Suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten

Koskee seuraavia

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows

Vaatimukset

Microsoft Defender virustentorjunnan suorituskyvyn analysointitoiminnolla on seuraavat edellytykset:

• Tuetut Windows-versiot: Windows 10, Windows 11, Windows 2012 R2 with the Modern Unified Solution ja Windows Server 2016 ja uudemmat
• Käyttöympäristön versio: 4.18.2108.7 tai uudempi
• PowerShell-versio: PowerShellin versio 5.1, PowerShell ISE, etä PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Mikä on Microsoft Defender virustentorjunnan suorituskyvyn analysointi?

Jos Microsoft Defender virustentorjuntaa käyttävissä tietokoneissa on suorituskykyongelmia, voit parantaa Microsoft Defender virustentorjuntaohjelman suorituskykyä suorituskyvyn analysointitoiminnolla. Windows 10, Windows 11 ja Windows Serverin Microsoft Defender virustentorjuntaohjelman suorituskyvyn analysointi on PowerShell-komentorivityökalu, jonka avulla voit määrittää tiedostoja, tiedostotunnisteita ja prosesseja, jotka saattavat aiheuttaa suorituskykyongelmia yksittäisissä päätepisteissä virustentorjuntatarkistusten aikana. Suorituskykyanalysaattorin keräämien tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja.

Kuten mekaniikka suorittaa diagnostiikkaa ja palvelua ajoneuvossa, jossa on suorituskykyongelmia, suorituskyvyn analysointi voi auttaa parantamaan Defenderin virustentorjuntaohjelman suorituskykyä.

Analysoinnin vaihtoehtoja ovat muun muassa seuraavat:

• Tärkeimmät skannausaikaan vaikuttavat polut
• Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
• Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
• Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
• Yhdistelmät – esimerkiksi:
  • ylimmät tiedostot laajennusta kohti
  • ylimmät polut laajennusta kohti
  • parhaat prosessit polkua kohti
  • suosituimmat tarkistukset tiedostoa kohden
  • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suoritetaan suorituskyvyn analysointia

Suorituskyvyn analysoinnin suorittamisen korkean tason prosessi sisältää seuraavat vaiheet:

1. Suorita suorituskyvyn analysointi kerätäksesi suorituskyvyn tallenteen Microsoft Defender virustentorjuntatapahtumista päätepisteessä.

   Huomautus

   Microsoft-Antimalware-Engine-tyypin Microsoft Defender virustentorjuntatapahtumat tallennetaan suorituskyvyn analysoinnin kautta.

2. Analysoi tarkistuksen tuloksia käyttämällä eri tallennusraportteja.

Suorituskyvyn analysoinnin käyttäminen

Aloita järjestelmätapahtumien tallentaminen avaamalla PowerShell hallintatilassa ja toimimalla seuraavasti:

1. Aloita tallennus suorittamalla seuraava komento:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   where-parametri -RecordTo määrittää koko polun sijainnin, johon jäljitystiedosto tallennetaan. Lisätietoja cmdlet-komennoista on kohdassa Microsoft Defender virustentorjunnan cmdlet-komennot.

2. Jos prosessien tai palvelujen arvellaan vaikuttavan suorituskykyyn, toista tilanne suorittamalla tarvittavat tehtävät.

3. Pysäytä ja tallenna tallennus painamalla ENTER-näppäintä tai peruuta tallennus painamalla Ctrl+C .

4. Analysoi tuloksia suorituskyvyn analysointitoiminnon parametrin Get-MpPerformanceReport avulla. Esimerkiksi suoritettaessa komentoa Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10käyttäjälle annetaan luettelo kymmenestä suurimmasta tarkistuksesta kolmelle suurimmalle suorituskykyyn vaikuttavalle tiedostolle.

Lisätietoja komentoriviparametreista ja asetuksista on kohdassa New-MpPerformanceRecording ja Get-MpPerformanceReport.

Huomautus

Jos saat tallennetta suoritettaessa virhesanoman "Suorituskyvyn tallennusta ei voi aloittaa, koska Windowsin suorituskyvyn tallennin on jo tallentumassa", pysäytä olemassa oleva jäljitys uudella komennolla: wpr -cancel -instancename MSFT_MpPerformanceRecording

Suorituskyvyn säätötiedot ja tiedot

Kyselyn perusteella käyttäjä voi tarkastella skannausmääriä, kestoa (yhteensä/minimi/keskiarvo/maksimi/mediaani), polkua, prosessia ja syyn tarkistusta varten. Seuraavassa kuvassa näytetään esimerkkitulos yksinkertaiselle kyselylle kymmenestä suurimmasta tiedostosta tarkistuksen vaikutusta varten.

