Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Probleme mit Microsoft Defender Antivirusscans auftreten, z. B. dass Die Überprüfungen nicht abgeschlossen werden, oder wenn Überprüfungen Leistungsprobleme auf Geräten verursachen, müssen Sie möglicherweise eine Problembehandlung für den Überprüfungsprozess durchführen. In diesem Artikel wird beschrieben, wie Sie Informationen zum Beheben von Problemen mit Microsoft Defender Antivirusscans identifizieren. Sie erfahren, wie Überprüfungen gestartet werden, welche Richtlinien auf Überprüfungen angewendet werden, warum Überprüfungen beendet wurden und was sich auf die Leistung einer Überprüfung auswirkt.
Hinweis
Informationen zu den Unterschieden zwischen den Typen von Antivirenscans finden Sie unter Vergleichen der Schnellüberprüfung, der vollständigen Überprüfung und der benutzerdefinierten Überprüfung.
Starten von Überprüfungen
Wenn Sie verstehen, warum eine Überprüfung gestartet wird, können Sie ermitteln, welche Einstellungen auf die Überprüfung angewendet werden und was angepasst werden kann. In Microsoft Defender for Endpoint können Antivirenscans auf verschiedene Arten gestartet werden. In der folgenden Tabelle sind diese Optionen zusammengefasst:
| Methode | Beschreibung |
|---|---|
| Zeitplan | Definiert durch richtlinie gemäß Richtlinientabelle |
| Überprüfung nach dem Update | Durch Richtlinie definiert (Einstellungskatalog in Intune) |
| Nachholscan | Wurde gestartet, wenn eine geplante Überprüfung zweimal verpasst wurde |
| Manuell gestartet | Eine Überprüfung wird manuell mit einer der folgenden Methoden gestartet: -Eingabeaufforderung: MpCmdRun -scan -scantype - Ausführen einer Antwortaktion auf einem Gerät im Microsoft Defender-Portal – Verwenden der Windows-Sicherheit-App oder Microsoft Defender-App auf dem Gerät |
CPU-Leistung und Scandrosselung in Microsoft Defender Antivirus
Microsoft Defender Antivirus umfasst mehrere konfigurierbare Einstellungen zum Verwalten der CPU-Auslastung während der Überprüfungen. Diese Einstellungen tragen dazu bei, die Systemleistung und -sicherheit in Einklang zu bringen, indem sie steuern, wie aggressiv Defender Systemressourcen verwendet. Wenn Sie Gruppenrichtlinie verwenden, finden Sie diese Einstellungen unter Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Scan. Verwenden Sie den PowerShell-Befehl, um den Get-MpPreference aktuellen Wert dieser Einstellungen auf einem Computer zu überprüfen.
Die wichtigsten Zu beachtenden Einstellungen sind in der folgenden Tabelle aufgeführt:
| Einstellung | Details |
|---|---|
ScanOnlyIfIdle |
Beschreibung: Wenn aktiviert, führt Microsoft Defender Antivirus nur Überprüfungen durch, wenn sich das System im Leerlauf befindet. Zweck: Dies minimiert die Auswirkungen auf die Leistung während der aktiven Verwendung, indem Überprüfungen zurückgezögert werden, bis das System nicht verwendet wird. Typischer Anwendungsfall: Ideal für Umgebungen, in denen die Benutzererfahrung Priorität hat und Überprüfungen verzögert werden können, ohne die Sicherheit zu beeinträchtigen. Richtlinienname: Gruppenrichtlinie: Nicht verfügbar. - Intune: ./Device/Vendor/MSFT/Defender/Configuration/ScanOnlyIfIdleEnabled Standardeinstellung: True (aktiviert) |
DisableCpuThrottleOnIdleScans |
