Suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten
Koskee seuraavia
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Vaatimukset
Microsoft Defender virustentorjunnan suorituskyvyn analysointitoiminnolla on seuraavat edellytykset:
- Tuetut Windows-versiot: Windows 10, Windows 11, Windows 2012 R2 with the Modern Unified Solution ja Windows Server 2016 ja uudemmat
- Käyttöympäristön versio:
4.18.2108.7
tai uudempi - PowerShell-versio: PowerShellin versio 5.1, PowerShell ISE, etä PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)
Mikä on Microsoft Defender virustentorjunnan suorituskyvyn analysointi?
Jos Microsoft Defender virustentorjuntaa käyttävissä tietokoneissa on suorituskykyongelmia, voit parantaa Microsoft Defender virustentorjuntaohjelman suorituskykyä suorituskyvyn analysointitoiminnolla. Windows 10, Windows 11 ja Windows Serverin Microsoft Defender virustentorjuntaohjelman suorituskyvyn analysointi on PowerShell-komentorivityökalu, jonka avulla voit määrittää tiedostoja, tiedostotunnisteita ja prosesseja, jotka saattavat aiheuttaa suorituskykyongelmia yksittäisissä päätepisteissä virustentorjuntatarkistusten aikana. Suorituskykyanalysaattorin keräämien tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja.
Kuten mekaniikka suorittaa diagnostiikkaa ja palvelua ajoneuvossa, jossa on suorituskykyongelmia, suorituskyvyn analysointi voi auttaa parantamaan Defenderin virustentorjuntaohjelman suorituskykyä.
Analysoinnin vaihtoehtoja ovat muun muassa seuraavat:
- Tärkeimmät skannausaikaan vaikuttavat polut
- Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
- Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
- Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
- Yhdistelmät – esimerkiksi:
- ylimmät tiedostot laajennusta kohti
- ylimmät polut laajennusta kohti
- parhaat prosessit polkua kohti
- suosituimmat tarkistukset tiedostoa kohden
- suosituimmat tarkistukset tiedostoa kohti prosessia kohti
Suoritetaan suorituskyvyn analysointia
Suorituskyvyn analysoinnin suorittamisen korkean tason prosessi sisältää seuraavat vaiheet:
Suorita suorituskyvyn analysointi kerätäksesi suorituskyvyn tallenteen Microsoft Defender virustentorjuntatapahtumista päätepisteessä.
Huomautus
Microsoft-Antimalware-Engine-tyypin Microsoft Defender virustentorjuntatapahtumat tallennetaan suorituskyvyn analysoinnin kautta.
Analysoi tarkistuksen tuloksia käyttämällä eri tallennusraportteja.
Suorituskyvyn analysoinnin käyttäminen
Aloita järjestelmätapahtumien tallentaminen avaamalla PowerShell hallintatilassa ja toimimalla seuraavasti:
Aloita tallennus suorittamalla seuraava komento:
New-MpPerformanceRecording -RecordTo <recording.etl>
where-parametri
-RecordTo
määrittää koko polun sijainnin, johon jäljitystiedosto tallennetaan. Lisätietoja cmdlet-komennoista on kohdassa Microsoft Defender virustentorjunnan cmdlet-komennot.Jos prosessien tai palvelujen arvellaan vaikuttavan suorituskykyyn, toista tilanne suorittamalla tarvittavat tehtävät.
Pysäytä ja tallenna tallennus painamalla ENTER-näppäintä tai peruuta tallennus painamalla Ctrl+C .
Analysoi tuloksia suorituskyvyn analysointitoiminnon parametrin
Get-MpPerformanceReport
avulla. Esimerkiksi suoritettaessa komentoaGet-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10
käyttäjälle annetaan luettelo kymmenestä suurimmasta tarkistuksesta kolmelle suurimmalle suorituskykyyn vaikuttavalle tiedostolle.
Lisätietoja komentoriviparametreista ja asetuksista on kohdassa New-MpPerformanceRecording ja Get-MpPerformanceReport.
Huomautus
Jos saat tallennetta suoritettaessa virhesanoman "Suorituskyvyn tallennusta ei voi aloittaa, koska Windowsin suorituskyvyn tallennin on jo tallentumassa", pysäytä olemassa oleva jäljitys uudella komennolla: wpr -cancel -instancename MSFT_MpPerformanceRecording
Suorituskyvyn säätötiedot ja tiedot
Kyselyn perusteella käyttäjä voi tarkastella skannausmääriä, kestoa (yhteensä/minimi/keskiarvo/maksimi/mediaani), polkua, prosessia ja syyn tarkistusta varten. Seuraavassa kuvassa näytetään esimerkkitulos yksinkertaiselle kyselylle kymmenestä suurimmasta tiedostosta tarkistuksen vaikutusta varten.
