Effektivitetsanalyse for Microsoft Defender Antivirus

Gælder for

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus

Platforme

• Windows

Forudsætninger

Microsoft Defender Effektivitetsanalyse for Antivirus har følgende forudsætninger:

• Understøttede Windows-versioner: Windows 10, Windows 11, Windows 2012 R2 med den moderne Unified Solution og Windows Server 2016 og nyere
• Platformversion: 4.18.2108.7 eller nyere
• PowerShell-version: PowerShell Version 5.1, PowerShell ISE, remote PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Hvad er Microsoft Defender Ydeevneanalyse for Antivirus?

Hvis computere, der kører Microsoft Defender Antivirus, har problemer med ydeevnen, kan du bruge Effektivitetsanalyse til at forbedre ydeevnen af Microsoft Defender Antivirus. Effektivitetsanalyse til Microsoft Defender Antivirus i Windows 10, Windows 11 og Windows Server er et PowerShell-kommandolinjeværktøj, der hjælper dig med at bestemme filer, filtypenavne og processer, der kan forårsage problemer med ydeevnen på individuelle slutpunkter under antivirusscanninger. Du kan bruge de oplysninger, der indsamles af Effektivitetsanalyse, til at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger.

På samme måde som mekanikere udfører diagnosticering og service på et køretøj, der har problemer med ydeevnen, kan effektivitetsanalyse hjælpe dig med at forbedre Ydeevnen for Defender Antivirus.

Nogle af de indstillinger, der skal analyseres, omfatter:

• Topstier, der påvirker scanningstiden
• De mest populære filer, der påvirker scanningstiden
• De vigtigste processer, der påvirker scanningstiden
• De mest populære filtypenavne, der påvirker scanningstiden
• Kombinationer – f.eks.:
  • topfiler pr. filtypenavn
  • øverste stier pr. udvidelse
  • topprocesser pr. sti
  • mest populære scanninger pr. fil
  • mest populære scanninger pr. fil pr. proces

Kørsel af Effektivitetsanalyse

Processen på højt niveau for kørsel af effektivitetsanalyse omfatter følgende trin:

1. Kør Effektivitetsanalyse for at indsamle en ydeevneoptagelse af Microsoft Defender Antivirus-hændelser på slutpunktet.

   Bemærk!

   Ydeevnen for Microsoft Defender Antivirus-hændelser af typen Microsoft-Antimalware-Engine registreres via effektivitetsanalysen.

2. Analysér scanningsresultaterne ved hjælp af forskellige optagelsesrapporter.

Brug af Effektivitetsanalyse

Hvis du vil starte optagelsen af systemhændelser, skal du åbne PowerShell i administrativ tilstand og udføre følgende trin:

1. Kør følgende kommando for at starte optagelsen:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   hvor -RecordTo parameteren angiver den fulde stiplacering, hvor sporingsfilen gemmes. Du kan få flere cmdlet-oplysninger under Microsoft Defender Antivirus-cmdlet'er.

2. Hvis processer eller tjenester menes at påvirke ydeevnen, skal situationen genskabes ved at udføre de relevante opgaver.

3. Tryk på ENTER for at stoppe og gemme optagelsen, eller tryk på Ctrl+C for at annullere optagelsen.

4. Analysér resultaterne ved hjælp af parameteren for effektivitetsanalysen Get-MpPerformanceReport . Ved udførelse af kommandoen Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10får brugeren f.eks. vist en liste over top-10-scanninger for de tre øverste filer, der påvirker ydeevnen.

Du kan få flere oplysninger om kommandolinjeparametre og -indstillinger i New-MpPerformanceRecording and Get-MpPerformanceReport.

Bemærk!

