Share via

Solucionar problemas de rendimiento relacionados con la protección en tiempo real

  • Artículo

Se aplica a:

Plataformas

  • Windows

Si el sistema tiene problemas elevados de uso de CPU o rendimiento relacionados con el servicio de protección en tiempo real en Microsoft Defender para punto de conexión, puede enviar una incidencia al soporte técnico de Microsoft. Siga los pasos descritos en Recopilación de datos de diagnóstico Microsoft Defender Antivirus.

Como administrador, también puede solucionar estos problemas por su cuenta.

En primer lugar, es posible que quiera comprobar si otro software está causando el problema. Lea Comprobar con el proveedor si hay exclusiones de antivirus.

De lo contrario, puede identificar qué software está relacionado con el problema de rendimiento identificado siguiendo los pasos descritos en Analizar el registro de protección de Microsoft.

También puede proporcionar registros adicionales al envío al soporte técnico de Microsoft siguiendo los pasos descritos en:

Para ver problemas específicos del rendimiento relacionados con Microsoft Defender Antivirus, consulte: Analizador de rendimiento para Microsoft Defender Antivirus.

Comprobación con el proveedor de exclusiones de antivirus

Si puede identificar fácilmente el software que afecta al rendimiento del sistema, vaya al centro de soporte técnico o knowledge base del proveedor de software. Búsqueda si tienen recomendaciones sobre exclusiones antivirus. Si el sitio web del proveedor no los tiene, puede abrir una incidencia de soporte técnico con ellos y pedirle que publique una.

Se recomienda que los proveedores de software sigan las distintas directrices de Asociación con el sector para minimizar los falsos positivos. El proveedor puede enviar su software a través del portal de Inteligencia de seguridad de Microsoft.

Análisis del registro de Microsoft Protection

Puede encontrar el archivo de registro de protección de Microsoft en C:\ProgramData\Microsoft\Windows Defender\Support.

En MPLog-xxxxxxxx-xxxxxx.log, puede encontrar la información de impacto estimado del rendimiento de la ejecución de software como EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Nombre del campo Description
ProcessImageName Nombre de la imagen de proceso
TotalTime La duración acumulativa en milisegundos que se dedica a los exámenes de los archivos a los que accede este proceso
Count Número de archivos digitalizados a los que accede este proceso
MaxTime Duración en milisegundos en el examen único más largo de un archivo al que accede este proceso
MaxTimeFile Ruta de acceso del archivo al que accede este proceso para el que se registró el examen más largo de MaxTime la duración
EstimatedImpact El porcentaje de tiempo dedicado a los exámenes de los archivos a los que accede este proceso fuera del período en el que este proceso experimentó la actividad de examen

Si el impacto en el rendimiento es alto, intente agregar el proceso a las exclusiones de ruta de acceso o proceso siguiendo los pasos descritos en Configuración y validación de exclusiones para los exámenes de antivirus de Microsoft Defender.

Si el paso anterior no resuelve el problema, puede recopilar más información a través del Monitor de procesos o la Grabadora de rendimiento de Windows en las secciones siguientes.

Captura de registros de procesos mediante el Monitor de procesos

Monitor de procesos (ProcMon) es una herramienta de supervisión avanzada que puede mostrar procesos en tiempo real. Puede usarlo para capturar el problema de rendimiento a medida que se está produciendo.

  1. Descargue Process Monitor v3.89 en una carpeta como C:\temp.

  2. Para quitar la marca del archivo de la web:

    1. Haga clic con el botón derecho en ProcessMonitor.zip y seleccione Propiedades.
    2. En la pestaña General , busque Seguridad.
    3. Active la casilla situada junto a Desbloquear.
    4. Seleccione Aplicar.

    La página Quitar MOTW

  3. Descomprima el archivo en C:\temp para que la ruta de acceso de la carpeta sea C:\temp\ProcessMonitor.

  4. Copie ProcMon.exe en el cliente de Windows o el servidor de Windows que está solucionando problemas.

  5. Antes de ejecutar ProcMon, asegúrese de que todas las demás aplicaciones no relacionadas con el problema de uso elevado de cpu estén cerradas. Al hacerlo, se minimizará el número de procesos que se van a comprobar.

  6. Puede iniciar ProcMon de dos maneras.

    1. Haga clic con el botón derecho en ProcMon.exe y seleccione Ejecutar como administrador.

      Puesto que el registro se inicia automáticamente, seleccione el icono de lupa para detener la captura actual o use el método abreviado de teclado Ctrl+E.

      Icono de lupa

      Para comprobar que ha detenido la captura, compruebe si el icono de lupa aparece ahora con una X roja.

      Barra diagonal roja

      A continuación, para borrar la captura anterior, seleccione el icono de borrador.

      Icono de borrar

      También puede usar el método abreviado de teclado Ctrl+X.

    2. La segunda manera es ejecutar la línea de comandos como administrador y, a continuación, desde la ruta de acceso del Monitor de procesos, ejecute:

      El procmon de cmd 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Sugerencia

      Haga que la ventana ProcMon sea lo más pequeña posible al capturar datos para que pueda iniciar y detener fácilmente el seguimiento.

