj leveres "som det er og forefindes" og er ikke beregnet til at komme med forslag til undtagelser. Udeladelser kan reducere beskyttelsesniveauet på dine slutpunkter. Eventuelle udeladelser skal defineres med forsigtighed.

Du kan få flere oplysninger om effektivitetsanalysen i Dokumenter om Effektivitetsanalyse .

Vigtigt!

Denne cmdlet kræver administratorrettigheder med administratorrettigheder.

Eksempler: New-MpPerformanceRecording

Eksempel 1: Indsaml en optagelse af ydeevnen, og gem den
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

Kommandoen indsamler en optagelse af ydeevnen og gemmer den på den angivne sti: .\Defender-scans.etl.

Eksempel 2: Indsaml en ydelsesoptagelse for en ekstern PowerShell-session
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

Kommandoen indsamler en ydelsesoptagelse på Server02 (som angivet af argument $s af parametersessionen) og gemmer den på den angivne sti: C:\LocalPathOnServer02\trace.etl den Server02.

Parametre: New-MpPerformanceRecording

-Optag til

Angiver den placering, hvor ydeevnen for Microsoft Defender Antimalware skal gemmes.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Session

Angiver det PSSession objekt, hvor ydeevneoptagelsen af Microsoft Defender Antivirus skal oprettes og gemmes. Når du bruger denne kommando, henviser parameteren RecordTo til den lokale sti på fjerncomputeren. Tilgængelig med Defender-platformversion 4.18.2201.10 og nyere.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

I følgende afsnit beskrives PowerShell-cmdlet'en Get-MpPerformanceReport . Analyserer og rapporterer om ydeevneoptagelse af Microsoft Defender Antivirus.

Syntaks: Get-MpPerformanceReport

    Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile 
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath 
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>] 
    [-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>] 
    [-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>] 
    [-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>] 
    [-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>] 
    [-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>] 
    [-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>] 
    [-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>] 
    [-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw] 
    [<CommonParameters>]

Beskrivelse: Get-MpPerformanceReport

Cmdlet'en Get-MpPerformanceReport analyserer en tidligere indsamlet ydeevneoptagelse af Microsoft Defender Antivirus (New-MpPerformanceRecording) og rapporterer de filstier, filtypenavne og processer, der forårsager den største indvirkning på Microsoft Defender Antivirus-scanninger.

Effektivitetsanalysen giver indsigt i problematiske filer, der kan medføre en forringelse af ydeevnen af Microsoft Defender Antivirus. Dette værktøj leveres "som det er og forefindes" og er ikke beregnet til at komme med forslag til undtagelser. Udeladelser kan reducere beskyttelsesniveauet på dine slutpunkter. Eventuelle udeladelser skal defineres med forsigtighed.

Du kan få flere oplysninger om effektivitetsanalysen i Dokumenter om Effektivitetsanalyse .

Understøttede operativsystemversioner:

Windows Version 10 og nyere.

Bemærk!

Denne funktion er tilgængelig fra platformversionen 4.18.2108.X og nyere.

Eksempler: Get-MpPerformanceReport

Eksempel 1: Enkelt forespørgsel
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
Eksempel 2: Flere forespørgsler
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
Eksempel 3: Indlejrede forespørgsler
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
Eksempel 4: Brug af parameteren -MinDuration
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
Eksempel 5: Brug af parameteren -Raw
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

Brug -Raw i kommandoen angiver, at outputtet skal være maskinlæsbart og let kan konverteres til serialiseringsformater, f.eks. JSON.

Parametre: Get-MpPerformanceReport

-TopPaths

Anmoder om en rapport med topstier og angiver, hvor mange topstier der skal udskrives, sorteret efter varighed. Aggregerer scanningerne baseret på deres sti og mappe. Brugeren kan angive, hvor mange mapper der skal vises på hvert niveau og dybden af markeringen.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth

Angiver rekursiv dybde, der bruges til at gruppere og vise resultater for aggregerede stier. Svarer f.eks C:\ . til en dybde på 1 og C:\Users\Foo svarer til en dybde på 3.

Dette flag kan ledsage alle andre indstillinger for Øverste sti. Hvis den mangler, antages en standardværdi på 3. Værdien må ikke være 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
flag definition
-TopScansPerPath Angiver, hvor mange topscanninger der skal angives for hver øverste sti.
-TopFilesPerPath Angiver, hvor mange topfiler der skal angives for hver øverste sti.
-TopScansPerFilePerPath Angiver, hvor mange topscanninger der skal udskrives for hver topfil for hver øverste sti sorteret efter "Varighed"
-TopExtensionsPerPath Angiver, hvor mange topudvidelser der skal udskrives for hver øverste sti
-TopScansPerExtensionPerPath Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse for hver øverste sti
-TopProcessesPerPath Angiver, hvor mange topprocesser der skal udskrives for hver øverste sti
-TopScansPerProcessPerPath Angiver, hvor mange topscanninger der skal udskrives for hver topproces for hver topsti
-TopPathsPerExtension Angiver, hvor mange øverste stier der skal udskrives for hver topudvidelse
-TopScansPerPathPerExtension Angiver, hvor mange topscanninger der skal udskrives for hver topsti for hver topudvidelse
-TopPathsPerProcess Angiver, hvor mange topstier der skal udskrives for hver topproces
-TopScansPerPathPerProcess Angiver, hvor mange topscanninger der skal udskrives for hver topsti for hver topproces
-MinDuration

Angiver minimumvarigheden af eventuelle scannings- eller samlede scanningsvarigheder for filer, udvidelser og processer, der er inkluderet i rapporten. accepterer værdier som 0.1234567sec, 0.1234ms, 0.1useller en gyldig TimeSpan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Sti

Angiver stien eller stierne til en eller flere placeringer.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-Rå

Angiver, at outputtet af ydelsesoptagelsen skal være maskinlæsbart og let kan konverteres til serialiseringsformater, f.eks. JSON (f.eks. via kommandoen Konvertér til JSON). Denne konfiguration anbefales til brugere, der er interesseret i batchbehandling med andre databehandlingssystemer.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-Topudvidelser

Angiver, hvor mange topudvidelser der skal udskrives, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess

Angiver, hvor mange topudvidelser der skal udskrives for hver topproces sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiler

Anmoder om en rapport med topfiler og angiver, hvor mange topfiler der skal udskrives, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension

Angiver, hvor mange topfiler der skal udskrives for hver topudvidelse sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess

Angiver, hvor mange topfiler der skal udskrives for hver topproces sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Topprocesser

Anmoder om en rapport af typen topprocesser og angiver, hvor mange af de øverste processer der skal udskrives, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension

Angiver, hvor mange topprocesser der skal udskrives for hver topudvidelse sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile

Angiver, hvor mange topprocesser der skal udskrives for hver topfil sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans

Anmoder om en rapport med en topscanning og angiver, hvor mange topscanninger der skal udskrives, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension

Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess

Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse for hver topproces sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile

Angiver, hvor mange topscanninger der skal udskrives for hver topfil sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension

Angiver, hvor mange topscanninger der skal udskrives for hver topfil for hvert øverste filtypenavn, sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess

Angiver, hvor mange topscanninger for output for hver topfil for hver topproces sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess

Angiver, hvor mange topscanninger der skal udskrives for hver topproces i rapporten Topprocesser sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension

Angiver, hvor mange topscanninger for output for hver topproces for hver topudvidelse sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile

Angiver, hvor mange topscanninger for output for hver topproces for hver topfil sorteret efter varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.