Effektivitetsanalyse for Microsoft Defender Antivirus
Gælder for
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender Antivirus
Platforme
- Windows
Forudsætninger
Microsoft Defender Effektivitetsanalyse for Antivirus har følgende forudsætninger:
- Understøttede Windows-versioner: Windows 10, Windows 11, Windows 2012 R2 med den moderne Unified Solution og Windows Server 2016 og nyere
- Platformversion:
4.18.2108.7
eller nyere - PowerShell-version: PowerShell Version 5.1, PowerShell ISE, remote PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)
Hvad er Microsoft Defender Ydeevneanalyse for Antivirus?
Hvis computere, der kører Microsoft Defender Antivirus, har problemer med ydeevnen, kan du bruge Effektivitetsanalyse til at forbedre ydeevnen af Microsoft Defender Antivirus. Effektivitetsanalyse til Microsoft Defender Antivirus i Windows 10, Windows 11 og Windows Server er et PowerShell-kommandolinjeværktøj, der hjælper dig med at bestemme filer, filtypenavne og processer, der kan forårsage problemer med ydeevnen på individuelle slutpunkter under antivirusscanninger. Du kan bruge de oplysninger, der indsamles af Effektivitetsanalyse, til at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger.
På samme måde som mekanikere udfører diagnosticering og service på et køretøj, der har problemer med ydeevnen, kan effektivitetsanalyse hjælpe dig med at forbedre Ydeevnen for Defender Antivirus.
Nogle af de indstillinger, der skal analyseres, omfatter:
- Topstier, der påvirker scanningstiden
- De mest populære filer, der påvirker scanningstiden
- De vigtigste processer, der påvirker scanningstiden
- De mest populære filtypenavne, der påvirker scanningstiden
- Kombinationer – f.eks.:
- topfiler pr. filtypenavn
- øverste stier pr. udvidelse
- topprocesser pr. sti
- mest populære scanninger pr. fil
- mest populære scanninger pr. fil pr. proces
Kørsel af Effektivitetsanalyse
Processen på højt niveau for kørsel af effektivitetsanalyse omfatter følgende trin:
Kør Effektivitetsanalyse for at indsamle en ydeevneoptagelse af Microsoft Defender Antivirus-hændelser på slutpunktet.
Bemærk!
Ydeevnen for Microsoft Defender Antivirus-hændelser af typen Microsoft-Antimalware-Engine registreres via effektivitetsanalysen.
Analysér scanningsresultaterne ved hjælp af forskellige optagelsesrapporter.
Brug af Effektivitetsanalyse
Hvis du vil starte optagelsen af systemhændelser, skal du åbne PowerShell i administrativ tilstand og udføre følgende trin:
Kør følgende kommando for at starte optagelsen:
New-MpPerformanceRecording -RecordTo <recording.etl>
hvor
-RecordTo
parameteren angiver den fulde stiplacering, hvor sporingsfilen gemmes. Du kan få flere cmdlet-oplysninger under Microsoft Defender Antivirus-cmdlet'er.Hvis processer eller tjenester menes at påvirke ydeevnen, skal situationen genskabes ved at udføre de relevante opgaver.
Tryk på ENTER for at stoppe og gemme optagelsen, eller tryk på Ctrl+C for at annullere optagelsen.
Analysér resultaterne ved hjælp af parameteren for effektivitetsanalysen
Get-MpPerformanceReport
. Ved udførelse af kommandoenGet-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10
får brugeren f.eks. vist en liste over top-10-scanninger for de tre øverste filer, der påvirker ydeevnen.
Du kan få flere oplysninger om kommandolinjeparametre og -indstillinger i New-MpPerformanceRecording and Get-MpPerformanceReport.
Bemærk!