Beschreibung: Wenn diese Einstellung auf truefestgelegt ist, wird die CPU-Drosselung während Leerlaufzeitüberprüfungen deaktiviert.Zweck: Ermöglicht Defender, mehr CPU-Ressourcen zu verwenden, wenn sich das System im Leerlauf befindet, sodass Überprüfungen möglicherweise schneller abgeschlossen werden. Interaktion mit anderen Einstellungen: Funktioniert mit ScanOnlyIfIdle. Wenn beide aktiviert sind, werden Scans nur im Leerlauf ausgeführt und nicht gedrosselt.Richtlinienname: - Gruppenrichtlinie: Nicht verfügbar. - Intune: ./Device/Vendor/MSFT/Defender/Configuration/DisableCpuThrottleOnIdleScansStandardeinstellung: True (aktiviert) |
AvgCPULoadFactor |
Beschreibung: Gibt die durchschnittliche CPU-Auslastung (als Prozentsatz) an, die Microsoft Defender Antivirus während der Überprüfungen nicht überschreiten sollte. Diese Einstellung gilt nicht für Echtzeit-Schutzüberprüfungen. Zweck: Hilft bei der Aufrechterhaltung der allgemeinen Reaktionsfähigkeit des Systems, indem die CPU-Auslastung von Defender eingeschränkt wird. Beispiel: Der Wert 50 bedeutet Microsoft Defender Antivirus versucht, die CPU-Auslastung während der Überprüfungen unter 50 % zu halten.Interaktion mit anderen Einstellungen: Diese Einstellung wird durch DisableCpuThrottleOnIdleScans und ThrottleForScheduledScanOnlybeeinflusst, wodurch die Drosselung überschrieben oder eingeschränkt werden kann.Richtlinienname: - Gruppenrichtlinie: Specify the maximum percentage of CPU utilization during a scan- Intune: ./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor |
ThrottleForScheduledScanOnly |
Beschreibung: Wenn diese Option aktiviert ist, wird die CPU-Drosselung nur auf geplante Überprüfungen angewendet, nicht auf manuelle Überprüfungen. Zweck: Stellt sicher, dass geplante Scans weniger aufdringlich sind, während manuelle Scans bei Bedarf mit voller Geschwindigkeit ausgeführt werden können. Interaktion mit anderen Einstellungen: Bei Verwendung mit AvgCPULoadFactorgelten Drosselungsgrenzwerte nur für geplante Überprüfungen. Manuelle Überprüfungen ignorieren den CPU-Auslastungsfaktor und verbrauchen möglicherweise mehr Ressourcen.Richtlinienname: - Gruppenrichtlinie: Cpu throttling type - Intune: ./Device/Vendor/MSFT/Policy/Config/Defender/ThrottleForScheduledScanOnlyStandardeinstellung: True (aktiviert) |
EnableLowCpuPriority |
Beschreibung: Mit dieser Richtlinieneinstellung können Sie eine niedrige CPU-Priorität für geplante Überprüfungen aktivieren oder deaktivieren. Zweck: Trägt dazu bei, die Auswirkungen von Überprüfungen auf die Systemleistung zu verringern, indem andere Prozesse Vorrang vor Microsoft Defender Antivirus-Überprüfungsaufgaben haben. Interaktion mit anderen Einstellungen: Ergänzt AvgCPULoadFactor und ThrottleForScheduledScanOnly durch weitere Entpriorisierung Microsoft Defender Antivirus-CPU-Auslastung. Dies ist besonders nützlich in Umgebungen, in denen die Aufrechterhaltung der Reaktionsfähigkeit während der Überprüfungen von entscheidender Bedeutung ist.Richtlinienname: - Gruppenrichtlinie: Configure low CPU priority for scheduled scans- Intune: ./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriorityStandardwert: False (deaktiviert) |
Richtlinien, die sich auf die Überprüfung auswirken
Wenn Sie die richtlinien verstehen, die auf die Überprüfung angewendet werden, können Sie das Verhalten der Überprüfung verstehen und verstehen, was zur Behebung von Überprüfungsproblemen optimiert werden kann.
