Résoudre les problèmes de performances liés à la protection en temps réel

  • Article

S’applique à :

Plateformes

  • Windows

Si votre système rencontre des problèmes d’utilisation élevée du processeur ou de performances liés au service de protection en temps réel dans Microsoft Defender pour point de terminaison, vous pouvez envoyer un ticket au support Microsoft. Suivez les étapes décrites dans Collecter les données de diagnostic de l’antivirus Microsoft Defender.

En tant qu’administrateur, vous pouvez également résoudre ces problèmes par vous-même.

Tout d’abord, vous pouvez case activée si le problème est dû à un autre logiciel. Consultez Vérifier les exclusions antivirus auprès du fournisseur.

Sinon, vous pouvez identifier les logiciels associés au problème de performances identifié en suivant les étapes décrites dans Analyser le journal de protection Microsoft.

Vous pouvez également fournir des journaux supplémentaires à votre soumission au support Microsoft en suivant les étapes décrites dans :

Pour connaître les problèmes spécifiques aux performances liés à Microsoft Defender Antivirus, consultez : Analyseur de performances pour l’antivirus Microsoft Defender

Vérifier auprès du fournisseur les exclusions d’antivirus

Si vous pouvez facilement identifier le logiciel qui affecte les performances du système, accédez au base de connaissances ou au centre de support technique du fournisseur de logiciels. Recherche s’ils ont des recommandations sur les exclusions antivirus. Si le site web du fournisseur n’en a pas, vous pouvez ouvrir un ticket de support avec lui et lui demander d’en publier un.

Nous recommandons aux éditeurs de logiciels de suivre les différentes instructions de la section Partenariat avec le secteur pour réduire au minimum les faux positifs. Le fournisseur peut soumettre son logiciel via le portail Renseignement de sécurité Microsoft.

Analyser le journal de protection Microsoft

Vous trouverez le fichier journal de protection Microsoft dans C :\ProgramData\Microsoft\Windows Defender\Support.

Dans MPLog-xxxxxxxx-xxxxxx.log, vous trouverez les informations d’impact estimé sur les performances des logiciels en cours d’exécution sous la forme EstimatedImpact :

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Nom du champ Description
ProcessImageName Nom de l’image de processus
TotalTime Durée cumulée en millisecondes passées dans les analyses des fichiers auxquels ce processus accède
Count Nombre de fichiers analysés auxquels ce processus a accédé
MaxTime Durée en millisecondes de l’analyse unique la plus longue d’un fichier accessible par ce processus
MaxTimeFile Chemin du fichier accessible par ce processus pour lequel l’analyse la plus longue de MaxTime la durée a été enregistrée
EstimatedImpact Pourcentage de temps passé dans l’analyse des fichiers auxquels ce processus a accédé en dehors de la période pendant laquelle ce processus a connu l’activité d’analyse

Si l’impact sur les performances est élevé, essayez d’ajouter le processus aux exclusions de chemin/processus en suivant les étapes décrites dans Configurer et valider les exclusions pour les analyses antivirus Microsoft Defender.

Si l’étape précédente ne résout pas le problème, vous pouvez collecter plus d’informations via l’Analyseur de processus ou l’Enregistreur de performances Windows dans les sections suivantes.

Capturer les journaux de processus à l’aide de Process Monitor

Process Monitor (ProcMon) est un outil de supervision avancé qui peut afficher les processus en temps réel. Vous pouvez l’utiliser pour capturer le problème de performances à mesure qu’il se produit.

  1. Téléchargez Process Monitor v3.89 dans un dossier comme C:\temp.

  2. Pour supprimer la marque du fichier du web :

    1. Cliquez avec le bouton droit sur ProcessMonitor.zip , puis sélectionnez Propriétés.
    2. Sous l’onglet Général , recherchez Sécurité.
    3. Cochez la case en regard de Débloquer.
    4. Sélectionnez Appliquer.