Hvis du får vist fejlmeddelelsen "Ydelsesoptagelsen kan ikke startes, fordi Windows Performance Recorder allerede optager" under kørsel af en optagelse, skal du køre følgende kommando for at stoppe den eksisterende sporing med den nye kommando: wpr -cancel -instancename MSFT_MpPerformanceRecording
Justering af ydeevnedata og -oplysninger
Baseret på forespørgslen kan brugeren få vist data for antal scanninger, varighed (total/min/average/max/median), sti, proces og årsag til scanning. På følgende billede vises eksempeloutputtet for en enkel forespørgsel med de 10 øverste filer med henblik på scanningseffekt.
Yderligere funktionalitet: eksport og konvertering til CSV og JSON
Resultaterne af effektivitetsanalysen kan også eksporteres og konverteres til en CSV- eller JSON-fil. Du kan finde eksempler, der beskriver processen med at "eksportere" og "konvertere" via eksempelkoder, i følgende afsnit.
Fra og med Defender-versionen 4.18.2206.X
kan brugerne få vist oplysninger om årsagen til scanningsoverspring under kolonnen "SkipReason". De mulige værdier er:
- Ikke sprunget over
- Optimering (typisk af hensyn til ydeevnen)
- Brugeren blev sprunget over (typisk pga. udeladelser fra brugersæt)
Til CSV
- Sådan eksporterer du:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
- Sådan konverterer du:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation
For JSON
- Sådan konverterer du:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1
Hvis du vil sikre, at maskinlæsbart output til eksport med andre databehandlingssystemer, anbefales det at bruge -Raw
parameteren for Get-MpPerformanceReport
. Du kan finde flere oplysninger i følgende afsnit.
PowerShell-reference
Der er to nye PowerShell-cmdlet'er, der bruges til at justere ydeevnen for Microsoft Defender Antivirus:
New-MpPerformanceRecording
I følgende afsnit beskrives referencen til den nye PowerShell-cmdlet New-MpPerformanceRecording. Denne cmdlet indsamler en ydeevneoptagelse af Microsoft Defender Antivirus-scanninger.
Syntaks: New-MpPerformanceRecording
New-MpPerformanceRecording -RecordTo <String>
Beskrivelse: New-MpPerformanceRecording
Cmdlet'en New-MpPerformanceRecording
indsamler en ydeevneoptagelse af Microsoft Defender Antivirus-scanninger. Disse ydelsesoptagelser indeholder kerneproceshændelser i Microsoft-Antimalware og NT og kan analyseres efter samling ved hjælp af Cmdlet'en Get-MpPerformanceReport .
Denne New-MpPerformanceRecording
cmdlet giver indsigt i problematiske filer, der kan forårsage en forringelse af ydeevnen af Microsoft Defender Antivirus. Dette værktøj leveres "SOM ER OG FOREFINDES" og er ikke beregnet til at komme med forslag til undtagelser. Udeladelser kan reducere beskyttelsesniveauet på dine slutpunkter. Eventuelle udeladelser skal defineres med forsigtighed.
Du kan få flere oplysninger om effektivitetsanalysen i dokumenter om Effektivitetsanalyse.
Vigtigt!
Denne cmdlet kræver administratorrettigheder med administratorrettigheder.
Eksempler: New-MpPerformanceRecording
Eksempel 1: Indsaml en optagelse af ydeevnen, og gem den
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl
Ovenstående kommando indsamler en optagelse af ydeevnen og gemmer den på den angivne sti: .\Defender-scans.etl.
Eksempel 2: Indsaml en ydelsesoptagelse for en ekstern PowerShell-session
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s
Ovenstående kommando indsamler en optagelse af ydeevnen på Server02 (som angivet af argument $s af parametersessionen) og gemmer den i den angivne sti: C:\LocalPathOnServer02\trace.etl på Server02.
Parametre: New-MpPerformanceRecording
-Optag til
Angiver den placering, hvor ydelsesoptagelsen Microsoft Defender Antimalware skal gemmes.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Session
Angiver det PSSession-objekt, hvor ydelsesoptagelsen Microsoft Defender Antivirus skal oprettes og gemmes. Når du bruger denne parameter, henviser parameteren RecordTo til den lokale sti på fjerncomputeren. Tilgængelig med Defender platform version 4.18.2201.10.
Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Get-MpPerformanceReport
I følgende afsnit beskrives Get-MpPerformanceReport PowerShell-cmdlet'en. Analyserer og rapporterer om ydelsesoptagelse Microsoft Defender Antivirus.
Syntaks: Get-MpPerformanceReport
Get-MpPerformanceReport [-Path] <String>
[-TopScans [<Int32>]]
[-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
[-TopScansPerPath [<Int32>]]
[-TopFilesPerPath [<Int32>]
[-TopScansPerFilePerPath [<Int32>]]
]
[-TopExtensionsPerPath [<Int32>]
[-TopScansPerExtensionPerPath [<Int32>]]
]
[-TopProcessesPerPath [<Int32>]
[-TopScansPerProcessPerPath [<Int32>]]
]
]
[-TopFiles [<Int32>]
[-TopScansPerFile [<Int32>]]
[-TopProcessesPerFile [<Int32>]
[-TopScansPerProcessPerFile [<Int32>]]
]
]
[-TopExtensions [<Int32>]
[-TopScansPerExtension [<Int32>]
[-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerExtension [<Int32>]]
]
[-TopProcessesPerExtension [<Int32>]
[-TopScansPerProcessPerExtension [<Int32>]]
]
[-TopFilesPerExtension [<Int32>]
[-TopScansPerFilePerExtension [<Int32>]]
]
]
[-TopProcesses [<Int32>]
[-TopScansPerProcess [<Int32>]]
[-TopExtensionsPerProcess [<Int32>]
[-TopScansPerExtensionPerProcess [<Int32>]]
]
[-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerProcess [<Int32>]]
]
[-TopFilesPerProcess [<Int32>]
[-TopScansPerFilePerProcess [<Int32>]]
]
]
[-MinDuration <String>]
[-Raw]
Beskrivelse: Get-MpPerformanceReport
Cmdlet'en Get-MpPerformanceReport
analyserer en tidligere indsamlet Microsoft Defender Ydeevneoptagelse af Antivirus (New-MpPerformanceRecording) og rapporterer de filstier, filtypenavne og processer, der forårsager den største indvirkning på Microsoft Defender Antivirus-scanninger.
Effektivitetsanalysen giver indsigt i problematiske filer, der kan medføre en forringelse af ydeevnen af Microsoft Defender Antivirus. Dette værktøj leveres som "SOM ER" og er ikke beregnet til at komme med forslag til undtagelser. Udeladelser kan reducere beskyttelsesniveauet på dine slutpunkter. Eventuelle udeladelser skal defineres med forsigtighed.
Du kan få flere oplysninger om effektivitetsanalysen i dokumenter om Effektivitetsanalyse.
Understøttede operativsystemversioner:
Windows Version 10 og nyere.
Bemærk!
Denne funktion er tilgængelig fra og med platformversion 4.18.2108.X og nyere.
Eksempler: Get-MpPerformanceReport
Eksempel 1: Enkelt forespørgsel
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
Eksempel 2: Flere forespørgsler
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
Eksempel 3: Indlejrede forespørgsler
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
Eksempel 4: Brug af parameteren -MinDuration
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
Eksempel 5: Brug af parameteren -Raw
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json
Brug af -Raw i ovenstående kommando angiver, at outputtet skal være maskinlæsbart og let kan konverteres til serialiseringsformater, f.eks. JSON.
Parametre: Get-MpPerformanceReport
-TopPaths
Anmoder om en rapport med topstier og angiver, hvor mange øverste stier der skal udskrives, sorteret efter Varighed. Aggregerer scanningerne baseret på deres sti og mappe. Brugeren kan angive, hvor mange mapper der skal vises på hvert niveau og dybden af markeringen.
- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth
Angiver rekursiv dybde, der bruges til at gruppere og vise resultater for aggregerede stier. "C:" svarer f.eks. til en dybde på 1, "C:\Users\Foo" svarer til en dybde på 3.
