פתרון בעיות ביצועים הקשורות להגנה בזמן אמת

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• האנטי-וירוס של Microsoft Defender

פלטפורמות

• Windows

אם המערכת שלך נתקלה בבעיות גבוהות בשימוש ב- CPU או בביצועים הקשורים לשירות ההגנה בזמן אמת ב- Microsoft Defender עבור נקודת קצה, באפשרותך לשלוח כרטיס לתמיכה של Microsoft. בצע את השלבים המפורטים במאמר איסוף נתוני Microsoft Defender אנטי-וירוס.

כמנהל מערכת, באפשרותך גם לפתור בעיות אלה בעצמך.

תחילה, ייתכן שתרצה לבדוק אם הבעיה נגרמת על-ידי תוכנה אחרת. קרא את בדוק עם הספק אם קיימים אי-הכללות של אנטי-וירוס.

אחרת, תוכל לזהות איזו תוכנה קשורה לבעיית הביצועים שזוהתה על-ידי ביצוע השלבים המפורטים במאמר ניתוח יומן ההגנה של Microsoft.

באפשרותך גם לספק יומני רישום נוספים לתמיכת ההגשה שלך ל- Microsoft על-ידי ביצוע השלבים המפורטים בנושאים הבאים:

• לכידת יומני תהליך באמצעות Process Monitor
• לכידת יומני ביצועים באמצעות מקליט הביצועים של Windows

לקבלת בעיות ספציפיות לביצועים הקשורות לאנטי Microsoft Defender אנטי-וירוס, ראה: מנתח הביצועים עבור Microsoft Defender אנטי-וירוס

בדוק עם הספק אם קיימים אי-הכללות של אנטי-וירוס

אם אתה יכול לזהות בקלות את התוכנה המשפיעה על ביצועי המערכת, עבור אל מרכז Knowledge Base או מרכז התמיכה של ספק התוכנה. חיפוש אם יש להם המלצות לגבי אי-הכללות של אנטי-וירוס. אם אתר האינטרנט של הספק אינו כולל אותו, באפשרותך לפתוח איתו כרטיס תמיכה ובקש ממנו לפרסם כרטיס כזה.

אנו ממליצים לספקי תוכנה לפעול בהתאם לקווים המנחים השונים בשותפות עם התעשייה כדי לצמצם תוצאות חיוביות מוטעות. הספק יכול לשלוח את התוכנה שלו באמצעות בינת אבטחה של Microsoft הפורטל.

ניתוח יומן ההגנה של Microsoft

באפשרותך למצוא את קובץ יומן הרישום של הגנת Microsoft ב- C:\ProgramData\Microsoft\Windows Defender\Support.

ב MPLog-xxxxxxxx-xxxxxx.log, תוכל למצוא את המידע המשוער על השפעת הביצועים של התוכנה הפועלת כ- EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

---

שם שדה	תיאור
ProcessImageName	שם תמונת תהליך
TotalTime	משך הזמן המצטבר באלפיות שניה שהוקדש לסריקה של קבצים שתהליך זה ניגש אליהם
לסמוך	מספר הקבצים הסרוקים שתהליך זה ניגש אליהם
MaxTime	משך הזמן באלפיות שניה בסריקה הארוך ביותר של קובץ שתהליך זה ניגש אליו
MaxTimeFile	נתיב הקובץ שתהליך זה ניגש אליו, שעבורו נרשמה הסריקה הארוך ביותר של MaxTime משך הזמן
מוערך -מפקט	אחוז הזמן שהושקע בסריקה עבור קבצים שתהליך זה ניגש אליהם מתוך התקופה שבה תהליך זה נתקל בפעילות סריקה

אם השפעת הביצועים גבוהה, נסה להוסיף את התהליך לפריטים שאינם נכללים בנתיב/בתהליך על-ידי ביצוע השלבים במאמר קביעת תצורה ואי-אימות של אי-הכללות עבור סריקות אנטי Microsoft Defender אנטי-וירוס.

אם השלב הקודם אינו פותר את הבעיה, באפשרותך לאסוף מידע נוסף באמצעות צג התהליך או מקליט הביצועים של Windows בסעיפים הבאים.

לכידת יומני תהליך באמצעות Process Monitor

Process Monitor (ProcMon) הוא כלי ניטור מתקדם המציין תהליכים בזמן אמת. באפשרותך להשתמש באפשרות זו כדי ללכוד את בעיית הביצועים בזמן שהיא מתרחשת.

1. הורד את Process Monitor v3.89 לתיקיה כגון C:\temp.