      Página en la que se muestra un procmon minimizado

  7. Después de seguir uno de los procedimientos del paso 6, verá una opción para establecer filtros. Seleccione Aceptar. Siempre puede filtrar los resultados una vez completada la captura.

    Página en la que se elige Excluir sistema como nombre de proceso de filtrado

  8. Para iniciar la captura, vuelva a seleccionar el icono de lupa.

  9. Reproduzca el problema.

    Sugerencia

    Espere a que el problema se reproduzca por completo y, a continuación, tome nota de la marca de tiempo cuando se inició el seguimiento.

  10. Una vez que tenga entre dos y cuatro minutos de actividad de proceso durante la condición de uso elevado de la CPU, detenga la captura seleccionando el icono de lupa.

  11. Para guardar la captura con un nombre único y con el formato .pml, seleccione Archivo y, a continuación, seleccione Guardar.... Asegúrese de seleccionar los botones de radio Todos los eventos y Formato de monitor de proceso nativo (PML).

    Página guardar configuración

  12. Para un mejor seguimiento, cambie la ruta de acceso predeterminada de C:\temp\ProcessMonitor\LogFile.PML a C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML dónde:

    • %ComputerName% es el nombre del dispositivo
    • MMDDYEAR es el mes, el día y el año
    • Repro_of_issue es el nombre del problema que intenta reproducir

    Sugerencia

    Si tiene un sistema de trabajo, es posible que desee obtener un registro de ejemplo para compararlo.

  13. Comprima el archivo .pml y envíelo al soporte técnico de Microsoft.

Captura de registros de rendimiento mediante La grabadora de rendimiento de Windows

Puedes usar Windows Performance Recorder (WPR) para incluir información adicional en tu envío al soporte técnico de Microsoft. WPR es una potente herramienta de grabación que crea seguimiento de eventos para grabaciones de Windows.

WPR forma parte del Kit de evaluación e implementación de Windows (Windows ADK) y se puede descargar desde Descargar e instalar Windows ADK. También puede descargarlo como parte del kit de desarrollo de software de Windows 10 en Windows 10 SDK.

Puede usar la interfaz de usuario de WPR siguiendo los pasos descritos en Capturar registros de rendimiento mediante la interfaz de usuario de WPR.

Como alternativa, también puede usar la herramienta de línea de comandos wpr.exe, que está disponible en Windows 8 y versiones posteriores siguiendo los pasos descritos en Captura de registros de rendimiento mediante la CLI de WPR.

Captura de registros de rendimiento mediante la interfaz de usuario de WPR

Sugerencia

Si varios dispositivos experimentan este problema, use el que tenga más RAM.

  1. Descargue e instale WPR.

  2. En Kits de Windows, haga clic con el botón derecho en Grabadora de rendimiento de Windows.

    Menú Inicio

    Seleccione Más. Seleccione Ejecutar como administrador.

  3. Cuando aparezca el cuadro de diálogo Control de cuentas de usuario, seleccione .

    Página UAC

  4. A continuación, descargue el perfil de análisis Microsoft Defender para punto de conexión y guárdelo en MDAV.wprp una carpeta como C:\temp.

  5. En el cuadro de diálogo WPR, seleccione Más opciones.

    Página en la que puede seleccionar más opciones

  6. Seleccione Agregar perfiles... y vaya a la ruta de acceso del MDAV.wprp archivo.

  7. Después, debería ver un nuevo perfil establecido en Medidas personalizadas denominadasMicrosoft Defender para punto de conexión análisis debajo de él.

    El archivo en

    Advertencia

    Si Windows Server tiene 64 GB de RAM o más, use la medida Microsoft Defender for Endpoint analysis for large servers personalizada en lugar de Microsoft Defender for Endpoint analysis. De lo contrario, el sistema podría consumir una gran cantidad de memoria de grupo no paginado o búferes, lo que puede provocar inestabilidad en el sistema. Puede elegir qué perfiles agregar expandiendo Análisis de recursos. Este perfil personalizado proporciona el contexto necesario para un análisis detallado del rendimiento.

  8. Para usar la medición personalizada Microsoft Defender para punto de conexión perfil de análisis detallado en la interfaz de usuario de WPR:

    1. Asegúrese de que no hay perfiles seleccionados en los grupos De evaluación de prioridades de primer nivel, Análisis de recursos y Análisis de escenarios .
    2. Seleccione Medidas personalizadas.
    3. Seleccione Microsoft Defender para punto de conexión análisis.
    4. Seleccione Detallado en Nivel de detalle .
    5. Seleccione Archivo o memoria en Modo de registro.

    Importante

    Debe seleccionar Archivo para usar el modo de registro de archivos si el usuario puede reproducir el problema de rendimiento directamente. La mayoría de los problemas se encuentran en esta categoría. Sin embargo, si el usuario no puede reproducir directamente el problema, pero puede observarlo fácilmente una vez que se produce el problema, el usuario debe seleccionar Memoria para usar el modo de registro de memoria. Esto garantiza que el registro de seguimiento no se inflará excesivamente debido al tiempo de ejecución prolongado.

