שתף באמצעות


פתרון בעיות Microsoft Defender אנטי-וירוס ב- WPRUI

עצה

תחילה, סקור סיבות נפוצות לבעיות ביצועים כגון שימוש גבוה ב- CPU בנושא פתרון בעיות ביצועים הקשורות להגנה בזמן אמת (RTP) או סריקות של אנטי-וירוס (Microsoft Defender rTP) או סריקות (מתוזמנות או לפי דרישה). לאחר מכן, הפעל את תוכנת האנטי Microsoft Defender Antivirus מנתח הביצועים כדי לנתח את הגורם לשימוש גבוה ב- CPU ב- Microsoft Defender Antivirus (הפעלה של שירות נגד תוכנות זדוניות, שירות אנטי Microsoft Defender אנטי-וירוס או MsMpEng.exe). אם תוכנת האנטי Microsoft Defender Antivirus מנתח הביצועים אינה מזהה את סיבת הבסיס לניצול גבוה של ה- CPU, הפעל את Processor Monitor כדי לצמצם או לקבוע את סיבת הבסיס של ניצול ה- CPU הגבוה ב- Microsoft Defender Antivirus. הכלי הסופי בערכת הכלים שלך הוא להפעיל את ממשק המשתמש של מקליט הביצועים של Windows (WPRUI) או את מקליט הביצועים של Windows (שורת הפקודה WPR) כפי שמתואר במאמר זה.

לכידת יומני ביצועים באמצעות מקליט הביצועים של Windows

מקליט הביצועים של Windows (WPR) הוא כלי הקלטה רב-עוצמה אשר יוצר מעקב אירועים עבור הקלטות של Windows ומאפשר לך לכלול מידע נוסף בהגשה שלך לתמיכה של Microsoft.

WPR מהווה חלק מ- Windows Assessment and Deployment Kit (Windows ADK) ובאפשרותך להוריד אותו מהורדה והתקנה של Windows ADK. באפשרותך גם להוריד אותה כחלק מ- Windows 10 Software Development Kit Windows 10 SDK.

לחלופין, בצע את השלבים המפורטים בלכידה של יומני ביצועים באמצעות ממשק המשתמש של WPR, או השתמש בכלי שורת הפקודהwpr.exe לכידת יומני ביצועים באמצעות ממשק שורת הפקודה WPR. שניהם זמינים בגירסה Windows 8 ובגרסאות מתקדמות יותר.

קיימות שתי דרכים ללכידת המעקב של מקליט הביצועים של Windows (WPRUI):

  1. שימוש במנתח MDE הלקוח החדש

  2. באופן ידני

שימוש במנתח MDE הלקוח החדש

  1. הורד את MDE Client Analyzer.

  2. הפעל את MDE Client Analyzer באמצעות Live Response או באופן מקומי.

    עצה

    לפני הפעלת המעקב, ודא שהבעיה הפיכה. בנוסף, סגור את כל היישומים שאינם תורמים לשכפול הבעיה.

  3. הפעל את MDE Client Analyzer עם בוררי -a and-v.

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v
    

באופן ידני

לכידת יומני ביצועים באמצעות ממשק המשתמש של WPR

עצה

אם מכשירים מרובים נתקלים בבעיה זו, השתמש במכשיר הכולל את מספר ה- RAM הרב ביותר.

  1. הורד והתקן את WPR.

  2. תחת ערכות Windows, לחץ באמצעות לחצן העכבר הימני על מקליט הביצועים של Windows.

    צילום מסך המציג את תפריט 'התחלה'

  3. בחר עוד. בחר הפעל כמנהל מערכת.

  4. לחץ באמצעות לחצן העכבר הימני על כן כאשר תיבת הדו-שיח בקרת חשבון משתמש מופיעה.

    צילום מסך המציג את דף UAC.

  5. לאחר מכן, Microsoft Defender עבור נקודת קצה את פרופיל הניתוח החדש ושמור אותו MDAV.wprp בשם בתיקיה כגון C:\temp.

  6. בתיבת הדו-שיח WPR, בחר אפשרויות נוספות.

    צילום מסך המציג את הדף שבו ניתן לבחור אפשרויות נוספות

  7. בחר הוסף פרופילים... ונווט אל נתיב MDAV.wprp הקובץ.

  8. פרופיל חדש בשם Microsoft Defender עבור נקודת קצה אמור להופיע תחת מידות מותאמות אישית.

    צילום מסך המציג את הקובץ בתוך הקובץ.

    אזהרה

    אם גודל Windows Server כולל 64 GB של RAM או יותר, השתמש במידה המותאמת אישית Microsoft Defender for Endpoint analysis for large servers במקום ב- Microsoft Defender for Endpoint analysis. אחרת, המערכת שלך עשויה לצרוך כמות גבוהה של זיכרון או מאגרים שאינם בקובץ החלפה, דבר המוביל לאי-יציבות המערכת. כדי לטפל באפשרות זו, עיין בניתוח משאבים כדי לבחור פרופילים להוספה. פרופיל מותאם אישית זה מספק את ההקשר הנחוץ לניתוח ביצועים מעמיק.