2. כדי להסיר את סימון הקובץ באינטרנט:

   1. לחץ באמצעות לחצן ProcessMonitor.zipהעכבר הימני ובחר מאפיינים.
   2. תחת הכרטיסיה כללי, חפש אבטחה.
   3. סמן את התיבה לצד בטל חסימה.
   4. בחר החל.

   

3. בטל את דחיסת הקובץ C:\temp כך שנתיב התיקיה יהיה C:\temp\ProcessMonitor.

4. העתק ProcMon.exe לקוח Windows או לשרת Windows שאתה פותר בעיות.

5. לפני הפעלת ProcMon, ודא שכל היישומים האחרים שאינם קשורים לבעיה גבוהה בשימוש ב- CPU סגורים. פעולה זו תמזער את מספר התהליכים שברצונך לבדוק.

6. באפשרותך להפעיל את ProcMon בשתי דרכים.

   1. לחץ באמצעות לחצן ProcMon.exeהעכבר הימני ובחר הפעל כמנהל מערכת.

      מאחר שהרישום מופעל באופן אוטומטי, בחר בסמל הזכוכית המגדלת כדי להפסיק את הלכידה הנוכחית או השתמש בקיצור המקשים Ctrl+E.

      

      כדי לוודא שהפסקת את הלכידה, בדוק אם סמל הזכוכית המגדלת מופיע כעת עם X אדום.

      

      לאחר מכן, כדי לנקות את הלכידה הקודמת, בחר את סמל המחק.

      

      לחלופין, השתמש בקיצור המקשים Ctrl+X.

   2. הדרך השניה היא להפעיל את שורת הפקודה כמנהל מערכת ולאחר מכן, מהנתיב Process Monitor, הפעל את:

      

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      עצה

      הפוך את חלון ProcMon לקטן ככל האפשר בעת לכידת נתונים כדי שתוכל להפעיל ולעצור בקלות את המעקב.

      

7. לאחר ביצוע אחד מההליכים בשלב 6, תראה כעת אפשרות להגדיר מסננים. בחר אישור. תמיד תוכל לסנן את התוצאות לאחר השלמת הלכידה.

   

8. כדי להתחיל בלכידה, בחר שוב בסמל הזכוכית המגדלת.

9. לשחזר את הבעיה.

   עצה

   המתן להפעלה מחדש מלאה של הבעיה ולאחר מכן רשום לעצמך את חותמת הזמן כאשר המעקב התחיל.

10. לאחר שיש לך שתי עד ארבע דקות של פעילות בתהליך במהלך מצב השימוש הגבוה ב- CPU, הפסק את הלכידה על-ידי בחירת סמל הזכוכית המגדלת.

11. כדי לשמור את הלכידה עם שם ייחודי עם תבנית .pml, בחר קובץ ולאחר מכן בחר שמור.... הקפד לבחור את לחצני האפשרויות כל האירועים ואת תבניתצג התהליך המקורי (PML).

    

12. למעקב טוב יותר, שנה את נתיב ברירת המחדל C:\temp\ProcessMonitor\LogFile.PML מהיכן C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML :

    • %ComputerName% הוא שם המכשיר
    • MMDDYEAR הוא החודש, היום והשנה
    • Repro_of_issue הוא שם הבעיה שאתה מנסה לשחזר

    עצה

    אם יש לך מערכת עבודה, ייתכן שתרצה לקבל יומן רישום לדוגמה להשוואה.

13. דחוס את קובץ ה- .pml ושלח אותו לתמיכה של Microsoft.

לכידת יומני ביצועים באמצעות מקליט הביצועים של Windows

באפשרותך להשתמש במקליט הביצועים של Windows (WPR) כדי לכלול מידע נוסף בהגשה שלך לתמיכה של Microsoft. WPR הוא כלי הקלטה רב-עוצמה יוצר מעקב אירועים עבור הקלטות של Windows.

WPR מהווה חלק מ- Windows Assessment and Deployment Kit (Windows ADK) ובאפשרותך להוריד אותו מהורדה והתקנה של Windows ADK. באפשרותך גם להוריד אותה כחלק מ- Windows 10 Software Development Kit Windows 10 SDK.

באפשרותך להשתמש בממשק המשתמש של WPR על-ידי ביצוע השלבים המפורטים בלכידה של יומני ביצועים באמצעות ממשק המשתמש של WPR.