  9. Ahora está listo para recopilar datos. Salga de todas las aplicaciones que no son pertinentes para reproducir el problema de rendimiento. Puede seleccionar Ocultar opciones para mantener pequeño el espacio ocupado por la ventana wpr.

    Las opciones Ocultar

    Sugerencia

    Intente iniciar el seguimiento en un número entero de segundos. Por ejemplo, 01:30:00. Esto facilitará el análisis de los datos. También intente realizar un seguimiento de la marca de tiempo de exactamente cuando se reproduce el problema.

  10. Seleccione Inicio.

    Página Información del sistema de registros

  11. Reproduzca el problema.

    Sugerencia

    Mantenga la recopilación de datos en no más de cinco minutos. De dos a tres minutos es un buen intervalo, ya que se recopilan muchos datos.

  12. Seleccione Guardar.

    La opción Guardar

  13. Rellene Tipo en una descripción detallada del problema: con información sobre el problema y cómo ha reproducido el problema.

    Panel en el que se rellena

    1. Seleccione Nombre de archivo: para determinar dónde se guardará el archivo de seguimiento. De forma predeterminada, se guarda en %user%\Documents\WPR Files\.
    2. Seleccione Guardar.

  14. Espere mientras se combina el seguimiento.

    El seguimiento general de recopilación de WPR

  15. Una vez guardado el seguimiento, seleccione Abrir carpeta.

    Página que muestra la notificación de que se ha guardado el seguimiento de WPR

    Incluya el archivo y la carpeta en el envío a Soporte técnico de Microsoft.

    Detalles del archivo y la carpeta

Captura de registros de rendimiento mediante la CLI de WPR

La herramienta de línea de comandos wpr.exe forma parte del sistema operativo a partir de Windows 8. Para recopilar un seguimiento de WPR mediante la herramienta de línea de comandos wpr.exe:

  1. Descargue Microsoft Defender para punto de conexión perfil de análisis para los seguimientos de rendimiento en un archivo denominado MDAV.wprp en un directorio local como C:\traces.

  2. Haga clic con el botón derecho en el icono menú Inicio y seleccione Windows PowerShell (Administración) o símbolo del sistema (Administración) para abrir una ventana del símbolo del sistema Administración.

  3. Cuando aparezca el cuadro de diálogo Control de cuentas de usuario, seleccione .

  4. En el símbolo del sistema con privilegios elevados, ejecute el siguiente comando para iniciar un seguimiento de rendimiento Microsoft Defender para punto de conexión:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Advertencia

    Si Windows Server tiene 64 GB o RAM o más, use perfiles WDForLargeServers.Light y WDForLargeServers.Verbose en lugar de perfiles WD.Light y WD.Verbose, respectivamente. De lo contrario, el sistema podría consumir una gran cantidad de memoria de grupo no paginado o búferes, lo que puede provocar inestabilidad en el sistema.

  5. Reproduzca el problema.

    Sugerencia

    Mantenga la recopilación de datos no hasta más de cinco minutos. En función del escenario, dos o tres minutos son un buen intervalo, ya que se recopilan muchos datos.

  6. En el símbolo del sistema con privilegios elevados, ejecute el siguiente comando para detener el seguimiento de rendimiento, asegurándose de proporcionar información sobre el problema y cómo ha reproducido el problema:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Espere hasta que se combine el seguimiento.

  8. Incluya el archivo y la carpeta en el envío al soporte técnico de Microsoft.

Sugerencia

Si busca información relacionada con el antivirus para otras plataformas, consulte:

Sugerencia

Sugerencia de rendimiento Debido a una variedad de factores (ejemplos que se enumeran a continuación) Microsoft Defender Antivirus, al igual que otros software antivirus, puede causar problemas de rendimiento en los dispositivos de punto de conexión. En algunos casos, es posible que tenga que ajustar el rendimiento de Microsoft Defender Antivirus para aliviar esos problemas de rendimiento. El analizador de rendimiento de Microsoft es una herramienta de línea de comandos de PowerShell que ayuda a determinar qué archivos, rutas de acceso de archivo, procesos y extensiones de archivo podrían estar causando problemas de rendimiento; Algunos ejemplos son:

  • Rutas de acceso principales que afectan al tiempo de examen
  • Archivos principales que afectan al tiempo de examen
  • Principales procesos que afectan al tiempo de examen
  • Extensiones de archivo principales que afectan al tiempo de examen
  • Combinaciones: por ejemplo:
    • archivos principales por extensión
    • rutas de acceso superiores por extensión
    • procesos principales por ruta de acceso
    • exámenes superiores por archivo
    • exámenes superiores por archivo por proceso

Puede usar la información recopilada mediante el Analizador de rendimiento para evaluar mejor los problemas de rendimiento y aplicar acciones de corrección. Consulte: Analizador de rendimiento para Microsoft Defender Antivirus.

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.