Behandlung von Leistungsproblemen im Zusammenhang mit Echtzeitschutz

  • Artikel

Gilt für:

Plattformen

  • Windows

Wenn ihr System hohe CPU-Auslastung oder Leistungsprobleme im Zusammenhang mit dem Echtzeitschutzdienst in Microsoft Defender for Endpoint hat, können Sie ein Ticket an den Microsoft-Support übermitteln. Führen Sie die Schritte unter Sammeln von Microsoft Defender Antivirus-Diagnosedaten aus.

Als Administrator können Sie diese Probleme auch selbst beheben.

Zunächst sollten Sie überprüfen, ob das Problem durch eine andere Software verursacht wird. Weitere Informationen finden Sie unter Überprüfen beim Hersteller nach Antivirenausschlüssen.

Andernfalls können Sie ermitteln, welche Software im Zusammenhang mit dem identifizierten Leistungsproblem steht, indem Sie die Schritte unter Analysieren des Microsoft Protection-Protokolls ausführen.

Sie können auch zusätzliche Protokolle für Ihre Übermittlung an den Microsoft-Support bereitstellen, indem Sie die folgenden Schritte ausführen:

Leistungsspezifische Probleme im Zusammenhang mit Microsoft Defender Antivirus finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Erkundigen Sie sich beim Hersteller auf Antivirenausschlüsse.

Wenn Sie die Software, die sich auf die Systemleistung auswirkt, leicht identifizieren können, wechseln Sie zum Wissensdatenbank oder Supportcenter des Softwareherstellers. Search, wenn sie Empfehlungen zu Antivirenausschlüssen haben. Wenn sie auf der Website des Anbieters nicht vorhanden sind, können Sie ein Supportticket für ihn öffnen und ihn bitten, eins zu veröffentlichen.

Es wird empfohlen, dass Softwareanbieter die verschiedenen Richtlinien in Partnerschaft mit der Branche befolgen, um falsch positive Ergebnisse zu minimieren. Der Anbieter kann seine Software über das Microsoft Security Intelligence-Portal übermitteln.

Analysieren des Microsoft Protection-Protokolls

Die Microsoft-Schutzprotokolldatei finden Sie unter C:\ProgramData\Microsoft\Windows Defender\Support.

In MPLog-xxxxxxxx-xxxxxx.log finden Sie die geschätzten Informationen zur Leistungsbeeinträchtigung der ausgeführten Software als EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Feldname Beschreibung
ProcessImageName Prozessimagename
TotalTime Die kumulierte Dauer in Millisekunden, die für die Überprüfung von Dateien aufgewendet wird, auf die durch diesen Prozess zugegriffen wird
Anzahl Die Anzahl der gescannten Dateien, auf die von diesem Prozess zugegriffen wird
MaxTime Die Dauer in Millisekunden bei der längsten einzelnen Überprüfung einer Datei, auf die von diesem Prozess zugegriffen wird
MaxTimeFile Der Pfad der Datei, auf die von diesem Prozess zugegriffen wird, für die die längste Überprüfung der MaxTime Dauer aufgezeichnet wurde.
EstimatedImpact Der Prozentsatz der Zeit, die für die Überprüfung von Dateien aufgewendet wurde, auf die von diesem Prozess zugegriffen wird, außerhalb des Zeitraums, in dem bei diesem Prozess eine Überprüfungsaktivität aufgetreten ist

Wenn die Leistungsbeeinträchtigung hoch ist, versuchen Sie, den Prozess den Pfad-/Prozessausschlüssen hinzuzufügen, indem Sie die Schritte unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender Antivirusscans ausführen.

Wenn das Problem im vorherigen Schritt nicht behoben wird, können Sie weitere Informationen über den Prozessmonitor oder die Windows-Leistungsaufzeichnung in den folgenden Abschnitten sammeln.

Erfassen von Prozessprotokollen mithilfe des Prozessmonitors

Process Monitor (ProcMon) ist ein erweitertes Überwachungstool, das Echtzeitprozesse anzeigen kann. Sie können dies verwenden, um das Leistungsproblem zu erfassen, während es auftritt.

  1. Laden Sie Prozessmonitor v3.89 in einen Ordner wie C:\tempherunter.

  2. So entfernen Sie die Markierung der Datei im Web:

    1. Klicken Sie mit der rechten Maustaste aufProcessMonitor.zip, und wählen Sie Eigenschaften aus.
    2. Suchen Sie auf der Registerkarte Allgemein nach Sicherheit.
    3. Aktivieren Sie das Kontrollkästchen neben Blockierung aufheben.
    4. Wählen Sie Anwenden aus.