לחלופין, באפשרותך גם להשתמש בכלי שורת הפקודה wpr.exe, הזמין ב- Windows 8 ובגרסאות מתקדמות יותר על-ידי ביצוע השלבים המפורטים בלכידה של יומני ביצועים באמצעות ה- WPR CLI.

לכידת יומני ביצועים באמצעות ממשק המשתמש של WPR

עצה

אם מכשירים מרובים נתקלים בבעיה זו, השתמש במכשיר הכולל את מספר ה- RAM הרב ביותר.

1. הורד והתקן את WPR.

2. תחת ערכות Windows, לחץ באמצעות לחצן העכבר הימני על מקליט הביצועים של Windows.

   

   בחר עוד. בחר הפעל כמנהל מערכת.

3. כאשר תיבת הדו-שיח בקרת חשבון משתמש מופיעה, בחר כן.

   

4. לאחר מכן, Microsoft Defender עבור נקודת קצה את פרופיל הניתוח החדש ושמור אותו MDAV.wprp בתיקיה כגון C:\temp.

5. בתיבת הדו-שיח WPR, בחר אפשרויות נוספות.

   

6. בחר הוסף פרופילים... ונווט אל נתיב MDAV.wprp הקובץ.

7. לאחר מכן, אתה אמור לראות ערכת פרופילים חדשה תחת מידות מותאמות אישית הנקראות Microsoft Defender עבור נקודת קצה מתחתיה.

   

   אזהרה

   אם Windows Server שלך כולל 64 GB של RAM או יותר, השתמש במידה המותאמת אישית Microsoft Defender for Endpoint analysis for large servers במקום ב- Microsoft Defender for Endpoint analysis. אחרת, המערכת שלך עשויה לצרוך כמות גבוהה של זיכרון או מאגרים שאינם בחלפה שעלולים להוביל לאי-יציבות המערכת. באפשרותך לבחור אילו פרופילים להוסיף על-ידי הרחבת ניתוח משאבים. פרופיל מותאם אישית זה מספק את ההקשר הנחוץ לניתוח ביצועים מעמיק.

8. כדי להשתמש במידות המותאמות Microsoft Defender עבור נקודת קצה פרופיל ניתוח מילולי בממשק המשתמש של WPR:

   1. ודא שלא נבחרו פרופילים תחת הקבוצות 'קביעת סדר עדיפויות ברמה הראשונה', 'ניתוח משאבים' ו'ניתוח תרחישים '.
   2. בחר מידות מותאמות אישית.
   3. בחר Microsoft Defender עבור נקודת קצה ניתוח.
   4. בחר מילולי תחתרמת פירוט.
   5. בחר קובץאו זיכרון תחת מצב רישום.

   חשוב

   עליך לבחור קובץ כדי להשתמש במצב רישום הקבצים אם המשתמש יכול לשכפל את בעיית הביצועים ישירות. רוב הבעיות נמצאות תחת קטגוריה זו. עם זאת, אם המשתמש אינו יכול לשחזר את הבעיה באופן ישיר, אך הוא יכול בחין בה בקלות לאחר שהבעיה מתרחשת, המשתמש צריך לבחור זיכרון כדי להשתמש במצב רישום הזיכרון. פעולה זו מבטיחה ש יומן המעקב לא ינפח יותר מדי עקב זמן הריצה הארוך.

9. כעת אתה מוכן לאסוף נתונים. צא מכל היישומים שאינם רלוונטיים לשכפול בעיית הביצועים. באפשרותך לבחור הסתר אפשרויות כדי להשאיר את השטח תפוס על-ידי חלון WPR קטן.

   

   עצה

   נסה להפעיל את המעקב במספר שניות שלם. לדוגמה, 01:30:00. פעולה זו תסייע לך לנתח את הנתונים ביתר קלות. נסה גם לעקוב אחר חותמת הזמן של בדיוק מתי הבעיה מושכפלת.

10. בחרו התחל.

    

11. שחזור הבעיה.

    עצה

    שמור על איסוף הנתונים לא יותר מחמש דקות. שתיים עד שלוש דקות מהוות טווח טוב מאחר שנאספים נתונים רבים.

12. לחץ שמור.

    

13. מלא את הקלד בתיאור מפורט של הבעיה: עם מידע אודות הבעיה וכיצד שכפלת את הבעיה.

    

    1. בחר שם קובץ: כדי לקבוע היכן יישמר קובץ המעקב. כברירת מחדל, הוא נשמר ב- %user%\Documents\WPR Files\.
    2. לחץ שמור.

14. המתן בעת מיזוג המעקב.