    Page Supprimer MOTW

  3. Décompressez le fichier dans C:\temp afin que le chemin du dossier soit C:\temp\ProcessMonitor.

  4. Copiez ProcMon.exe sur le client Windows ou le serveur Windows que vous résolvez.

  5. Avant d’exécuter ProcMon, assurez-vous que toutes les autres applications non liées au problème d’utilisation élevée du processeur sont fermées. Cela réduit le nombre de processus à case activée.

  6. Vous pouvez lancer ProcMon de deux manières.

    1. Cliquez avec le bouton droit sur ProcMon.exe et sélectionnez Exécuter en tant qu’administrateur.

      Étant donné que la journalisation démarre automatiquement, sélectionnez l’icône en forme de loupe pour arrêter la capture actuelle ou utilisez le raccourci clavier Ctrl+E.

      Icône de loupe

      Pour vérifier que vous avez arrêté la capture, case activée si l’icône de loupe apparaît maintenant avec un X rouge.

      Barre oblique rouge

      Ensuite, pour effacer la capture précédente, sélectionnez l’icône gomme.

      Icône effacer

      Vous pouvez également utiliser le raccourci clavier Ctrl+X.

    2. La deuxième méthode consiste à exécuter la ligne de commande en tant qu’administrateur, puis à partir du chemin d’accès du moniteur de processus, exécutez :

      Le procmon cmd 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Conseil

      Faites en sorte que la fenêtre ProcMon soit aussi petite que possible lors de la capture des données afin de pouvoir facilement démarrer et arrêter la trace.

      Page affichant un procmon de réduction

  7. Après avoir suivi l’une des procédures de l’étape 6, vous verrez ensuite une option pour définir des filtres. Sélectionnez OK. Vous pouvez toujours filtrer les résultats une fois la capture terminée.

    La page sur laquelle l’exclusion système est choisie comme nom du processus de filtrage

  8. Pour démarrer la capture, sélectionnez à nouveau l’icône de loupe.

  9. Reproduisez le problème.

    Conseil

    Attendez que le problème soit entièrement reproduit, puis notez l’horodatage au démarrage de la trace.

  10. Une fois que vous avez deux à quatre minutes d’activité de processus pendant la condition d’utilisation élevée du processeur, arrêtez la capture en sélectionnant l’icône de loupe.

  11. Pour enregistrer la capture avec un nom unique et au format .pml, sélectionnez Fichier, puis Enregistrer.... Veillez à sélectionner les cases d’option Tous les événements et Le format PML (Native Process Monitor Format).

    Page d’enregistrement des paramètres

  12. Pour un meilleur suivi, modifiez le chemin d’accès par défaut de C:\temp\ProcessMonitor\LogFile.PML à l’emplacement C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML suivant :

    • %ComputerName% est le nom de l’appareil
    • MMDDYEAR est le mois, le jour et l’année
    • Repro_of_issue est le nom du problème que vous essayez de reproduire

    Conseil

    Si vous avez un système opérationnel, vous pouvez obtenir un exemple de journal à comparer.

  13. Compressez le fichier .pml et envoyez-le au support Microsoft.

Capturer les journaux de performances à l’aide de l’Enregistreur de performances Windows

Vous pouvez utiliser l’Enregistreur de performances Windows (WPR) pour inclure des informations supplémentaires dans votre soumission au support Microsoft. WPR est un outil d’enregistrement puissant qui crée le suivi d’événements pour les enregistrements Windows.

WPR fait partie du Kit de déploiement et d’évaluation Windows (Windows ADK) et peut être téléchargé à partir du téléchargement et de l’installation de Windows ADK. Vous pouvez également le télécharger dans le cadre du Kit de développement logiciel Windows 10 sur Windows 10 SDK.

Vous pouvez utiliser l’interface utilisateur WPR en suivant les étapes décrites dans Capturer les journaux de performances à l’aide de l’interface utilisateur WPR.

