איסוף נתונים לפתרון בעיות מתקדם ב- Windows

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה

• Microsoft Defender עבור תוכנית 2 של נקודת קצה

• Microsoft Defender for Business

• האנטי-וירוס של Microsoft Defender

בעת שיתוף פעולה עם מומחי תמיכה של Microsoft, ייתכן שתתבקש להשתמש במנתח הלקוחות כדי לאסוף נתונים לפתרון בעיות של תרחישים מורכבים יותר. קובץ ה- Script של המנתח תומך בפרמטרים אחרים למטרה זו, והוא יכול לאסוף ערכת יומני רישום ספציפית בהתבסס על התסמינים שנצפה שיש לחקור.

הפעל MDEClientAnalyzer.cmd /? כדי לראות את רשימת הפרמטרים הזמינים ואת התיאור שלהם:

לעבור	תיאור	מתי להשתמש	תהליך שאתה פותר בעיות.
-h	שיחות למקליט הביצועים של Windows כדי לאסוף מעקב מילולי אחר ביצועים כלליים בנוסף לערכת יומני הרישום הרגילה.	הפעלה/הפעלה איטיים של האפליקציה. בעת לחיצה על לחצן באפליקציה, נמשכת זמן רב יותר ב- x שניות.	אחת מהאפשרויות הבאות: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-l	שיחות לצג הביצועים המוכלל של Windows כדי לאסוף מעקב Perfmon קל משקל. תרחיש זה יכול להיות שימושי בעת אבחון בעיות של ירידה בביצועים איטיים המתרחשות לאורך זמן אך קשה לשחזר לפי דרישה.	פתרון בעיות בביצועי יישומים שעשויים להיות איטיים לשכפול (מניפסט) עצמו. אנו ממליצים ללכוד עד שלוש דקות (חמש דקות לפחות), מכיוון שערכת הנתונים שלך עשויה להיות גדולה מדי.	אחת מהאפשרויות הבאות: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-c	שיחות לצג התהליך לניטור מתקדם של פעילות מערכת קבצים, רישום והליך משנה בזמן אמת. פעולה זו שימושית במיוחד בעת פתרון בעיות בתרחישי תאימות שונים של אפליקציות.	Process Monitor (ProcMon) כדי ליזום מעקב אחר אתחול בעת חקירה של בעיה הקשורה למנהל התקן או לשירות או לעיכוב אתחול של יישום. לחלופין, אפליקציות המתארחות במיקום משותף ברשת שאינן משתמשות בנעילה אופורטוניסטית של SMB (Oplock) גורמות כראוי לבעיות תאימות של אפליקציות.	אחת מהאפשרויות הבאות: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-i	שיחות לתוך פקודה netsh.exeכדי להפעיל רשת ומעקב אחר חומת האש של Windows, אפשרות שימושית בעת פתרון בעיות שונות הקשורות לרשת.	בעת פתרון בעיות הקשורות לרשת, כגון מדידת שימוש של EDR ב- Defender for Endpoint או בעיות בהגשת נתונים של CnC. Microsoft Defender דיווח על בעיות בהגנה על ענן אנטי-וירוס (MAPS). בעיות הקשורות להגנה על הרשת וכן הלאה.	אחד מהתהליכים הבאים: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-b	זהה -c אך המעקב אחר צג התהליך יופעל במהלך האתחול הבא ויעצר רק כאשר -b ישמש שוב.	Process Monitor (ProcMon) כדי ליזום מעקב אחר אתחול בעת חקירה של בעיה הקשורה למנהל התקן או לשירות או לעיכוב אתחול של יישום. ניתן להשתמש בתרחיש זה גם כדי לחקור אתחול איטי או כניסה איטית.	אחד מהתהליכים הבאים: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-e	שיחות אל מקליט הביצועים של Windows כדי לאסוף מעקב של לקוח Defender AV (AM-Engine ו- AM-Service) לניתוח של בעיות קישוריות בענן של אנטי-וירוס.	בעת פתרון בעיות של כשלים בדיווח הגנה על ענן (MAPS).	MsMpEng.exe
-a	קריאות למקליט הביצועים של Windows כדי לאסוף מעקב אחר ביצועים מילוליים ספציפיים לניתוח של בעיות CPU גבוהות הקשורות לתהליך האנטי-וירוס (MsMpEng.exe).	בעת פתרון בעיות של ניצול רב של המעבד באמצעות האנטי-וירוס של Microsoft Defender (קובץ הפעלה או MsMpEng.exe של שירות נגד תוכנות זדוניות) אם כבר השתמשת באנטי-וירוס של Microsoft Defender מנתח הביצועים כדי לצמצם את /path/process או /path או סיומת הקובץ התרומה לניצול גבוה של המעבד. תרחיש זה מאפשר לחקור עוד יותר את מה שהיישום או השירות עושה כדי לתרום לניצול גבוה של המעבד.	MsMpEng.exe
-v	שימוש בארגומנטMpCmdRun.exe אנטי-וירוס עם רוב דגלי המעקב המילוליים.	בכל פעם שדרוש פתרון בעיות מתקדם. למשל, בעת פתרון בעיות של כשלים בדיווח הגנה על ענן (MAPS), כשלים בעדכון פלטפורמה, כשלים בעדכון מנוע, כשלים בעדכון בינת אבטחה, שליליים מוטעים וכו'. ניתן גם להשתמש ב- עם -b, -c, -hאו -l.	MsMpEng.exe
-t	הפעלת מעקב מילולי של כל הרכיבים בצד הלקוח הרלוונטיים ל- DLP של נקודת קצה, אפשרות שימושית עבור תרחישים שבהם פעולות DLP אינן מתרחשות כצפוי עבור קבצים.	כאשר אתה נתקל בבעיות שבהן הפעולות הצפויות של מניעת אובדן נתונים (DLP) של נקודת הקצה של Microsoft אינן מתרחשות.	MpDlpService.exe
-q	שיחות אל DLPDiagnose.ps1 Script ממדריך הכתובות Tools של המנתח שמאמת את התצורה והדרישות הבסיסיות עבור DLP של נקודת קצה.	בדיקת התצורה והדרישות הבסיסיות עבור DLP של נקודת קצה של Microsoft	MpDlpService.exe
-d	אוסף Dump של זיכרון של (תהליך MsSenseS.exe החיישן ב- Windows Server 2016 או מערכת הפעלה ישנה יותר) ותהליכים קשורים. - * ניתן להשתמש בדגל זה עם דגלים שהוזכרו לעיל. - ** לכידת Dump של זיכרון של תהליכים מוגנים PPLMsSense.exe, כגון או MsMpEng.exe אינו נתמך על-ידי המנתח בשלב זה.	ב- Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 או Windows Server 2016 שבהם פועל סוכן MMA ובעיות ביצועים (שימוש גבוה בזיכרון או בזיכרון גבוה) או בעיות תאימות יישומים.	MsSenseS.exe
-z	קביעת תצורה של מפתחות רישום במחשב כדי להכין אותו לאוסף Dump מלא של זיכרון מחשב באמצעות CrashOnCtrlScroll. פעולה זו תהיה שימושית לניתוח בעיות בהקפאת מחשב. * החזק את מקש CTRL הימני ביותר לחוץ ולאחר מכן הקש פעמיים על מקש SCROLL LOCK.	המחשב תלוי או מפסיק להגיב או איטי. שימוש גבוה בזיכרון (דליפת זיכרון): א) מצב משתמש: Private bytes b) Kernel mode: paged pool or nonpaged pool memory, handle leaks.	MSSense.exe או MsMpEng.exe
-k	שימוש בכלי NotMyFault כדי לכפות על המערכת לקרוס וליצור קובץ Dump של זיכרון מחשב. פעולה זו תהיה שימושית לניתוח בעיות שונות של יציבות מערכת ההפעלה.	זהה לעיל.	MSSense.exe או MsMpEng.exe