In der folgenden Tabelle sind die Antivireneinstellungen in Microsoft Intune für Windows-Geräte zusammengefasst:
| Gruppe | Einstellung | Beschreibung |
|---|---|---|
| Überprüfung | Vollständige Überprüfung auf zugeordneten Netzlaufwerken zulassen | Mit dieser Richtlinieneinstellung können Sie die Überprüfung zugeordneter Netzlaufwerke konfigurieren. Beachten Sie, dass das Konfigurieren dieser Einstellung die Leistung bei vollständigen Überprüfungen beeinträchtigen kann. |
| Überprüfung | Vollständige Überprüfung von Wechseldatenträgern zulassen | Mit dieser Richtlinieneinstellung können Sie beim Ausführen einer vollständigen Überprüfung festlegen, ob der Inhalt von Wechseldatenträgern, z. B. USB-Flashlaufwerken, auf Schadsoftware und unerwünschte Software überprüft werden soll. |
| Überprüfung | Scannen von Netzwerkdateien zulassen | Mit dieser Richtlinieneinstellung können Sie geplante Überprüfungen und bedarfsgesteuerte (manuell initiierte) Überprüfungen für Dateien konfigurieren, auf die über das Netzwerk zugegriffen wird. Es wird empfohlen, diese Einstellung zu aktivieren. |
| Überprüfung | Durchschn. CPU-Auslastungsfaktor | Mit dieser Richtlinieneinstellung können Sie die maximale prozentuale CPU-Auslastung konfigurieren, die während einer Überprüfung zulässig ist. Gültige Werte für diese Einstellung sind ein Prozentsatz, der durch die ganzen Zahlen 5 bis 100 dargestellt wird. Der Wert 0 gibt an, dass es keine Drosselung der CPU-Auslastung geben sollte. Der Standardwert ist 50. |
| Überprüfung | Archiv-Überprüfung zulassen | Mit dieser Richtlinieneinstellung können Sie Überprüfungen auf Schadsoftware und unerwünschte Software in Archivdateien wie .ZIP oder .CAB-Dateien konfigurieren. Beachten Sie, dass die Konfiguration dieser Einstellung die Leistung bei einer Überprüfung beeinträchtigen kann. |
| Überprüfung | Archiv Max. Tiefe | |
| Überprüfung | Archiv Max Size | |
| Überprüfung | Überprüfen auf Signaturen vor dem Ausführen der Überprüfung | Mit dieser Richtlinieneinstellung können Sie vor dem Ausführen einer Überprüfung verwalten, ob eine Überprüfung auf neue Viren- und Spyware-Sicherheitsinformationen erfolgt. Sie gilt für geplante Überprüfungen, hat jedoch keine Auswirkungen auf Scans, die manuell über die Benutzeroberfläche initiiert werden, oder auf Überprüfungen, mpcmdrun -Scandie mit der Eingabeaufforderung mit dem Befehl gestartet wurden. |
| Überprüfung | Deaktivieren des vollständigen Catchup-Scans | Mit dieser Richtlinieneinstellung können Sie Nachholscans für geplante vollständige Überprüfungen konfigurieren. Eine Nachholüberprüfung ist eine Überprüfung, die initiiert wird, weil eine regelmäßig geplante Überprüfung verpasst wurde. In der Regel werden diese geplanten Überprüfungen verpasst, da der Computer zum geplanten Zeitpunkt ausgeschaltet wurde. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Nachholscans für geplante vollständige Überprüfungen durchgeführt. Wenn ein Computer für zwei aufeinander folgende geplante Überprüfungen offline ist, wird eine Nachholüberprüfung gestartet, wenn sich jemand das nächste Mal beim Computer anmeldet. Wenn keine geplante Überprüfung konfiguriert ist, wird keine Nachholüberprüfung ausgeführt. Wenn Sie diese Einstellung aktivieren, werden Nachholscans für geplante vollständige Überprüfungen deaktiviert. |
| Überprüfung | Aktivieren einer niedrigen CPU-Priorität | Mit dieser Richtlinieneinstellung können Sie eine niedrige CPU-Priorität für geplante Überprüfungen aktivieren oder deaktivieren. – Wenn Sie diese Einstellung aktivieren, wird bei geplanten Überprüfungen eine niedrige CPU-Priorität verwendet. – Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden keine Änderungen an der CPU-Priorität für geplante Überprüfungen vorgenommen. |
| Allgemein | Ausgeschlossene Erweiterungen | |
| Allgemein | Ausgeschlossene Pfade | |
| Allgemein | Ausgeschlossene Prozesse | |
| Scanzeitplan | Scanparameter | Mit dieser Richtlinieneinstellung können Sie den Scantyp angeben, der während einer geplanten Überprüfung verwendet werden soll. Die Optionen für den Scantyp sind: - 1 = Schnellüberprüfung (Standard) - 2 = Vollständiger Scan Wenn Sie diese Einstellung aktivieren, wird der Scantyp auf den angegebenen Wert festgelegt. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird der Standardscantyp verwendet. |
| Scanzeitplan | Planen der Zeit für schnelle Überprüfungen | Mit dieser Richtlinieneinstellung können Sie die Tageszeit angeben, zu der eine tägliche Schnellüberprüfung durchgeführt werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 (0x78) 02:00 Uhr. Standardmäßig ist diese Einstellung auf deaktiviert festgelegt. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung ausgeführt wird. Wenn Sie diese Einstellung aktivieren, wird eine tägliche Schnellüberprüfung zur angegebenen Tageszeit ausgeführt. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird die tägliche Schnellüberprüfung, die von dieser Konfiguration gesteuert wird, nicht ausgeführt. |
| Scanzeitplan | Planen des Scantags | Mit dieser Richtlinieneinstellung können Sie den Wochentag angeben, an dem eine geplante Überprüfung durchgeführt werden soll. Die Überprüfung kann auch so konfiguriert werden, dass sie täglich oder gar nicht ausgeführt wird. Diese Einstellung kann mit den folgenden Ordnungszahlwerten konfiguriert werden: - (0x0) Jeden Tag - (0x1) Sonntag – (0x2) Montag - (0x3) Dienstag - (0x4) Mittwoch - (0x5) Donnerstag - (0x6) Freitag - (0x7) Samstag – (0x8) Nie (Standard) Wenn Sie diese Einstellung aktivieren, wird eine geplante Überprüfung mit der angegebenen Häufigkeit ausgeführt. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird eine geplante Überprüfung mit einer Standardhäufigkeit ausgeführt. |
| Scanzeitplan | Planen der Scanzeit | Mit dieser Richtlinieneinstellung können Sie die Tageszeit angeben, zu der eine geplante Überprüfung durchgeführt werden soll. Der Zeitwert wird als Die Anzahl der Minuten nach Mitternacht (00:00) dargestellt. Beispielsweise entspricht 120 (0x78) 02:00 Uhr. Standardmäßig ist diese Einstellung auf den Zeitwert 2:00 Uhr festgelegt. Der Zeitplan basiert auf der Ortszeit auf dem Computer, auf dem die Überprüfung ausgeführt wird. Wenn Sie diese Einstellung aktivieren, wird eine geplante Überprüfung zur angegebenen Tageszeit ausgeführt. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird eine geplante Überprüfung zu einem Standardzeitpunkt ausgeführt. |
| Scanzeitplan | Randomize Schedule Task Times | Erweitern oder einschränken Sie den Randomisierungszeitraum für geplante Scans. Geben Sie ein Zufälligkeitsfenster zwischen 1 und 23 Stunden an, indem Sie die Einstellung verwenden SchedulerRandomizationTime. |
| Scanzeitplan | Zufällige Zeit des Schedulers | |
| Scanzeitplan | Aktivieren der Überprüfung nach dem Security Intelligence-Update | Aktivieren Sie die Überprüfung nach dem Security Intelligence-Update. Beachten Sie, dass diese Einstellung nur über den Einstellungskatalog verfügbar ist. |
In einer Intune-Richtlinie und in defender for Endpoint Security Settings Management können Sie zwei Überprüfungszeitpläne konfigurieren:
Eine tägliche Schnellüberprüfung: Sie können die Zeit konfigurieren, für die eine tägliche Schnellüberprüfung ausgeführt wird. Durch Deaktivieren oder Nichtkonfigurieren wird eine tägliche Schnellüberprüfung deaktiviert.
Einstellung:
Schedule Quick Scan TimeEine geplante Überprüfung: Sie können konfigurieren, wann eine geplante Überprüfung ausgeführt wird. Sie können den Typ der Überprüfung und den Zeitpunkt der Ausführung auswählen.
Einstellungen:
Scan Parameter;Schedule Scan DayundSchedule Scan Time
Wenn Sie Gruppenrichtlinie zum Verwalten Ihrer Geräte verwenden, lesen Sie Konfigurieren von Microsoft Defender Antivirus mit Gruppenrichtlinie
Informationen zur Problembehandlung bei Antivireneinstellungen finden Sie unter Problembehandlung Microsoft Defender Antiviruseinstellungen.
Weitere Informationen zum Scanverhalten, wenn sich Microsoft Defender Antivirus im passiven Modus befindet, finden Sie unter Microsoft Defender Antivirus-Kompatibilität mit anderen Sicherheitsprodukten.
Häufig gestellte Fragen zu Scans
Frage: Meine Schnellscans sind für Montags geplant, aber sie werden täglich durchgeführt. Woran liegt das?
Antwort: Wenn die geplanten Überprüfungen die einzigen Überprüfungen sein sollen, legen Sie auf fest
ScheduleQuickScanTime0.Frage: Warum werden Aufholscans auf meinem Computer nicht ausgeführt, obwohl
DisableCatchupQuickScanauf0festgelegt ist?Antwort: Nachholscans werden nicht ausgeführt, wenn das Gerät im Akkubetrieb ausgeführt wird.