Vous pouvez également utiliser l’outil en ligne de commande wpr.exe, qui est disponible dans Windows 8 et versions ultérieures en suivant les étapes décrites dans Capturer les journaux de performances à l’aide de l’interface CLI WPR.

Capturer les journaux de performances à l’aide de l’interface utilisateur WPR

Conseil

Si plusieurs appareils rencontrent ce problème, utilisez celui qui a le plus de RAM.

  1. Téléchargez et installez WPR.

  2. Sous Kits Windows, cliquez avec le bouton droit sur Enregistreur de performances Windows.

    Menu Démarrer

    Sélectionnez Plus. Sélectionnez Exécuter en tant qu’administrateur.

  3. Lorsque la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, sélectionnez Oui.

    Page UAC

  4. Ensuite, téléchargez le profil d’analyse Microsoft Defender pour point de terminaison et enregistrez-le dans MDAV.wprp un dossier comme C:\temp.

  5. Dans la boîte de dialogue WPR, sélectionnez Autres options.

    Page sur laquelle vous pouvez sélectionner d’autres options

  6. Sélectionnez Ajouter des profils... et accédez au chemin d’accès du MDAV.wprp fichier.

  7. Après cela, vous devriez voir un nouveau profil défini sous Mesures personnalisées nommé Microsoft Defender pour point de terminaison’analyse en dessous.

    Dans le fichier

    Avertissement

    Si votre Windows Server dispose de 64 Go de RAM ou plus, utilisez la mesure Microsoft Defender for Endpoint analysis for large servers personnalisée au lieu de Microsoft Defender for Endpoint analysis. Sinon, votre système peut consommer une grande quantité de mémoire ou de mémoire tampons de pool non paginées, ce qui peut entraîner une instabilité du système. Vous pouvez choisir les profils à ajouter en développant Analyse des ressources. Ce profil personnalisé fournit le contexte nécessaire pour une analyse approfondie des performances.

  8. Pour utiliser la mesure personnalisée Microsoft Defender pour point de terminaison profil d’analyse détaillé dans l’interface utilisateur WPR :

    1. Vérifiez qu’aucun profil n’est sélectionné sous les groupes Triage de premier niveau, Analyse des ressources et Analyse du scénario .
    2. Sélectionnez Mesures personnalisées.
    3. Sélectionnez Microsoft Defender pour point de terminaison’analyse.
    4. Sélectionnez Verbose sous Niveau de détail .
    5. Sélectionnez Fichier ou Mémoire sous Mode de journalisation.

    Importante

    Vous devez sélectionner Fichier pour utiliser le mode de journalisation des fichiers si le problème de performances peut être reproduit directement par l’utilisateur. La plupart des problèmes relèvent de cette catégorie. Toutefois, si l’utilisateur ne peut pas reproduire directement le problème, mais peut facilement le remarquer une fois le problème survenu, l’utilisateur doit sélectionner Mémoire pour utiliser le mode de journalisation de la mémoire. Cela garantit que le journal de trace ne gonflera pas excessivement en raison de la durée d’exécution longue.

  9. Vous êtes maintenant prêt à collecter des données. Quittez toutes les applications qui ne sont pas pertinentes pour reproduire le problème de performances. Vous pouvez sélectionner Les options Masquer pour que l’espace occupé par la fenêtre WPR reste petit.

    Options Masquer

    Conseil

    Essayez de démarrer la trace en nombre entier de secondes. Par instance, 01 :30 :00. Cela facilite l’analyse des données. Essayez également de suivre l’horodatage exactement quand le problème est reproduit.

  10. Sélectionnez Démarrer.

    Page d’informations sur le système d’enregistrement

  11. Reproduisez le problème.

    Conseil

    Conservez la collecte de données au plus cinq minutes. Deux à trois minutes est une bonne plage, car beaucoup de données sont collectées.

  12. Sélectionnez Enregistrer.

    Option Enregistrer

  13. Renseignez le type dans une description détaillée du problème : avec des informations sur le problème et la façon dont vous avez reproduit le problème.