Hvis du får vist fejlmeddelelsen "Ydelsesoptagelsen kan ikke startes, fordi Windows Performance Recorder allerede optager" under kørsel af en optagelse, skal du køre følgende kommando for at stoppe den eksisterende sporing med den nye kommando: wpr -cancel -instancename MSFT_MpPerformanceRecording

Justering af ydeevnedata og -oplysninger

Baseret på forespørgslen kan brugeren få vist data for antal scanninger, varighed (total/min/average/max/median), sti, proces og årsag til scanning. På følgende billede vises eksempeloutputtet for en enkel forespørgsel med de 10 øverste filer med henblik på scanningseffekt.

Yderligere funktionalitet: eksport og konvertering til CSV og JSON

Resultaterne af effektivitetsanalysen kan også eksporteres og konverteres til en CSV- eller JSON-fil. Du kan finde eksempler, der beskriver processen med at "eksportere" og "konvertere" via eksempelkoder, i følgende afsnit.

Fra og med Defender-versionen 4.18.2206.Xkan brugerne få vist oplysninger om årsagen til scanningsoverspring under kolonnen "SkipReason". De mulige værdier er:

• Ikke sprunget over
• Optimering (typisk af hensyn til ydeevnen)
• Brugeren blev sprunget over (typisk pga. udeladelser fra brugersæt)

Til CSV

• Sådan eksporterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Sådan konverterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

For JSON

• Sådan konverterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Hvis du vil sikre, at maskinlæsbart output til eksport med andre databehandlingssystemer, anbefales det at bruge -Raw parameteren for Get-MpPerformanceReport. Du kan finde flere oplysninger i følgende afsnit.

PowerShell-reference

Der er to nye PowerShell-cmdlet'er, der bruges til at justere ydeevnen for Microsoft Defender Antivirus:

• Ny-MpPerformanceRecording
• Get-MpPerformanceReport

New-MpPerformanceRecording

I følgende afsnit beskrives referencen til den nye PowerShell-cmdlet New-MpPerformanceRecording. Denne cmdlet indsamler en ydeevneoptagelse af Microsoft Defender Antivirus-scanninger.

Syntaks: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Beskrivelse: New-MpPerformanceRecording

Cmdlet'en New-MpPerformanceRecording indsamler en ydeevneoptagelse af Microsoft Defender Antivirus-scanninger. Disse ydelsesoptagelser indeholder kerneproceshændelser i Microsoft-Antimalware og NT og kan analyseres efter samling ved hjælp af Cmdlet'en Get-MpPerformanceReport .

Denne New-MpPerformanceRecording cmdlet giver indsigt i problematiske filer, der kan forårsage en forringelse af ydeevnen af Microsoft Defender Antivirus. Dette værktøj leveres "SOM ER OG FOREFINDES" og er ikke beregnet til at komme med forslag til undtagelser. Udeladelser kan reducere beskyttelsesniveauet på dine slutpunkter. Eventuelle udeladelser skal defineres med forsigtighed.

Du kan få flere oplysninger om effektivitetsanalysen i dokumenter om Effektivitetsanalyse.

Vigtigt!

Denne cmdlet kræver administratorrettigheder med administratorrettigheder.

Eksempler: New-MpPerformanceRecording

Eksempel 1: Indsaml en optagelse af ydeevnen, og gem den

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

Ovenstående kommando indsamler en optagelse af ydeevnen og gemmer den på den angivne sti: .\Defender-scans.etl.

Eksempel 2: Indsaml en ydelsesoptagelse for en ekstern PowerShell-session

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

Ovenstående kommando indsamler en optagelse af ydeevnen på Server02 (som angivet af argument $s af parametersessionen) og gemmer den i den angivne sti: C:\LocalPathOnServer02\trace.etl på Server02.

Parametre: New-MpPerformanceRecording

-Optag til

Angiver den placering, hvor ydelsesoptagelsen Microsoft Defender Antimalware skal gemmes.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Session

Angiver det PSSession-objekt, hvor ydelsesoptagelsen Microsoft Defender Antivirus skal oprettes og gemmes. Når du bruger denne parameter, henviser parameteren RecordTo til den lokale sti på fjerncomputeren. Tilgængelig med Defender platform version 4.18.2201.10.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

I følgende afsnit beskrives Get-MpPerformanceReport PowerShell-cmdlet'en. Analyserer og rapporterer om ydelsesoptagelse Microsoft Defender Antivirus.