    

15. לאחר שהעקוב נשמר, בחר פתח תיקיה.

    

    כלול הן את הקובץ והן את התיקיה בשליחה שלך לתמיכה של Microsoft.

    

לכידת יומני ביצועים באמצעות ה- WPR CLI

כלי שורת הפקודה wpr.exe מהווה חלק ממערכת ההפעלה המתחילה Windows 8. כדי לאסוף מעקב WPR באמצעות כלי שורת הפקודה wpr.exe:

1. הורד Microsoft Defender עבור נקודת קצה ניתוח נתונים עבור מעקבי ביצועים לקובץ בשם MDAV.wprp במדריך כתובות מקומי כגון C:\traces.

2. לחץ באמצעות לחצן העכבר הימני על סמל תפריט התחלה ובחר Windows PowerShell (מרכז הניהול) או שורת פקודה (מרכז הניהול) כדי לפתוח מרכז הניהול חלון שורת פקודה.

3. כאשר תיבת הדו-שיח בקרת חשבון משתמש מופיעה, בחר כן.

4. בשורת הפקודה עם הרשאות מלאות, הפעל את הפקודה הבאה כדי להפעיל Microsoft Defender עבור נקודת קצה ביצועים:

   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   

   אזהרה

   אם Windows Server שלך כולל 64 GB או RAM או יותר, WDForLargeServers.LightWDForLargeServers.Verbose השתמש בפרופילים ובפרופילים וב WD.LightWD.Verbose- , בהתאמה. אחרת, המערכת שלך עשויה לצרוך כמות גבוהה של זיכרון או מאגרים שאינם בחלפה שעלולים להוביל לאי-יציבות המערכת.

5. שחזור הבעיה.

   עצה

   שמור את איסוף הנתונים לא ליותר מחמש דקות. בהתאם לתרחיש, טווח של שתיים עד שלוש דקות הוא טווח טוב מאחר שנאספים נתונים רבים.

6. בשורת הפקודה עם הרשאות מלאות, הפעל את הפקודה הבאה כדי להפסיק את המעקב אחר הביצועים, הקפד לספק מידע אודות הבעיה וכיצד שכפלת את הבעיה:

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. המתן עד למיזוג המעקב.

8. כלול הן את הקובץ והן את התיקיה בהגשה שלך לתמיכה של Microsoft.

עצה

אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:

• הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS
• Microsoft Defender עבור נקודת קצה ב- Mac
• הגדרות מדיניות אנטי-וירוס של macOS עבור אנטי-וירוס של Microsoft Defender עבור Intune
• הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
• בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
• קביעת התצורה של Defender עבור נקודת קצה בתכונות Android
• קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS

עצה

עצת ביצועים בשל מגוון גורמים (דוגמאות המפורטות להלן) תוכנות אנטי Microsoft Defender-וירוס, כגון תוכנות אנטי-וירוס אחרות, עלולות לגרום לבעיות ביצועים במכשירי נקודת קצה. במקרים מסוימים, ייתכן שיהיה עליך לכוונן את הביצועים של תוכנת האנטי Microsoft Defender אנטי-וירוס כדי להקל על בעיות ביצועים אלה. מנתח הביצועים של Microsoft הוא כלי שורת פקודה של PowerShell שמסייע לקבוע אילו קבצים, נתיבי קבצים, תהליכים וסומות קבצים עלולים לגרום לבעיות ביצועים; להלן כמה דוגמאות:

• נתיבים מובילים המשפיעים על זמן הסריקה
• קבצים מובילים שמשפיעים על זמן הסריקה
• תהליכים מובילים המשפיעים על זמן הסריקה
• סיומות קבצים מובילות שמשפיעות על זמן הסריקה
• שילובים – לדוגמה:
  • קבצים מובילים לכל סיומת
  • נתיבים מובילים לכל הרחבה
  • תהליכים מובילים לכל נתיב
  • סריקות מובילות לכל קובץ
  • סריקות מובילות לכל קובץ לכל תהליך

באפשרותך להשתמש במידע שנאסף באמצעות מנתח הביצועים כדי להעריך טוב יותר בעיות ביצועים ולהחיל פעולות תיקון. ראה: מנתח הביצועים עבור Microsoft Defender אנטי-וירוס.

למידע נוסף

• איסוף נתוני Microsoft Defender אנטי-וירוס
• קביעת תצורה ואימתה של פריטים שאינם נכללים Microsoft Defender אנטי-וירוס
• מנתח הביצועים עבור אנטי Microsoft Defender וירוס

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.