    Seite

  3. Entzippen Sie die Datei in C:\temp , sodass der Ordnerpfad lautet C:\temp\ProcessMonitor.

  4. Kopieren Sie ProcMon.exe auf den Windows-Client oder Windows-Server, den Sie behandeln möchten.

  5. Stellen Sie vor dem Ausführen von ProcMon sicher, dass alle anderen Anwendungen, die nicht mit dem Problem mit hoher CPU-Auslastung zusammenhängen, geschlossen sind. Dadurch wird die Anzahl der zu überprüfenden Prozesse minimiert.

  6. Sie können ProcMon auf zwei Arten starten.

    1. Klicken Sie mit der rechten Maustaste aufProcMon.exe, und wählen Sie Als Administrator ausführen aus.

      Da die Protokollierung automatisch gestartet wird, wählen Sie das Lupensymbol aus, um die aktuelle Aufnahme zu beenden, oder verwenden Sie die Tastenkombination STRG+E.

      Das Lupensymbol

      Um sicherzustellen, dass Sie die Aufnahme beendet haben, überprüfen Sie, ob das Lupensymbol jetzt mit einem roten X angezeigt wird.

      Der rote Schrägstrich

      Wählen Sie als Nächstes das Radierersymbol aus, um die vorherige Aufnahme zu löschen.

      Das Symbol

      Oder verwenden Sie die Tastenkombination STRG+X.

    2. Die zweite Möglichkeit besteht darin, die Befehlszeile als Administrator auszuführen und dann über den Pfad prozessmonitor folgendes auszuführen:

      Der cmd-Procmon 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Tipp

      Machen Sie das ProcMon-Fenster beim Erfassen von Daten so klein wie möglich, damit Sie die Ablaufverfolgung ganz einfach starten und beenden können.

      Die Seite, auf der ein Minimierungs-Procmon angezeigt wird

  7. Nachdem Sie eines der Verfahren in Schritt 6 ausgeführt haben, wird als Nächstes eine Option zum Festlegen von Filtern angezeigt. Wählen Sie OK aus. Sie können die Ergebnisse nach Abschluss der Erfassung jederzeit filtern.

    Die Seite, auf der system exclude als Filter out Process Name ausgewählt wird

  8. Um die Aufnahme zu starten, wählen Sie erneut das Lupensymbol aus.

  9. Reproduzieren Sie das Problem.

    Tipp

    Warten Sie, bis das Problem vollständig reproduziert wurde, und notieren Sie sich dann den Zeitstempel, zu dem die Ablaufverfolgung gestartet wurde.

  10. Wenn Sie während der Bedingung mit hoher CPU-Auslastung zwei bis vier Minuten Prozessaktivität haben, beenden Sie die Erfassung, indem Sie das Lupensymbol auswählen.

  11. Um die Aufnahme mit einem eindeutigen Namen und im PML-Format zu speichern, wählen Sie Datei und dann Speichern aus. Stellen Sie sicher, dass Sie die Optionsfelder Alle Ereignisse und PML (Native Process Monitor Format) auswählen.

    Seite

  12. Für eine bessere Nachverfolgung ändern Sie den Standardpfad von C:\temp\ProcessMonitor\LogFile.PML in C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML , wo:

    • %ComputerName% ist der Gerätename.
    • MMDDYEAR ist der Monat, Tag und Jahr.
    • Repro_of_issue ist der Name des Problems, das Sie reproduzieren möchten.

    Tipp

    Wenn Sie über ein funktionierendes System verfügen, möchten Sie möglicherweise ein Beispielprotokoll zum Vergleichen abrufen.

  13. Zippen Sie die PML-Datei, und übermitteln Sie sie an den Microsoft-Support.

Erfassen von Leistungsprotokollen mithilfe von Windows Performance Recorder

Sie können Windows Performance Recorder (WPR) verwenden, um zusätzliche Informationen in Ihre Übermittlung an den Microsoft-Support aufzunehmen. WPR ist ein leistungsstarkes Aufzeichnungstool, das die Ereignisablaufverfolgung für Windows-Aufzeichnungen erstellt.

WPR ist Teil des Windows Assessment and Deployment Kit (Windows ADK) und kann unter Herunterladen und Installieren des Windows ADK heruntergeladen werden. Sie können es auch als Teil des Windows 10 Software Development Kit unter Windows 10 SDK herunterladen.

Sie können die WPR-Benutzeroberfläche verwenden, indem Sie die Schritte unter Erfassen von Leistungsprotokollen mithilfe der WPR-Benutzeroberfläche ausführen.

Alternativ können Sie auch das Befehlszeilentool wpr.exeverwenden, das in Windows 8 und höheren Versionen verfügbar ist, indem Sie die Schritte unter Erfassen von Leistungsprotokollen mit der WPR-CLI ausführen.

Erfassen von Leistungsprotokollen mithilfe der WPR-Benutzeroberfläche

Tipp

Wenn dieses Problem auf mehreren Geräten auftritt, verwenden Sie das Gerät mit dem meisten RAM.

  1. Laden Sie WPR herunter, und installieren Sie es.

  2. Klicken Sie unter Windows Kits mit der rechten Maustaste auf Windows Performance Recorder.

    Das Startmenü

    Wählen Sie Mehr aus. Wählen Sie Als Administrator ausführen aus.

  3. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, wählen Sie Ja aus.

    Die UAC-Seite

  4. Laden Sie als Nächstes das Microsoft Defender for Endpoint Analyseprofil herunter, und speichern Sie unter MDAV.wprp in einem Ordner wie C:\temp.

  5. Wählen Sie im Dialogfeld WPR die Option Weitere Optionen aus.

    Die Seite, auf der Sie weitere Optionen auswählen können

  6. Wählen Sie Profile hinzufügen... aus, und navigieren Sie zum Pfad der MDAV.wprp Datei.

  7. Danach sollte ein neuer Profilsatz unter Benutzerdefinierte Messungen mit dem Namen Microsoft Defender for Endpoint Analyse darunter angezeigt werden.

    Die dateiinterne

    Warnung

    Wenn Ihr Windows Server über 64 GB RAM oder mehr verfügt, verwenden Sie die benutzerdefinierte Messung Microsoft Defender for Endpoint analysis for large servers anstelle von Microsoft Defender for Endpoint analysis. Andernfalls kann Ihr System eine große Menge an nicht ausgelagertem Poolspeicher oder Puffern verbrauchen, was zu Systeminstabilität führen kann. Sie können auswählen, welche Profile hinzugefügt werden sollen, indem Sie Ressourcenanalyse erweitern. Dieses benutzerdefinierte Profil stellt den erforderlichen Kontext für eine ausführliche Leistungsanalyse bereit.

  8. So verwenden Sie das benutzerdefinierte Maß Microsoft Defender for Endpoint ausführliche Analyseprofil auf der WPR-Benutzeroberfläche:

    1. Stellen Sie sicher, dass unter den Gruppen Erste-Ebene-Selektierung, Ressourcenanalyse und Szenarioanalyse keine Profile ausgewählt sind.
    2. Wählen Sie Benutzerdefinierte Messungen aus.
    3. Wählen Sie Microsoft Defender for Endpoint Analyse aus.
    4. Wählen Sie unter Detailebenedie Option Ausführlich aus.
    5. Wählen Sie unter Protokollierungsmodus die Option Datei oder Arbeitsspeicher aus.

    Wichtig

    Wählen Sie Datei aus, um den Dateiprotokollierungsmodus zu verwenden, wenn das Leistungsproblem direkt vom Benutzer reproduziert werden kann. Die meisten Probleme fallen unter diese Kategorie. Wenn der Benutzer das Problem jedoch nicht direkt reproduzieren kann, es aber leicht bemerken kann, sobald das Problem auftritt, sollte der Benutzer Speicher auswählen, um den Speicherprotokollierungsmodus zu verwenden. Dadurch wird sichergestellt, dass das Ablaufverfolgungsprotokoll aufgrund der langen Laufzeit nicht übermäßig aufgeblasen wird.

  9. Jetzt können Sie Daten sammeln. Beenden Sie alle Anwendungen, die für die Reproduktion des Leistungsproblems nicht relevant sind. Sie können Optionen ausblenden auswählen, um den Platz, der vom WPR-Fenster belegt wird, klein zu halten.

    Die Optionen ausblenden

    Tipp

    Versuchen Sie, die Ablaufverfolgung mit ganzen Sekunden zu starten. Für instance, 01:30:00. Dies erleichtert die Analyse der Daten. Versuchen Sie auch, den Zeitstempel genau zu verfolgen, wann das Problem reproduziert wird.