Syntaks: Get-MpPerformanceReport

Get-MpPerformanceReport [-Path] <String>
    [-TopScans [<Int32>]]
    [-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
            [-TopScansPerPath [<Int32>]]
            [-TopFilesPerPath [<Int32>]
                    [-TopScansPerFilePerPath [<Int32>]]
                    ]
            [-TopExtensionsPerPath [<Int32>]
                    [-TopScansPerExtensionPerPath [<Int32>]]
                    ]
            [-TopProcessesPerPath [<Int32>]
                    [-TopScansPerProcessPerPath [<Int32>]]
                    ]
            ]
    [-TopFiles [<Int32>]
            [-TopScansPerFile [<Int32>]]
            [-TopProcessesPerFile [<Int32>]
                    [-TopScansPerProcessPerFile [<Int32>]]
                    ]
            ]
    [-TopExtensions [<Int32>]
            [-TopScansPerExtension [<Int32>]
            [-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerExtension [<Int32>]]
                    ]
            [-TopProcessesPerExtension [<Int32>]
                    [-TopScansPerProcessPerExtension [<Int32>]]
                    ]
            [-TopFilesPerExtension [<Int32>]
                    [-TopScansPerFilePerExtension [<Int32>]]
                    ]
            ]
    [-TopProcesses [<Int32>]
            [-TopScansPerProcess [<Int32>]]
            [-TopExtensionsPerProcess [<Int32>]
                    [-TopScansPerExtensionPerProcess [<Int32>]]
                    ]
            [-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerProcess [<Int32>]]
                    ]
            [-TopFilesPerProcess [<Int32>]
                    [-TopScansPerFilePerProcess [<Int32>]]
                    ]
            ]
    [-MinDuration <String>]
    [-Raw]

Beskrivelse: Get-MpPerformanceReport

Cmdlet'en Get-MpPerformanceReport analyserer en tidligere indsamlet Microsoft Defender Ydeevneoptagelse af Antivirus (New-MpPerformanceRecording) og rapporterer de filstier, filtypenavne og processer, der forårsager den største indvirkning på Microsoft Defender Antivirus-scanninger.

Effektivitetsanalysen giver indsigt i problematiske filer, der kan medføre en forringelse af ydeevnen af Microsoft Defender Antivirus. Dette værktøj leveres som "SOM ER" og er ikke beregnet til at komme med forslag til undtagelser. Udeladelser kan reducere beskyttelsesniveauet på dine slutpunkter. Eventuelle udeladelser skal defineres med forsigtighed.

Du kan få flere oplysninger om effektivitetsanalysen i dokumenter om Effektivitetsanalyse.

Understøttede operativsystemversioner:

Windows Version 10 og nyere.

Bemærk!

Denne funktion er tilgængelig fra og med platformversion 4.18.2108.X og nyere.

Eksempler: Get-MpPerformanceReport

Eksempel 1: Enkelt forespørgsel

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

Eksempel 2: Flere forespørgsler

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

Eksempel 3: Indlejrede forespørgsler

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

Eksempel 4: Brug af parameteren -MinDuration

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

Eksempel 5: Brug af parameteren -Raw

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

Brug af -Raw i ovenstående kommando angiver, at outputtet skal være maskinlæsbart og let kan konverteres til serialiseringsformater, f.eks. JSON.

Parametre: Get-MpPerformanceReport

-TopPaths

Anmoder om en rapport med topstier og angiver, hvor mange øverste stier der skal udskrives, sorteret efter Varighed. Aggregerer scanningerne baseret på deres sti og mappe. Brugeren kan angive, hvor mange mapper der skal vises på hvert niveau og dybden af markeringen.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

Angiver rekursiv dybde, der bruges til at gruppere og vise resultater for aggregerede stier. "C:" svarer f.eks. til en dybde på 1, "C:\Users\Foo" svarer til en dybde på 3.

