Collecte de données pour la résolution avancée des problèmes sur Windows

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1

• Microsoft Defender pour point de terminaison Plan 2

• Microsoft Defender pour les PME

• Antivirus Microsoft Defender

Lorsque vous collaborez avec des professionnels du support technique Microsoft, vous pouvez être invité à utiliser l’analyseur client pour collecter des données afin de résoudre les problèmes liés à des scénarios plus complexes. Le script d’analyseur prend en charge d’autres paramètres à cet effet et peut collecter un jeu de journaux spécifique en fonction des symptômes observés qui doivent être examinés.

Exécutez MDEClientAnalyzer.cmd /? pour afficher la liste des paramètres disponibles et leur description :

Commutateur	Description	Champs d’utilisation	Processus que vous résolvez.
-h	Appelle l’Enregistreur de performances Windows pour collecter une trace de performances générale détaillée en plus du jeu de journaux standard.	Démarrage/lancement de l’application lent. Lorsque vous cliquez sur un bouton de l’application, cela prend x secondes de plus.	Un des éléments suivants : - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-l	Appelle windows intégré Analyseur de performances pour collecter une trace de perfmon légère. Ce scénario peut être utile lors du diagnostic des problèmes de dégradation lente des performances qui se produisent au fil du temps, mais qui sont difficiles à reproduire à la demande.	Résolution des problèmes de performances des applications qui peuvent être lentes à reproduire (manifeste) elle-même. Nous vous recommandons de capturer jusqu’à trois minutes (au maximum cinq minutes), car votre jeu de données peut devenir trop volumineux.	Un des éléments suivants : - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-c	Appelle le moniteur de processus pour une surveillance avancée du système de fichiers en temps réel, du registre et de l’activité des processus/threads. Cela est particulièrement utile lors de la résolution de différents scénarios de compatibilité des applications.	Process Monitor (ProcMon) pour lancer une trace de démarrage lors de l’examen d’un problème lié au retard de démarrage d’un pilote ou d’un service ou d’une application. Ou des applications hébergées sur un partage réseau qui n’utilisent pas le verrouillage opportuniste SMB (Oplock), ce qui entraîne correctement des problèmes de compatibilité des applications.	Un des éléments suivants : - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-i	Appelle la commande netsh.exe intégrée pour démarrer un réseau et une trace du Pare-feu Windows qui est utile lors de la résolution de divers problèmes liés au réseau.	Lors de la résolution des problèmes liés au réseau, tels que les problèmes de télémétrie EDR defender pour point de terminaison ou de soumission de données CnC. Microsoft Defender Antivirus Cloud Protection (MAPS) signalant des problèmes. Problèmes liés à la protection réseau, etc.	L’un des processus suivants : - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-b	Identique à -c , mais la trace du moniteur de processus est lancée lors du prochain démarrage et arrêtée uniquement lorsque -b est à nouveau utilisé.	Process Monitor (ProcMon) pour lancer une trace de démarrage lors de l’examen d’un problème lié au retard de démarrage d’un pilote ou d’un service ou d’une application. Ce scénario peut également être utilisé pour examiner un démarrage lent ou une connexion lente.	L’un des processus suivants : - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-e	Appelle l’Enregistreur de performances Windows pour collecter le suivi du client DEFENDER AV (AM-Engine et AM-Service) pour l’analyse des problèmes de connectivité au cloud antivirus.	Lors de la résolution des problèmes liés à la protection cloud (MAPS) en cas de signalement d’échecs.	MsMpEng.exe
-a	Appelle l’Enregistreur de performances Windows pour collecter une trace de performances détaillée spécifique à l’analyse des problèmes de processeur élevés liés au processus antivirus (MsMpEng.exe).	Lors de la résolution des problèmes d’utilisation élevée du processeur avec Microsoft Defender Antivirus (exécutable du service anti-programme malveillant ou MsMpEng.exe) si vous avez déjà utilisé l’Analyseur de performances antivirus Microsoft Defender pour limiter l’extension /path/process ou /path ou fichier contribuant à l’utilisation élevée du processeur. Ce scénario permet d’examiner plus en détail ce que fait l’application ou le service pour contribuer à l’utilisation élevée du processeur.	MsMpEng.exe
-v	Utilise l’antivirusMpCmdRun.exe argument de ligne de commande avec la plupart des indicateurs -trace détaillés.	Chaque fois qu’un dépannage avancé est nécessaire. Par exemple, lors de la résolution des problèmes liés aux rapports de cloud Protection (MAPS), aux échecs de mise à jour de plateforme, aux échecs de mise à jour du moteur, aux échecs de mise à jour du renseignement de sécurité, aux faux négatifs, etc. Peut également être utilisé avec -b, -c, -hou -l.	MsMpEng.exe
-t	Démarre la trace détaillée de tous les composants côté client pertinents pour la DLP de point de terminaison, ce qui est utile pour les scénarios où les actions DLP ne se produisent pas comme prévu pour les fichiers.	En cas de problèmes où les actions de protection contre la perte de données de point de terminaison Microsoft (DLP) attendues ne se produisent pas.	MpDlpService.exe
-q	Appelle DLPDiagnose.ps1 script à partir du répertoire de l’analyseur Tools qui valide la configuration de base et la configuration requise pour endpoint DLP.	Vérifie la configuration de base et la configuration requise pour Microsoft Endpoint DLP	MpDlpService.exe
-d	Collecte une image mémoire de (processus de MsSenseS.exe capteur sur Windows Server 2016 système d’exploitation ou plus ancien) et les processus associés. - * Cet indicateur peut être utilisé avec les indicateurs mentionnés ci-dessus. - ** La capture d’un vidage mémoire de processus protégés par PPL tels que MsSense.exe ou MsMpEng.exe n’est pas prise en charge par l’analyseur pour l’instant.	Sur Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 ou Windows Server 2016 en cours d’exécution avec l’agent MMA et présentant des problèmes de performances (utilisation élevée du processeur ou de la mémoire) ou de compatibilité des applications.	MsSenseS.exe
-z	Configure les clés de Registre sur l’ordinateur pour le préparer à la collecte complète de vidage de la mémoire de l’ordinateur via CrashOnCtrlScroll. Cela serait utile pour l’analyse des problèmes de blocage de l’ordinateur. * Maintenez la touche CTRL la plus à droite enfoncée, puis appuyez deux fois sur la touche SCROLL LOCK.	La machine est suspendue ou ne répond pas ou est lente. Utilisation élevée de la mémoire (fuite de mémoire) : a) Mode utilisateur : octets privés b) Mode noyau : pool paginé ou mémoire du pool non paginé, gérer les fuites.	MSSense.exe ou MsMpEng.exe
-k	Utilise l’outil NotMyFault pour forcer le système à se bloquer et générer un vidage de la mémoire de l’ordinateur. Cela serait utile pour analyser divers problèmes de stabilité du système d’exploitation.	Identique à ce qui précède.	MSSense.exe ou MsMpEng.exe