Dette flag kan ledsage alle andre indstillinger for Øverste sti. Hvis den mangler, antages en standardværdi på 3. Værdien må ikke være 0.
- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
Flag | Definition |
---|---|
-TopScansPerPath | Angiver, hvor mange topscanninger der skal angives for hver øverste sti. |
-TopFilesPerPath | Angiver, hvor mange topfiler der skal angives for hver øverste sti. |
-TopScansPerFilePerPath | Angiver, hvor mange topscanninger der skal udskrives for hver topfil for hver øverste sti sorteret efter "Varighed" |
-TopExtensionsPerPath | Angiver, hvor mange topudvidelser der skal udskrives for hver øverste sti |
-TopScansPerExtensionPerPath | Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse for hver øverste sti |
-TopProcessesPerPath | Angiver, hvor mange topprocesser der skal udskrives for hver øverste sti |
-TopScansPerProcessPerPath | Angiver, hvor mange topscanninger der skal udskrives for hver topproces for hver topsti |
-TopPathsPerExtension | Angiver, hvor mange øverste stier der skal udskrives for hver topudvidelse |
-TopScansPerPathPerExtension | Angiver, hvor mange topscanninger der skal udskrives for hver topsti for hver topudvidelse |
-TopPathsPerProcess | Angiver, hvor mange topstier der skal udskrives for hver topproces |
-TopScansPerPathPerProcess | Angiver, hvor mange topscanninger der skal udskrives for hver topsti for hver topproces |
-MinDuration
Angiver minimumvarigheden af eventuelle scannings- eller samlede scanningsvarigheder for filer, udvidelser og processer, der er inkluderet i rapporten. accepterer værdier som f.eks. 0.1234567sec, 0.1234 ms, 0.1us eller en gyldig TimeSpan.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Sti
Angiver stien eller stierne til en eller flere placeringer.
Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-Rå
Angiver, at outputtet af ydelsesoptagelsen skal være maskinlæsbart og let kan konverteres til serialiseringsformater, f.eks. JSON (f.eks. via kommandoen Konvertér til JSON). Denne konfiguration anbefales til brugere, der er interesseret i batchbehandling med andre databehandlingssystemer.
Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-Topudvidelser
Angiver, hvor mange topudvidelser der skal udskrives, sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess
Angiver, hvor mange topudvidelser der skal udskrives for hver topproces sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiler
Anmoder om en rapport med topfiler og angiver, hvor mange topfiler der skal udskrives, sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension
Angiver, hvor mange topfiler der skal udskrives for hver topudvidelse sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess
Angiver, hvor mange topfiler der skal udskrives for hver topproces sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Topprocesser
Anmoder om en rapport med topprocesser og angiver, hvor mange af de øverste processer der skal udskrives, sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension
Angiver, hvor mange topprocesser der skal udskrives for hver topudvidelse sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile
Angiver, hvor mange topprocesser der skal udskrives for hver topfil sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans
Anmoder om en rapport med en topscanning og angiver, hvor mange topscanninger der skal udskrives, sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension
Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess
Angiver, hvor mange topscanninger der skal udskrives for hver topudvidelse for hver topproces sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile
Angiver, hvor mange topscanninger der skal udskrives for hver topfil sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension
Angiver, hvor mange topscanninger der skal udskrives for hver topfil for hvert øverste filtypenavn, sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess
Angiver, hvor mange topscanninger for output for hver topfil for hver topproces sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess
Angiver, hvor mange topscanninger der skal udskrives for hver topproces i rapporten Topprocesser sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension
Angiver, hvor mange topscanninger der søges efter output for hver topproces for hver topudvidelse, sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile
Angiver, hvor mange topscanninger der søges efter output for hver topproces for hver topfil sorteret efter Varighed.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Yderligere ressourcer
Hvis du leder efter Antivirus-relaterede oplysninger til andre platforme, kan du se:
- Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
- Microsoft Defender for Endpoint på Mac
- Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux
- Microsoft Defender for Endpoint på Linux
- Konfigurer Defender for Endpoint på Android-funktioner- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om