Dette flag kan ledsage alle andre indstillinger for Øverste sti. Hvis den mangler, antages en standardværdi på 3. Værdien må ikke være 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

Flag	Definition
-TopScansPerPath	Angiver, hvor mange topscanninger der skal angives for hver øverste sti.
-TopFilesPerPath	Angiver, hvor mange topfiler der skal angives for hver øverste sti.
-TopScansPerFilePerPath	Angiver, hvor mange topscanninger der skal udskrives for hver topfil for hver øverste sti sorteret efter "Varighed"
-TopExtensionsPerPath	Angiver, hvor mange topudvidelser der skal udskrives for hver øverste sti
-TopScansPerExtensionPerPath	Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse for hver øverste sti
-TopProcessesPerPath	Angiver, hvor mange topprocesser der skal udskrives for hver øverste sti
-TopScansPerProcessPerPath	Angiver, hvor mange topscanninger der skal udskrives for hver topproces for hver topsti
-TopPathsPerExtension	Angiver, hvor mange øverste stier der skal udskrives for hver topudvidelse
-TopScansPerPathPerExtension	Angiver, hvor mange topscanninger der skal udskrives for hver topsti for hver topudvidelse
-TopPathsPerProcess	Angiver, hvor mange topstier der skal udskrives for hver topproces
-TopScansPerPathPerProcess	Angiver, hvor mange topscanninger der skal udskrives for hver topsti for hver topproces

-MinDuration

Angiver minimumvarigheden af eventuelle scannings- eller samlede scanningsvarigheder for filer, udvidelser og processer, der er inkluderet i rapporten. accepterer værdier som f.eks. 0.1234567sec, 0.1234 ms, 0.1us eller en gyldig TimeSpan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Sti

Angiver stien eller stierne til en eller flere placeringer.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Rå

Angiver, at outputtet af ydelsesoptagelsen skal være maskinlæsbart og let kan konverteres til serialiseringsformater, f.eks. JSON (f.eks. via kommandoen Konvertér til JSON). Denne konfiguration anbefales til brugere, der er interesseret i batchbehandling med andre databehandlingssystemer.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-Topudvidelser

Angiver, hvor mange topudvidelser der skal udskrives, sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Angiver, hvor mange topudvidelser der skal udskrives for hver topproces sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiler

Anmoder om en rapport med topfiler og angiver, hvor mange topfiler der skal udskrives, sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Angiver, hvor mange topfiler der skal udskrives for hver topudvidelse sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Angiver, hvor mange topfiler der skal udskrives for hver topproces sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Topprocesser

Anmoder om en rapport med topprocesser og angiver, hvor mange af de øverste processer der skal udskrives, sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Angiver, hvor mange topprocesser der skal udskrives for hver topudvidelse sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Angiver, hvor mange topprocesser der skal udskrives for hver topfil sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Anmoder om en rapport med en topscanning og angiver, hvor mange topscanninger der skal udskrives, sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse for hver topproces sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Angiver, hvor mange topscanninger der skal udskrives for hver topfil sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Angiver, hvor mange topscanninger der skal udskrives for hver topfil for hvert øverste filtypenavn, sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Angiver, hvor mange topscanninger for output for hver topfil for hver topproces sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Angiver, hvor mange topscanninger der skal udskrives for hver topproces i rapporten Topprocesser sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Angiver, hvor mange topscanninger der søges efter output for hver topproces for hver topudvidelse, sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Angiver, hvor mange topscanninger der søges efter output for hver topproces for hver topfil sorteret efter Varighed.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Yderligere ressourcer

Hvis du leder efter Antivirus-relaterede oplysninger til andre platforme, kan du se:

• Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
• Microsoft Defender for Endpoint på Mac
• Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
• Angiv indstillinger for Microsoft Defender for Endpoint på Linux
• Microsoft Defender for Endpoint på Linux
• Konfigurer Defender for Endpoint på Android-funktioner- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.