    Volet dans lequel vous remplissez

    1. Sélectionnez Nom de fichier : pour déterminer où votre fichier de trace sera enregistré. Par défaut, il est enregistré dans %user%\Documents\WPR Files\.
    2. Sélectionnez Enregistrer.

  14. Patientez pendant la fusion de la trace.

    Trace générale de collecte wpr

  15. Une fois la trace enregistrée, sélectionnez Ouvrir le dossier.

    Page affichant la notification indiquant que la trace WPR a été enregistrée

    Incluez le fichier et le dossier dans votre soumission à Support Microsoft.

    Détails du fichier et du dossier

Capturer les journaux de performances à l’aide de l’interface CLI WPR

L’outil en ligne de commandewpr.exefait partie du système d’exploitation à partir de Windows 8. Pour collecter une trace WPR à l’aide de l’outil en ligne de commande wpr.exe :

  1. Téléchargez Microsoft Defender pour point de terminaison profil d’analyse pour les traces de performances dans un fichier nommé MDAV.wprp dans un répertoire local tel que C:\traces.

  2. Cliquez avec le bouton droit sur l’icône Menu Démarrer et sélectionnez Windows PowerShell (Administration) ou Invite de commandes (Administration) pour ouvrir une fenêtre d’invite de commandes Administration.

  3. Lorsque la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, sélectionnez Oui.

  4. À l’invite avec élévation de privilèges, exécutez la commande suivante pour démarrer une trace de performances Microsoft Defender pour point de terminaison :

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Avertissement

    Si votre Windows Server dispose de 64 Go ou de RAM ou plus, utilisez des profils WDForLargeServers.Light et WDForLargeServers.Verbose au lieu de profils WD.Light et WD.Verbose, respectivement. Sinon, votre système peut consommer une grande quantité de mémoire ou de mémoire tampons de pool non paginées, ce qui peut entraîner une instabilité du système.

  5. Reproduisez le problème.

    Conseil

    Ne conservez pas la collecte de données au-dessus de cinq minutes. Selon le scénario, deux à trois minutes sont une bonne plage, car beaucoup de données sont collectées.

  6. À l’invite avec élévation de privilèges, exécutez la commande suivante pour arrêter la trace des performances, en veillant à fournir des informations sur le problème et la façon dont vous avez reproduit le problème :

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Attendez que la trace soit fusionnée.

  8. Incluez le fichier et le dossier dans votre soumission au support Microsoft.

Conseil

Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :

Conseil

Conseil sur les performances En raison de divers facteurs (exemples répertoriés ci-dessous), Microsoft Defender Antivirus, comme d’autres logiciels antivirus, peut entraîner des problèmes de performances sur les appareils de point de terminaison. Dans certains cas, vous devrez peut-être régler les performances de Microsoft Defender Antivirus pour atténuer ces problèmes de performances. L’analyseur de performances de Microsoft est un outil en ligne de commande PowerShell qui permet de déterminer quels fichiers, chemins d’accès de fichiers, processus et extensions de fichier peuvent être à l’origine de problèmes de performances . voici quelques exemples :

  • Principaux chemins d’accès qui ont un impact sur la durée d’analyse
  • Principaux fichiers qui ont un impact sur la durée de l’analyse
  • Principaux processus qui ont un impact sur le temps d’analyse
  • Principales extensions de fichier qui ont un impact sur la durée de l’analyse
  • Combinaisons : par exemple :
    • fichiers principaux par extension
    • principaux chemins d’accès par extension
    • principaux processus par chemin d’accès
    • principales analyses par fichier
    • principales analyses par fichier et par processus

Vous pouvez utiliser les informations collectées à l’aide de l’Analyseur de performances pour mieux évaluer les problèmes de performances et appliquer des actions de correction. Consultez : Analyseur de performances pour Microsoft Defender Antivirus.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.