ניתן להפעיל מרחוק את המנתח ואת כל דגלי התרחיש המפורטים במאמר זה על-ידי RemoteMDEClientAnalyzer.cmdהפעלת , המשויך גם בחבילה לתוך ערכת הכלים של המנתח:

הערה

כאשר נעשה שימוש בפרמטר מתקדם לפתרון בעיות, המנתח גם קורא ל- MpCmdRun.exe כדי לאסוף Microsoft Defender יומני תמיכה הקשורים לאנטי-וירוס. באפשרותך להשתמש בדגל -g לאימות כתובות URL עבור אזור ספציפי של מרכז נתונים גם מבלי להצטרף לאזור זה
לדוגמה, MDEClientAnalyzer.cmd -g EU כופה על המנתח לבדוק כתובות URL בענן באזור אירופה.

כמה נקודות שיש לזכור

בעת השימוש ב RemoteMDEClientAnalyzer.cmd- , הוא מתקשר אל psexec כדי להוריד את הכלי משיתוף הקבצים שתצורתו נקבעה ולאחר מכן להפעיל אותו באופן מקומי דרך PsExec.exe.

קובץ ה- Script של -r CMD משתמש בדגל כדי לציין שהוא פועל מרחוק בהקשר של המערכת, ולכן לא מוצגת בקשה למשתמש.

ניתן להשתמש באותו דגל כדי MDEClientAnalyzer.cmd להימנע מבקשה למשתמש לציין את מספר הדקות עבור איסוף נתונים. לדוגמה, שקול MDEClientAnalyzer.cmd -r -i -m 5.

• -r מציין כי הכלי מופעל מהקשר מרוחק (או מהקשר לא אינטראקטיבי).
• -i הוא דגל התרחיש עבור אוסף של מעקב רשת יחד עם יומני רישום קשורים אחרים.
• -m # מציין את מספר הדקות להפעלה (השתמשנו ב- 5 דקות בדוגמה שלנו).

בעת שימוש MDEClientAnalyzer.cmdב- , קובץ ה- Script בודק אם הבאות net sessionכוללות הרשאות המשתמשות ב- , המחייבות Server את הפעלת השירות. אם לא, תקבל את הודעת השגיאה Script פועל עם הרשאות לא מספיקות. הפעל אותו עם הרשאות מנהל מערכת אם ECHO מבוטלת.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.