Lisätoiminnot: vieminen ja muuntaminen CSV- ja JSON-muotoon

Suorituskyvyn analysoinnin tulokset voidaan myös viedä ja muuntaa CSV- tai JSON-tiedostoksi. Seuraavissa osissa on esimerkkejä, joissa kuvataan "vienti" ja "muunna" mallikoodien avulla.

Defender-versiosta 4.18.2206.Xalkaen käyttäjät voivat tarkastella tarkistuksen ohitussyytietoja "SkipReason"-sarakkeessa. Mahdolliset arvot ovat:

• Ei ohitettu
• Optimointi (yleensä suorituskykysyistä)
• Käyttäjä ohitettiin (yleensä käyttäjän asettamien poissulkemisten vuoksi)

CSV:lle

• Vietäväksi:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Muunnettava:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

JSON:lle

• Muunnettava:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Jos haluat varmistaa, että koneellisesti luettava tuloste viedään muiden tietojenkäsittelyjärjestelmien kanssa, on suositeltavaa käyttää -Raw -parametria Get-MpPerformanceReport. Lisätietoja on seuraavissa osioissa.

PowerShell-viittaus

Virustentorjunnan Microsoft Defender suorituskyvyn hienosäätämiseen käytetään kahta uutta PowerShellin cmdlet-komentoa:

• New-MpPerformanceRecording
• Get-MpPerformanceReport

New-MpPerformanceRecording

Seuraavassa osiossa kuvataan uuden PowerShellin cmdlet-komennon New-MpPerformanceRecording viittaus. Tämä cmdlet kerää suorituskyvyn tallenteen Microsoft Defender virustentorjuntatarkistuksista.

Syntaksi: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Kuvaus: New-MpPerformanceRecording

Cmdlet New-MpPerformanceRecording kerää suorituskyvyn tallenteen Microsoft Defender virustentorjuntatarkistuksista. Nämä suorituskyvyn tallenteet sisältävät Microsoft-Antimalware-Engine- ja NT-ydinprosessitapahtumia, ja ne voidaan analysoida keräämisen jälkeen käyttämällä Get-MpPerformanceReport-cmdlet-komentoa .

Tämä New-MpPerformanceRecording cmdlet-komento tarjoaa tietoja ongelmallisista tiedostoista, jotka voivat heikentää Microsoft Defender virustentorjuntaohjelman suorituskykyä. Tämä työkalu tarjotaan "AS IS", eikä sen tarkoituksena ole antaa ehdotuksia poissulkemisista. Poikkeukset voivat pienentää päätepisteiden suojaustasoa. Mahdolliset poikkeukset on määriteltävä harkiten.

Lisätietoja suorituskyvyn analysoinnista on ohjeaiheessa Suorityskyvyn analysointi.

Tärkeää

Tämä cmdlet-komento edellyttää laajennettuja järjestelmänvalvojan oikeuksia.

Esimerkkejä: New-MpPerformanceRecording

Esimerkki 1: Kerää suorituskyvyn tallenne ja tallenna se

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

Yllä oleva komento kerää suorituskyvyn tallenteen ja tallentaa sen määritettyyn polkuun: .\Defender-scans.etl.

Esimerkki 2: Suorituskyvyn tallennuksen kerääminen PowerShell-etäistuntoa varten

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

Yllä oleva komento kerää suorituskyvyn tallenteen palvelimeen 02 (parametri-istunnon argumentin $s määrittämällä tavalla) ja tallentaa sen määritettyyn polkuun: C:\LocalPathOnServer02\trace.etl Server02:ssa.

Parametrit: New-MpPerformanceRecording

-Tietue:

Määrittää sijainnin, johon Microsoft Defender haittaohjelmien torjunnan tallennus tallennetaan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Istunto

Määrittää PSSession-objektin, johon virustentorjuntaohjelman Microsoft Defender luodaan ja tallennetaan. Kun käytät tätä parametria, RecordTo-parametri viittaa etäkoneen paikalliseen polkuun. Käytettävissä Defender-ympäristön versiossa 4.18.2201.10.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

Seuraavassa osassa kuvataan Get-MpPerformanceReport PowerShellin cmdlet-komento. Analysoi ja raportoi Microsoft Defender virustentorjunnan suorituskyvyn tallennuksesta.