Frage: Warum werden tägliche Schnellscans nicht auf meinem Computer ausgeführt, obwohl ich sie geplant habe?
Antwort: Überprüfen Sie, ob tägliche Schnellscans auf dem Computer konfiguriert sind. Wenn
ScanParametersauf2festgelegt ist, istFull Scander Standardmäßige geplante Scantyp. WennScheduledQuickScanTimeauf0festgelegt ist, werden keine täglichen Schnellscans festgelegt.Frage: Warum schlägt meine vollständige Überprüfung aufgrund von Speicherproblemen (Arbeitsspeicherverbrauch/Überschreitung von Einschränkungen) fehl?
Antwort: Es ist möglich, dass auf dem Computer eine große Anzahl von CAB-/ZIP-Dateien vorhanden ist. Es wird empfohlen, ordner mit hoher Größe zu durchlaufen und nicht verwendete Dateien entweder zu bereinigen oder zu entfernen und/oder Ausschlüsse für bestimmte Fälle zu implementieren (z. B. Dateien unter
C:\Windows). Informationen zu Configuration Manager finden Sie unter Empfohlene Antivirenausschlüsse.
Bestätigen der überprüfungs status
Wenn Sie überprüfen, ob eine Überprüfung abgebrochen oder erfolgreich abgeschlossen wurde, können Sie geräte verwenden, bei denen Überprüfungen fehlgeschlagen sind. Um herauszufinden, was passiert ist, können Sie Ereignisanzeige in Windows, Berichte, erweiterte Suche und die Seite Gerät im Microsoft Defender-Portal oder APIs verwenden.
Ereignisanzeige
Die folgenden Ereignis-IDs beziehen sich auf Scanvorgänge auf einem Gerät.
- Ereignis-ID 1000: Eine Antischadsoftwareüberprüfung wurde gestartet.
- Ereignis-ID 1001: Eine Antischadsoftwareüberprüfung wurde abgeschlossen.
- Ereignis-ID 1002: Eine Antischadsoftwareüberprüfung wurde beendet, bevor sie abgeschlossen wurde.
Weitere Informationen finden Sie unter Microsoft Defender Antivirus-Ereignis-IDs und Fehlercodes.
Die Anwendung oder PowerShell kann auf die Ereignisanzeige auf dem Computer zugreifen. Weitere Informationen finden Sie unter Überprüfen von Protokollen in Ereignisanzeige (in diesem Artikel).
Berichte im Microsoft Defender-Portal
Es sind Berichte verfügbar, die aktuelle Scan-status enthalten. Sie können die Ansicht erweitern und Details exportieren. Weitere Informationen finden Sie unter Bericht zur Geräteintegrität.
Erweiterte Bedrohungssuche
Informationen zum Abschluss und Abbruch der Überprüfung finden Sie auch in der erweiterten Suche. Hilfe zur erweiterten Suche finden Sie in den folgenden Artikeln:
- Proaktive Suche nach Bedrohungen mit erweiterter Suche in Microsoft Defender
- Wählen Sie zwischen geführten und erweiterten Modi, um in Microsoft Defender XDR
- Erlernen der Abfragesprache für die erweiterte Suche
Seite "Gerät" im Microsoft Defender-Portal
Im Microsoft Defender-Portal können Sie Informationen zu Überprüfungen auf der Geräteseite anzeigen. Weitere Informationen finden Sie in den folgenden Artikeln:
APIs
Daten zu Scan-status können mithilfe der Exportintegritätsberichts-API wie folgt exportiert werden:
"quickScanResult": "Completed",
"quickScanError": "",
"quickScanTime": "2202-08-02T18:40:15.882Z",
"fullScanResult": "",
"fullScanError": "",
"fullScanTime": null,
Weitere Informationen finden Sie unter Exportieren des Integritätsberichts zur Geräte-Antivirensoftware.
Gründe, warum Überprüfungen abgebrochen oder beendet werden
Wenn Sie ermitteln, warum eine Überprüfung abgebrochen wurde, können Sie ermitteln, was überprüft werden muss, damit Die Überprüfungen erfolgreich abgeschlossen werden können. In der folgenden Tabelle sind die Gründe aufgeführt, warum Überprüfungen nicht abgeschlossen wurden.
| Grund | Details |
|---|---|
| Das Gerät wird neu gestartet. | Details zu Geräteneustarts können mithilfe von Ereignisanzeige auf dem Gerät überprüft werden. - Ereignisprotokoll: System - Ereignis-IDs: 6005, 6006, 6007 und 6008 |
| Das Scan-Zeitüberschreitung | Geplante Überprüfungen verwenden mpcmdrun, aber wenn jemand verwendet mpcmdrun , um eine bedarfsgesteuerte Überprüfung auszuführen, gilt der Timer weiterhin. Antivirenscans, die von der Windows-Sicherheit-App (lokal) und dem Microsoft Defender-Portal gestartet werden, verwenden mpcmdrunnicht , und jede Methode startet eine Überprüfung direkt mit mpclient. – Im Microsoft Defender-Portal oder in der Windows-Sicherheit-App (schnell oder vollständig) initiierte Überprüfungen: Kein Zeitlimit - Geplante vollständige Überprüfungen oder MpCmdRun -scan: Sieben-Tage-Limit- Geplante Schnellüberprüfungen oder MpCmdRun -scan: Grenzwert für einen Tag |
| Das Gerät wird im Akkubetrieb ausgeführt. | Wenn ein Gerät während einer geplanten vollständigen Überprüfung nicht angeschlossen ist und im Akkubetrieb ausgeführt wird, wird die geplante Überprüfung mit dem Ereignis 1002 beendet, das besagt, dass die Überprüfung vor Abschluss beendet wurde. Microsoft Defender Antivirus führt zum nächsten geplanten Zeitpunkt eine vollständige Überprüfung aus. Weitere Informationen finden Sie unter Planen von Antivirenscans: Wichtige Punkte, die Sie beachten sollten. |
| Andere energiebezogene Ereignisse | Die folgenden Ereignis-IDs (von Kernel-Power) zeigen eine Änderung des Energiezustands des Geräts an, die den Scanvorgang rechtzeitig beeinträchtigen könnte: - 107: Das System wurde aus dem Ruhezustand fortgesetzt. - 42: Das System wechselt in den Ruhezustand. Grund für den Ruhezustand: Ruhezustand aus dem Ruhezustand – Standby-Akkubudget überschritten – 507: Das System beendet den modernen Standbymodus. Ursache: Ruhezustand, Ruhezustand oder Herunterfahren. - 506: Das System wechselt in den modernen Standbymodus. Grund: Deckel. – 105: Änderung der Stromquelle. |
Verwenden der Leistungsanalyse auf dem Gerät
Wenn Sie nach dem Befolgen der Anleitung in diesem Artikel kein Problem mit einer fehlkonfigurierten Konfiguration auf dem Gerät festgestellt haben, können Sie mit dem New-MpPerformanceRecording Befehl eine Ablaufverfolgung generieren, um Probleme auf dem Gerät zu identifizieren. Dieses Leistungsanalysetool enthält die folgenden Informationen:
- Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
- Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
- Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
- Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
- Kombinationen wie die folgenden:
- Top-Dateien pro Erweiterung
- Top-Pfade pro Erweiterung
- Wichtigste Prozesse pro Pfad
- Top-Scans pro Datei
- Top-Scans pro Datei und Prozess
Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.
Ein Ergebnis dieses Prozesses kann das Identifizieren von Dateien oder Pfaden sein, die Sie aus Antivirenscans ausschließen möchten, um die Leistung zu verbessern. Lesen Sie unbedingt die folgenden Artikel:
Überprüfen von Ereignisprotokollen
Lokale Ereignisprotokolle können entweder mithilfe der Ereignisanzeige-Anwendung oder mithilfe von PowerShell überprüft werden.
Überprüfen von Protokollen in Ereignisanzeige
Auf Windows-Geräten befinden sich Microsoft Defender Antivirus-Protokolle unter Anwendungs- und Dienstprotokolle>Microsoft>Windows>Windows Defender>Operational.
Der folgende Screenshot zeigt Scanprotokolle in Ereignisanzeige:
Hier sehen Sie ein Beispiel für Ereignis 1000 in Ereignisanzeige:
Überprüfen von Ereignissen mithilfe von PowerShell
Sie können auf diese Informationen auch mit PowerShell zugreifen, indem Sie das Cmdlet Get-WinEvent verwenden.
Verwenden Sie beispielsweise den folgenden Befehl, um alle Ereignisse abzurufen:
Get-WinEvent -LogName 'Microsoft-Windows-Windows Defender/Operational'
Verwenden Sie den folgenden Befehl, um Überprüfungsereignisse anzuzeigen:
Get-WinEvent -LogName 'Microsoft-Windows-Windows Defender/Operational' | where id -eq '1000'