  10. Klicken Sie auf Start.

    Seite

  11. Reproduzieren Sie das Problem.

    Tipp

    Halten Sie die Datensammlung auf maximal fünf Minuten fest. Zwei bis drei Minuten sind ein guter Bereich, da viele Daten gesammelt werden.

  12. Klicken Sie auf Speichern.

    Die Option

  13. Geben Sie eine ausführliche Beschreibung des Problems ein: mit Informationen über das Problem und wie Sie das Problem reproduzieren.

    Der Bereich, in dem Sie ausfüllen

    1. Wählen Sie Dateiname: aus, um zu bestimmen, wo Ihre Ablaufverfolgungsdatei gespeichert wird. Standardmäßig wird sie in %user%\Documents\WPR Files\gespeichert.
    2. Klicken Sie auf Speichern.

  14. Warten Sie, während die Ablaufverfolgung zusammengeführt wird.

    Die allgemeine Ablaufverfolgung der WPR

  15. Nachdem die Ablaufverfolgung gespeichert wurde, wählen Sie Ordner öffnen aus.

    Die Seite, auf der die Benachrichtigung angezeigt wird, dass die WPR-Ablaufverfolgung gespeichert wurde

    Schließen Sie sowohl die Datei als auch den Ordner in Ihre Übermittlung ein, um Microsoft-Support.

    Die Details der Datei und des Ordners

Erfassen von Leistungsprotokollen mithilfe der WPR CLI

Das Befehlszeilentool wpr.exe ist ab Windows 8 Teil des Betriebssystems. So erfassen Sie eine WPR-Ablaufverfolgung mithilfe des Befehlszeilentools wpr.exe:

  1. Laden Sie Microsoft Defender for Endpoint Analyseprofil für Leistungsablaufverfolgungen in eine Datei namens MDAV.wprp in einem lokalen Verzeichnis wie C:\tracesherunter.

  2. Klicken Sie mit der rechten Maustaste auf das Symbol Startmenü, und wählen Sie Windows PowerShell (Admin) oder Eingabeaufforderung (Admin) aus, um ein Admin Eingabeaufforderungsfenster zu öffnen.

  3. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, wählen Sie Ja aus.

  4. Führen Sie an der Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus, um eine Microsoft Defender for Endpoint Leistungsablaufverfolgung zu starten:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Warnung

    Wenn Ihr Windows Server über 64 GB oder mehr RAM verfügt, verwenden Sie Profile WDForLargeServers.Light und WDForLargeServers.Verbose anstelle von Profilen WD.Light bzw WD.Verbose. . Andernfalls kann Ihr System eine große Menge an nicht ausgelagertem Poolspeicher oder Puffern verbrauchen, was zu Systeminstabilität führen kann.

  5. Reproduzieren Sie das Problem.

    Tipp

    Behalten Sie die Datensammlung maximal fünf Minuten bei. Je nach Szenario sind zwei bis drei Minuten ein guter Bereich, da viele Daten gesammelt werden.

  6. Führen Sie an der Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus, um die Leistungsablaufverfolgung zu beenden, und stellen Sie sicher, dass Sie Informationen zum Problem und zur Reproduktion des Problems bereitstellen:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Warten Sie, bis die Ablaufverfolgung zusammengeführt wurde.

  8. Schließen Sie sowohl die Datei als auch den Ordner in Ihre Übermittlung an den Microsoft-Support ein.

Tipp

Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:

Tipp

Leistungstipp Aufgrund einer Vielzahl von Faktoren (beispiele unten aufgeführt) kann Microsoft Defender Antivirus wie andere Antivirensoftware Leistungsprobleme auf Endpunktgeräten verursachen. In einigen Fällen müssen Sie möglicherweise die Leistung von Microsoft Defender Antivirus optimieren, um diese Leistungsprobleme zu beheben. Die Leistungsanalyse von Microsoft ist ein PowerShell-Befehlszeilentool, mit dem Sie ermitteln können, welche Dateien, Dateipfade, Prozesse und Dateierweiterungen Leistungsprobleme verursachen können. Einige Beispiele sind:

  • Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
  • Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
  • Kombinationen – z. B.:
    • Top-Dateien pro Erweiterung
    • Top-Pfade pro Erweiterung
    • Top-Prozesse pro Pfad
    • Top-Scans pro Datei
    • Top-Scans pro Datei und Prozess

Sie können die mit der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme besser zu bewerten und Korrekturaktionen anzuwenden. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.