Syntaksi: Get-MpPerformanceReport

Get-MpPerformanceReport [-Path] <String>
    [-TopScans [<Int32>]]
    [-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
            [-TopScansPerPath [<Int32>]]
            [-TopFilesPerPath [<Int32>]
                    [-TopScansPerFilePerPath [<Int32>]]
                    ]
            [-TopExtensionsPerPath [<Int32>]
                    [-TopScansPerExtensionPerPath [<Int32>]]
                    ]
            [-TopProcessesPerPath [<Int32>]
                    [-TopScansPerProcessPerPath [<Int32>]]
                    ]
            ]
    [-TopFiles [<Int32>]
            [-TopScansPerFile [<Int32>]]
            [-TopProcessesPerFile [<Int32>]
                    [-TopScansPerProcessPerFile [<Int32>]]
                    ]
            ]
    [-TopExtensions [<Int32>]
            [-TopScansPerExtension [<Int32>]
            [-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerExtension [<Int32>]]
                    ]
            [-TopProcessesPerExtension [<Int32>]
                    [-TopScansPerProcessPerExtension [<Int32>]]
                    ]
            [-TopFilesPerExtension [<Int32>]
                    [-TopScansPerFilePerExtension [<Int32>]]
                    ]
            ]
    [-TopProcesses [<Int32>]
            [-TopScansPerProcess [<Int32>]]
            [-TopExtensionsPerProcess [<Int32>]
                    [-TopScansPerExtensionPerProcess [<Int32>]]
                    ]
            [-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerProcess [<Int32>]]
                    ]
            [-TopFilesPerProcess [<Int32>]
                    [-TopScansPerFilePerProcess [<Int32>]]
                    ]
            ]
    [-MinDuration <String>]
    [-Raw]

Kuvaus: Get-MpPerformanceReport

Cmdlet Get-MpPerformanceReport analysoi aiemmin kerätyn Microsoft Defender virustentorjunnan suorituskyvyn tallenteen (New-MpPerformanceRecording) ja raportoi tiedostopolut, tiedostotunnisteet ja prosessit, jotka aiheuttavat suurimman vaikutuksen virustentorjuntatarkistuksia Microsoft Defender.

Suorituskyvyn analysointi tarjoaa tietoja ongelmallisista tiedostoista, jotka voivat heikentää Microsoft Defender virustentorjuntaohjelman suorituskykyä. Tämä työkalu tarjotaan "AS IS", eikä sen tarkoituksena ole antaa ehdotuksia poissulkemisista. Poikkeukset voivat pienentää päätepisteiden suojaustasoa. Mahdolliset poikkeukset on määriteltävä harkiten.

Lisätietoja suorituskyvyn analysoinnista on ohjeaiheessa Suorityskyvyn analysointi.

Tuetut käyttöjärjestelmäversiot:

Windows 10 ja uudemmat versiot.

Huomautus

Tämä ominaisuus on käytettävissä alustan versiosta 4.18.2108.X alkaen ja uudemmassa versiossa.

Esimerkkejä: Get-MpPerformanceReport

Esimerkki 1: Yksittäinen kysely

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

Esimerkki 2: Useita kyselyitä

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

Esimerkki 3: Sisäkkäiset kyselyt

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

Esimerkki 4: -MinDuration-parametrin käyttäminen

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

Esimerkki 5: -Raw-parametrin käyttäminen

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

-Raw'n käyttäminen yllä olevassa komennossa määrittää, että tulosteen on oltava koneellisesti luettavissa ja helposti muunnettavissa Sarjoitusmuotoihin, kuten JSON.

Parametrit: Get-MpPerformanceReport

-TopPaths

Pyytää ylimmän polun raporttia ja määrittää, kuinka monta ylintä tulostettavaa polkua on lajiteltu keston mukaan. Koostaa tarkistukset niiden polun ja hakemiston perusteella. Käyttäjä voi määrittää, kuinka monta hakemistoa näytetään kullakin tasolla ja valinnan syvyyden.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

Määrittää rekursiivisen syvyyden, jota käytetään koostetun polun tulosten ryhmittelyyn ja näyttämiseen. Esimerkiksi "C:" vastaa 1:n syvyyttä, "C:\Users\Foo" vastaa syvyys 3.

Tämä merkintä voidaan liittää kaikkiin muihin ylimmän polun asetuksiin. Jos tämä puuttuu, oletuksena on oletusarvo 3. Arvo ei voi olla 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

Lippu	Määritelmä
-TopScansPerPath	Määrittää, kuinka monta ylintä polkua varten määritettävä ylin tarkistus on määritettävä.
-TopFilesPerPath	Määrittää, kuinka monta ylintä polkua varten määritettävää ylintä tiedostoa on.
-TopScansPerFilePerPath	Määrittää, kuinka monta ylintä tarkistusta kunkin ylimmän polun ylimmälle tiedostolle tulostetaan keston mukaan lajiteltuna
-TopExtensionsPerPath	Määrittää, kuinka monta yläpolkua ylintä laajennusta tulostettavaksi
-TopScansPerExtensionPerPath	Määrittää, kuinka monta ylintä tarkistusta kunkin yläpolun ylintä laajennusta kohden tulostetaan
-TopProcessesPerPath	Määrittää, kuinka monta ylintä prosessia kutakin ylintä polkua kohden tulostettavana on
-TopScansPerProcessPerPath	Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle prosessille kullekin ylimmälle polulle
-TopPathsPerExtension	Määrittää, kuinka monta ylintä polkua kutakin ylälaajennusta kohden tulostetaan
-TopScansPerPathPerExtension	Määrittää, kuinka monta ylintä tarkistusta kunkin ylätunnisteen ylimmälle polulle tulostettavaksi tulee
-TopPathsPerProcess	Määrittää, kuinka monta ylintä polkua kutakin ylintä prosessia varten tulostetaan
-TopScansPerPathPerProcess	Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle polulle kullekin ylimmälle prosessille

-MinDuration

Määrittää raporttiin sisältyvien tiedostojen, laajennusten ja prosessien tarkistuksen vähimmäiskeston tai tarkistuksen kokonaiskeston. hyväksyy arvot, kuten 0,1234567sec, 0.1234ms, 0.1us tai kelvollinen TimeSpan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Polku

Määrittää yhden tai useamman sijainnin polun tai polut.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Raaka

Määrittää, että suorituskyvyn tallennuksen tuloksen on oltava koneellisesti luettavissa ja helposti muunnettavissa Sarjoitusmuotoihin, kuten JSON (esimerkiksi Muunna JSON-komennolla). Tätä määritystä suositellaan käyttäjille, jotka ovat kiinnostuneita eräkäsittelystä muiden tietojenkäsittelyjärjestelmien kanssa.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensions

Määrittää, kuinka monta ylintä laajennusta tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Määrittää, kuinka monta ylintä laajennusta näytetään kullekin ylimmälle prosessille keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Ylätiedostot

Pyytää ylimmät tiedostot -raporttia ja määrittää, kuinka monta ylintä tiedostoa tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Määrittää, kuinka monta ylintä tiedostoa näytetään kullekin ylimmälle laajennukselle keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Määrittää, kuinka monta ylintä tiedostoa näytetään kullekin ylimmälle prosessille keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Ylimmätprosessit

Pyytää ylimpien prosessien raporttia ja määrittää, kuinka monta ylintä prosessia tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Määrittää, kuinka monta ylintä laajennusta varten tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Määrittää, kuinka monta ylintä tulostamisprosessia kullekin ylimmälle tiedostolle on tehtävä keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Pyytää ylintä tarkistusta -raporttia ja määrittää, kuinka monta ylintä tarkistusta tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Määrittää, kuinka monta ylintä tarkennusta näytetään kullekin ylimmälle laajennukselle keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle laajennukselle kullekin ylimmälle prosessille keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle tiedostolle keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Määrittää, kuinka monta ylintä tiedostoa ylintä tiedostoa varten tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Määrittää, kuinka monta ylintä tarkistusta kunkin ylimmän prosessin tulosteille on valittu keston mukaan.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin Ylimmät prosessit -raportin ylimmälle prosessille keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Määrittää, kuinka monta ylintä tarkistusta kunkin ylälaajennuksen tulosteille on valittu keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Määrittää kunkin ylimmän tiedoston tulosteiden ylimmät tarkistukset keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Lisäresurssit

Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:

• Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
• Microsoft Defender for Endpoint Macissa
• macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
• Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
• Microsoft Defender for Endpoint Linuxissa
• Defender for Endpointin määrittäminen Android-ominaisuuksille- Microsoft Defender for Endpoint määrittäminen iOS-ominaisuuksille

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.