L’analyseur et tous les indicateurs de scénario répertoriés dans cet article peuvent être lancés à distance en exécutant RemoteMDEClientAnalyzer.cmd, qui est également regroupé dans l’ensemble d’outils de l’analyseur :

Remarque

Lorsqu’un paramètre de résolution des problèmes avancé est utilisé, l’analyseur appelle également MpCmdRun.exe pour collecter Microsoft Defender journaux de support liés à l’antivirus. Vous pouvez utiliser l’indicateur -g pour valider les URL d’une région de centre de données spécifique, même sans être intégré à cette région
Par exemple, MDEClientAnalyzer.cmd -g EU force l’analyseur à tester les URL cloud dans la région Europe.

Quelques points à garder à l’esprit

Lorsque vous utilisez RemoteMDEClientAnalyzer.cmd, il appelle psexec pour télécharger l’outil à partir du partage de fichiers configuré, puis l’exécuter localement via PsExec.exe.

Le script CMD utilise l’indicateur -r pour spécifier qu’il s’exécute à distance dans le contexte SYSTEM et qu’aucune invite n’est présentée à l’utilisateur.

Ce même indicateur peut être utilisé avec MDEClientAnalyzer.cmd pour éviter que l’utilisateur n’invite l’utilisateur à spécifier le nombre de minutes pour la collecte de données. Par exemple, considérez MDEClientAnalyzer.cmd -r -i -m 5.

• -r indique que l’outil est exécuté à partir d’un contexte distant (ou non interactif).
• -i est l’indicateur de scénario pour la collecte de la trace réseau avec d’autres journaux associés.
• -m # indique le nombre de minutes à exécuter (nous avons utilisé 5 minutes dans notre exemple).

Lors de l’utilisation MDEClientAnalyzer.cmdde , le script vérifie les privilèges à l’aide net sessionde , ce qui nécessite que le service Server soit en cours d’exécution. Si ce n’est pas le cas, vous obtenez le message d’erreur Script en cours d’exécution avec des privilèges insuffisants. Exécutez-la avec des privilèges d’administrateur si ECHO est désactivé.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.