Lisätoiminnot: vieminen ja muuntaminen CSV- ja JSON-muotoon
Suorituskyvyn analysoinnin tulokset voidaan myös viedä ja muuntaa CSV- tai JSON-tiedostoksi. Seuraavissa osissa on esimerkkejä, joissa kuvataan "vienti" ja "muunna" mallikoodien avulla.
Defender-versiosta 4.18.2206.X
alkaen käyttäjät voivat tarkastella tarkistuksen ohitussyytietoja "SkipReason"-sarakkeessa. Mahdolliset arvot ovat:
- Ei ohitettu
- Optimointi (yleensä suorituskykysyistä)
- Käyttäjä ohitettiin (yleensä käyttäjän asettamien poissulkemisten vuoksi)
CSV:lle
- Vietäväksi:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
- Muunnettava:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation
JSON:lle
- Muunnettava:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1
Jos haluat varmistaa, että koneellisesti luettava tuloste viedään muiden tietojenkäsittelyjärjestelmien kanssa, on suositeltavaa käyttää -Raw
-parametria Get-MpPerformanceReport
. Lisätietoja on seuraavissa osioissa.
PowerShell-viittaus
Virustentorjunnan Microsoft Defender suorituskyvyn hienosäätämiseen käytetään kahta uutta PowerShellin cmdlet-komentoa:
New-MpPerformanceRecording
Seuraavassa osiossa kuvataan uuden PowerShellin cmdlet-komennon New-MpPerformanceRecording viittaus. Tämä cmdlet kerää suorituskyvyn tallenteen Microsoft Defender virustentorjuntatarkistuksista.
Syntaksi: New-MpPerformanceRecording
New-MpPerformanceRecording -RecordTo <String>
Kuvaus: New-MpPerformanceRecording
Cmdlet New-MpPerformanceRecording
kerää suorituskyvyn tallenteen Microsoft Defender virustentorjuntatarkistuksista. Nämä suorituskyvyn tallenteet sisältävät Microsoft-Antimalware-Engine- ja NT-ydinprosessitapahtumia, ja ne voidaan analysoida keräämisen jälkeen käyttämällä Get-MpPerformanceReport-cmdlet-komentoa .
Tämä New-MpPerformanceRecording
cmdlet-komento tarjoaa tietoja ongelmallisista tiedostoista, jotka voivat heikentää Microsoft Defender virustentorjuntaohjelman suorituskykyä. Tämä työkalu tarjotaan "AS IS", eikä sen tarkoituksena ole antaa ehdotuksia poissulkemisista. Poikkeukset voivat pienentää päätepisteiden suojaustasoa. Mahdolliset poikkeukset on määriteltävä harkiten.
Lisätietoja suorituskyvyn analysoinnista on ohjeaiheessa Suorityskyvyn analysointi.
Tärkeää
Tämä cmdlet-komento edellyttää laajennettuja järjestelmänvalvojan oikeuksia.
Esimerkkejä: New-MpPerformanceRecording
Esimerkki 1: Kerää suorituskyvyn tallenne ja tallenna se
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl
Yllä oleva komento kerää suorituskyvyn tallenteen ja tallentaa sen määritettyyn polkuun: .\Defender-scans.etl.
Esimerkki 2: Suorituskyvyn tallennuksen kerääminen PowerShell-etäistuntoa varten
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s
Yllä oleva komento kerää suorituskyvyn tallenteen palvelimeen 02 (parametri-istunnon argumentin $s määrittämällä tavalla) ja tallentaa sen määritettyyn polkuun: C:\LocalPathOnServer02\trace.etl Server02:ssa.
Parametrit: New-MpPerformanceRecording
-Tietue:
Määrittää sijainnin, johon Microsoft Defender haittaohjelmien torjunnan tallennus tallennetaan.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Istunto
Määrittää PSSession-objektin, johon virustentorjuntaohjelman Microsoft Defender luodaan ja tallennetaan. Kun käytät tätä parametria, RecordTo-parametri viittaa etäkoneen paikalliseen polkuun. Käytettävissä Defender-ympäristön versiossa 4.18.2201.10.
Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Get-MpPerformanceReport
Seuraavassa osassa kuvataan Get-MpPerformanceReport PowerShellin cmdlet-komento. Analysoi ja raportoi Microsoft Defender virustentorjunnan suorituskyvyn tallennuksesta.
Syntaksi: Get-MpPerformanceReport
Get-MpPerformanceReport [-Path] <String>
[-TopScans [<Int32>]]
[-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
[-TopScansPerPath [<Int32>]]
[-TopFilesPerPath [<Int32>]
[-TopScansPerFilePerPath [<Int32>]]
]
[-TopExtensionsPerPath [<Int32>]
[-TopScansPerExtensionPerPath [<Int32>]]
]
[-TopProcessesPerPath [<Int32>]
[-TopScansPerProcessPerPath [<Int32>]]
]
]
[-TopFiles [<Int32>]
[-TopScansPerFile [<Int32>]]
[-TopProcessesPerFile [<Int32>]
[-TopScansPerProcessPerFile [<Int32>]]
]
]
[-TopExtensions [<Int32>]
[-TopScansPerExtension [<Int32>]
[-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerExtension [<Int32>]]
]
[-TopProcessesPerExtension [<Int32>]
[-TopScansPerProcessPerExtension [<Int32>]]
]
[-TopFilesPerExtension [<Int32>]
[-TopScansPerFilePerExtension [<Int32>]]
]
]
[-TopProcesses [<Int32>]
[-TopScansPerProcess [<Int32>]]
[-TopExtensionsPerProcess [<Int32>]
[-TopScansPerExtensionPerProcess [<Int32>]]
]
[-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerProcess [<Int32>]]
]
[-TopFilesPerProcess [<Int32>]
[-TopScansPerFilePerProcess [<Int32>]]
]
]
[-MinDuration <String>]
[-Raw]
Kuvaus: Get-MpPerformanceReport
Cmdlet Get-MpPerformanceReport
analysoi aiemmin kerätyn Microsoft Defender virustentorjunnan suorituskyvyn tallenteen (New-MpPerformanceRecording) ja raportoi tiedostopolut, tiedostotunnisteet ja prosessit, jotka aiheuttavat suurimman vaikutuksen virustentorjuntatarkistuksia Microsoft Defender.
Suorituskyvyn analysointi tarjoaa tietoja ongelmallisista tiedostoista, jotka voivat heikentää Microsoft Defender virustentorjuntaohjelman suorituskykyä. Tämä työkalu tarjotaan "AS IS", eikä sen tarkoituksena ole antaa ehdotuksia poissulkemisista. Poikkeukset voivat pienentää päätepisteiden suojaustasoa. Mahdolliset poikkeukset on määriteltävä harkiten.
Lisätietoja suorituskyvyn analysoinnista on ohjeaiheessa Suorityskyvyn analysointi.
Tuetut käyttöjärjestelmäversiot:
Windows 10 ja uudemmat versiot.
Huomautus
Tämä ominaisuus on käytettävissä alustan versiosta 4.18.2108.X alkaen ja uudemmassa versiossa.
Esimerkkejä: Get-MpPerformanceReport
Esimerkki 1: Yksittäinen kysely
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
Esimerkki 2: Useita kyselyitä
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
Esimerkki 3: Sisäkkäiset kyselyt
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
Esimerkki 4: -MinDuration-parametrin käyttäminen
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
Esimerkki 5: -Raw-parametrin käyttäminen
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json
-Raw'n käyttäminen yllä olevassa komennossa määrittää, että tulosteen on oltava koneellisesti luettavissa ja helposti muunnettavissa Sarjoitusmuotoihin, kuten JSON.
Parametrit: Get-MpPerformanceReport
-TopPaths
Pyytää ylimmän polun raporttia ja määrittää, kuinka monta ylintä tulostettavaa polkua on lajiteltu keston mukaan. Koostaa tarkistukset niiden polun ja hakemiston perusteella. Käyttäjä voi määrittää, kuinka monta hakemistoa näytetään kullakin tasolla ja valinnan syvyyden.
- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth
Määrittää rekursiivisen syvyyden, jota käytetään koostetun polun tulosten ryhmittelyyn ja näyttämiseen. Esimerkiksi "C:" vastaa 1:n syvyyttä, "C:\Users\Foo" vastaa syvyys 3.
Tämä merkintä voidaan liittää kaikkiin muihin ylimmän polun asetuksiin. Jos tämä puuttuu, oletuksena on oletusarvo 3. Arvo ei voi olla 0.
- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
Lippu | Määritelmä |
---|---|
-TopScansPerPath | Määrittää, kuinka monta ylintä polkua varten määritettävä ylin tarkistus on määritettävä. |
-TopFilesPerPath | Määrittää, kuinka monta ylintä polkua varten määritettävää ylintä tiedostoa on. |
-TopScansPerFilePerPath | Määrittää, kuinka monta ylintä tarkistusta kunkin ylimmän polun ylimmälle tiedostolle tulostetaan keston mukaan lajiteltuna |
-TopExtensionsPerPath | Määrittää, kuinka monta yläpolkua ylintä laajennusta tulostettavaksi |
-TopScansPerExtensionPerPath | Määrittää, kuinka monta ylintä tarkistusta kunkin yläpolun ylintä laajennusta kohden tulostetaan |
-TopProcessesPerPath | Määrittää, kuinka monta ylintä prosessia kutakin ylintä polkua kohden tulostettavana on |
-TopScansPerProcessPerPath | Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle prosessille kullekin ylimmälle polulle |
-TopPathsPerExtension | Määrittää, kuinka monta ylintä polkua kutakin ylälaajennusta kohden tulostetaan |
-TopScansPerPathPerExtension | Määrittää, kuinka monta ylintä tarkistusta kunkin ylätunnisteen ylimmälle polulle tulostettavaksi tulee |
-TopPathsPerProcess | Määrittää, kuinka monta ylintä polkua kutakin ylintä prosessia varten tulostetaan |
-TopScansPerPathPerProcess | Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle polulle kullekin ylimmälle prosessille |
-MinDuration
Määrittää raporttiin sisältyvien tiedostojen, laajennusten ja prosessien tarkistuksen vähimmäiskeston tai tarkistuksen kokonaiskeston. hyväksyy arvot, kuten 0,1234567sec, 0.1234ms, 0.1us tai kelvollinen TimeSpan.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Polku
Määrittää yhden tai useamman sijainnin polun tai polut.
Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-Raaka
Määrittää, että suorituskyvyn tallennuksen tuloksen on oltava koneellisesti luettavissa ja helposti muunnettavissa Sarjoitusmuotoihin, kuten JSON (esimerkiksi Muunna JSON-komennolla). Tätä määritystä suositellaan käyttäjille, jotka ovat kiinnostuneita eräkäsittelystä muiden tietojenkäsittelyjärjestelmien kanssa.
Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensions
Määrittää, kuinka monta ylintä laajennusta tulostetaan keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess
Määrittää, kuinka monta ylintä laajennusta näytetään kullekin ylimmälle prosessille keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Ylätiedostot
Pyytää ylimmät tiedostot -raporttia ja määrittää, kuinka monta ylintä tiedostoa tulostetaan keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension
Määrittää, kuinka monta ylintä tiedostoa näytetään kullekin ylimmälle laajennukselle keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess
Määrittää, kuinka monta ylintä tiedostoa näytetään kullekin ylimmälle prosessille keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Ylimmätprosessit
Pyytää ylimpien prosessien raporttia ja määrittää, kuinka monta ylintä prosessia tulostetaan keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension
Määrittää, kuinka monta ylintä laajennusta varten tulostetaan keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile
Määrittää, kuinka monta ylintä tulostamisprosessia kullekin ylimmälle tiedostolle on tehtävä keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans
Pyytää ylintä tarkistusta -raporttia ja määrittää, kuinka monta ylintä tarkistusta tulostetaan keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension
Määrittää, kuinka monta ylintä tarkennusta näytetään kullekin ylimmälle laajennukselle keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess
Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle laajennukselle kullekin ylimmälle prosessille keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile
Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle tiedostolle keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension
Määrittää, kuinka monta ylintä tiedostoa ylintä tiedostoa varten tulostetaan keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess
Määrittää, kuinka monta ylintä tarkistusta kunkin ylimmän prosessin tulosteille on valittu keston mukaan.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess
Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin Ylimmät prosessit -raportin ylimmälle prosessille keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension
Määrittää, kuinka monta ylintä tarkistusta kunkin ylälaajennuksen tulosteille on valittu keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile
Määrittää kunkin ylimmän tiedoston tulosteiden ylimmät tarkistukset keston mukaan lajiteltuna.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Lisäresurssit
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
- Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Macissa
- macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpoint Linuxissa
- Defender for Endpointin määrittäminen Android-ominaisuuksille- Microsoft Defender for Endpoint määrittäminen iOS-ominaisuuksille
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle