Recopilación de datos para solucionar problemas avanzados en Windows
Se aplica a:
Microsoft Defender para Empresas
Antivirus de Microsoft Defender
Al colaborar con profesionales de soporte técnico de Microsoft, es posible que se le pida que use el analizador de cliente para recopilar datos para solucionar problemas de escenarios más complejos. El script del analizador admite otros parámetros para ese propósito y puede recopilar un conjunto de registros específico en función de los síntomas observados que deben investigarse.
Ejecute MDEClientAnalyzer.cmd /?
para ver la lista de parámetros disponibles y su descripción:
Modificador | Descripción | Cuándo usarlo | Proceso que está solucionando problemas. |
---|---|---|---|
-h |
Llama a Windows Performance Recorder para recopilar un seguimiento de rendimiento general detallado además del conjunto de registros estándar. | Inicio/inicio lento de la aplicación. Al hacer clic en un botón de la aplicación, tarda x segundos más. | Uno de los siguientes: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-l |
Llama a la Monitor de rendimiento integrada de Windows para recopilar un seguimiento ligero de perfmon. Este escenario puede ser útil al diagnosticar problemas de degradación del rendimiento lentos que se producen con el tiempo, pero difíciles de reproducir a petición. | Solución de problemas de rendimiento de aplicaciones que podrían ser lentos para reproducirse (manifiesto). Se recomienda capturar hasta tres minutos (como máximo cinco minutos), ya que el conjunto de datos podría ser demasiado grande. | Uno de los siguientes: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-c |
Llama al monitor de procesos para la supervisión avanzada del sistema de archivos en tiempo real, el registro y la actividad de proceso/subproceso. Esto resulta especialmente útil al solucionar problemas de varios escenarios de compatibilidad de aplicaciones. | Monitor de procesos (ProcMon) para iniciar un seguimiento de arranque al investigar un problema relacionado con el retraso de inicio de un controlador o servicio o aplicación. O bien, las aplicaciones hospedadas en un recurso compartido de red que no usan el bloqueo oportunista smb (Oplock) provocan correctamente problemas de compatibilidad de aplicaciones. | Uno de los siguientes: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-i |
Llama a un comando integrado netsh.exe para iniciar una red y un seguimiento de Firewall de Windows que resulta útil para solucionar diversos problemas relacionados con la red. | Al solucionar problemas relacionados con la red, como telemetría de Defender para punto de conexión EDR o problemas de envío de datos de CnC. Microsoft Defender Antivirus Cloud Protection (MAPS) informa de problemas. Problemas relacionados con la protección de red, etc. | Uno de los procesos siguientes: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-b |
Igual que -c pero el seguimiento del monitor de procesos se iniciará durante el siguiente arranque y se detendrá solo cuando se vuelva a usar -b. |
Monitor de procesos (ProcMon) para iniciar un seguimiento de arranque al investigar un problema relacionado con el retraso de inicio de un controlador o servicio o aplicación. Este escenario también se puede usar para investigar un arranque lento o un inicio de sesión lento. | Uno de los procesos siguientes: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-e |
Llama a La grabadora de rendimiento de Windows para recopilar el seguimiento de cliente av de Defender (AM-Engine y AM-Service) para analizar los problemas de conectividad en la nube del Antivirus. | Al solucionar problemas de errores de informes de Cloud Protection (MAPS). | MsMpEng.exe |
-a |
Llama a Windows Performance Recorder para recopilar un seguimiento de rendimiento detallado específico del análisis de problemas de CPU elevados relacionados con el proceso antivirus (MsMpEng.exe). | Al solucionar problemas de uso elevado de cpu con Microsoft Defender Antivirus (ejecutable de servicio antimalware o MsMpEng.exe) si ya usó el antivirus de Microsoft Defender Analizador de rendimiento para restringir la extensión /path/process o /path o file que contribuye al uso elevado de cpu. Este escenario permite investigar aún más lo que la aplicación o el servicio está haciendo para contribuir al uso elevado de cpu. | MsMpEng.exe |
-v |
Usa antivirus MpCmdRun.exe argumento de línea de comandos con marcas -trace más detalladas. | Cada vez que se necesita una solución de problemas avanzada. Por ejemplo, cuando se solucionan errores de informes de Cloud Protection (MAPS), errores de actualización de plataforma, errores de actualización del motor, errores de actualización de inteligencia de seguridad, falsos negativos, etc. También se puede usar con -b , -c , -h o -l . |
MsMpEng.exe |
-t |
Inicia un seguimiento detallado de todos los componentes del lado cliente relevantes para DLP de punto de conexión, lo que resulta útil para escenarios en los que las acciones DLP no se producen según lo esperado para los archivos. | Cuando se producen problemas en los que no se esperan las acciones de prevención de pérdida de datos de punto de conexión de Microsoft (DLP). | MpDlpService.exe |
-q |
Llama a DLPDiagnose.ps1 script desde el directorio del analizador Tools que valida la configuración básica y los requisitos de DLP de punto de conexión. |
Comprueba la configuración básica y los requisitos de DLP de punto de conexión de Microsoft | MpDlpService.exe |
-d |
Recopila un volcado de memoria de (el proceso del MsSenseS.exe sensor en Windows Server 2016 o sistema operativo anterior) y los procesos relacionados. - * Esta marca se puede usar con las marcas mencionadas anteriormente. - ** Capturar un volcado de memoria de procesos protegidos por PPL como MsSense.exe o MsMpEng.exe no es compatible con el analizador en este momento. |
En Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 o Windows Server 2016 que ejecutan con el agente MMA y tienen problemas de rendimiento (uso elevado de cpu o memoria elevada) o compatibilidad de aplicaciones. | MsSenseS.exe |
-z |
Configura las claves del Registro en la máquina para prepararla para la recopilación completa de volcados de memoria de la máquina a través de CrashOnCtrlScroll. Esto sería útil para el análisis de problemas de inmovilización de equipos. * Mantenga presionada la tecla CTRL situada más a la derecha y presione dos veces la tecla SCROLL LOCK. | La máquina se bloquea o no responde o es lenta. Uso elevado de memoria (pérdida de memoria): a) Modo de usuario: Bytes privados b) Modo kernel: grupo paginado o memoria de grupo sin paginar, controlar pérdidas. |
MSSense.exe o MsMpEng.exe |
-k |
Usa la herramienta NotMyFault para forzar que el sistema se bloquee y genere un volcado de memoria de la máquina. Esto sería útil para analizar diversos problemas de estabilidad del sistema operativo. | Igual que antes. |
MSSense.exe o MsMpEng.exe |
El analizador y todas las marcas de escenario enumeradas en este artículo se pueden iniciar de forma remota mediante la ejecución RemoteMDEClientAnalyzer.cmd
de , que también se incluye en el conjunto de herramientas del analizador:
Nota:
Cuando se usa cualquier parámetro de solución de problemas avanzado, el analizador también llama a MpCmdRun.exe para recopilar Microsoft Defender registros de soporte técnico relacionados con antivirus.
Puede usar -g
la marca para validar las direcciones URL de una región de centro de datos específica, incluso sin incorporarse a esa región.
Por ejemplo, MDEClientAnalyzer.cmd -g EU
obliga al analizador a probar las direcciones URL en la nube en la región de Europa.
Algunos puntos a tener en cuenta
Cuando se usa RemoteMDEClientAnalyzer.cmd
, se llama psexec
a para descargar la herramienta desde el recurso compartido de archivos configurado y, a continuación, ejecutarla localmente a través de PsExec.exe
.
El script CMD usa la -r
marca para especificar que se ejecuta de forma remota dentro del contexto SYSTEM, por lo que no se presenta ningún mensaje al usuario.
Esa misma marca se puede usar con MDEClientAnalyzer.cmd
para evitar un mensaje al usuario para especificar el número de minutos para la recopilación de datos. Por ejemplo, considere MDEClientAnalyzer.cmd -r -i -m 5
.
-
-r
indica que la herramienta se ejecuta desde un contexto remoto (o no interactivo). -
-i
es la marca de escenario para la recopilación de seguimiento de red junto con otros registros relacionados. -
-m #
indica el número de minutos que se van a ejecutar (hemos usado 5 minutos en nuestro ejemplo).
Cuando se usa MDEClientAnalyzer.cmd
, el script comprueba si hay privilegios con net session
, lo que requiere que el servicio Server
se ejecute. Si no es así, recibirá el mensaje de error Script is running with insufficient privileges (Script se ejecuta con privilegios insuficientes). Ejecútelo con privilegios de administrador si ECHO está desactivado.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.