  9. כדי להשתמש במידות המותאמות Microsoft Defender עבור נקודת קצה פרופיל ניתוח מילולי בממשק המשתמש של WPR:

    1. ודא שלא נבחרו פרופילים תחת הקבוצות 'קביעת סדר עדיפויות ברמה הראשונה', 'ניתוח משאבים' ו'ניתוח תרחישים '.

    2. בחר מידות מותאמות אישית.

    3. בחר Microsoft Defender עבור נקודת קצה ניתוח.

    4. בחר מילולי תחתרמת פירוט.

    5. בחר קובץאו זיכרון תחת מצב רישום.

    חשוב

    בחר קובץ כדי להשתמש במצב רישום הקבצים אם באפשרותך לשחזר ישירות את בעיית הביצועים. רוב הבעיות נמצאות תחת קטגוריה זו. עם זאת, אם אינך מצליח לשחזר את הבעיה ישירות, בחר זיכרון כדי להשתמש במצב רישום הזיכרון. פעולה זו מונעת מ יומן המעקב להיתנפח באופן מוגזם עקב שעות של ריצה ארוכה.

  10. כעת אתה מוכן לאסוף נתונים. סגור את כל היישומים שאינם נחוצים. בחר הסתר אפשרויות כדי להשאיר את השטח תפוס על-ידי חלון WPR קטן.

    צילום מסך המציג את אפשרויות ההסתרה.

  11. בחרו התחל.

    צילום מסך המציג את הדף 'הקלטת מידע מערכת'.

  12. שחזור הבעיה.

    עצה

    הגבל את איסוף הנתונים לחמש דקות מקסימום. באופן אידיאלי, כוון לשתיים עד שלוש דקות, כיוון שנאספים כמות נתונים משמעותית.

  13. לחץ שמור.

    צילום מסך המציג את האפשרות 'שמור'.

  14. מלא את הקלד תיאור מפורט של הבעיה: עם מידע אודות הבעיה והאופן שבו שכפלת את הבעיה.

    צילום מסך המציג את החלונית שבה אתה ממלא.

  15. בחר שם קובץ: כדי לקבוע היכן נשמר קובץ המעקב. כברירת מחדל, הוא נשמר ב- %user%\Documents\WPR Files\.

  16. לחץ שמור.

    צילום מסך המציג את ה-WPR אוסף מעקב כללי.

  17. לאחר המיזוג והשמורות של המעקב, לחץ באמצעות לחצן העכבר הימני על פתח תיקיה.

    צילום מסך שמציג את ההודעה שמעקב WPR נשמר.

  18. כלול הן את הקובץ והן את התיקיה בשליחה שלך לתמיכה של Microsoft.

    צילום מסך המציג את פרטי הקובץ והתיקיה.

לכידת יומני ביצועים באמצעות ה- WPR CLI

כדי לאסוף מעקב WPR באמצעות כלי שורת הפקודה wpr.exe:

  1. הורד Microsoft Defender עבור נקודת קצה מעקב אחר ביצועי ניתוח כגון MDAV.wprp במדריך כתובות מקומי כגון C:\traces.

  2. לחץ באמצעות לחצן העכבר הימני על סמל תפריט התחלה ובחר Windows PowerShell (מרכז הניהול) או שורת פקודה (מרכז הניהול) כדי לפתוח מרכז הניהול חלון שורת פקודה.

  3. בחר כן בתיבת הדו-שיח בקרת חשבון משתמש.

  4. בשורת הפקודה (מרכז הניהול), הפעל את הפקודה הבאה כדי להתחיל מעקב Microsoft Defender עבור נקודת קצה ביצועים:

    
    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    
    

    אזהרה

    אם במחשב Windows Server 64 GB של RAM או יותר, WDForLargeServers.LightWDForLargeServers.Verbose השתמש בפרופילים ובפרופילים WD.Light וב- WD.Verbose, בהתאמה. אחרת, המערכת צורכת כמות גבוהה של זיכרון מאגר או מאגרים שאינם בקובץ החלפה, מה שמוביל לאי-יציבות המערכת.

  5. שחזור הבעיה.

    עצה

    הגבל את איסוף הנתונים לחמש דקות מקסימום. באופן אידיאלי, כוון לשתיים עד שלוש דקות, כיוון שנאספים כמות נתונים משמעותית.

  6. בשורת הפקודה (מרכז הניהול), הפעל את הפקודה הבאה כדי להתחיל מעקב Microsoft Defender עבור נקודת קצה ביצועים:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. המתן עד למיזוג המעקב.

  8. כלול הן את הקובץ והן את התיקיה בשליחה שלך לתמיכה של Microsoft.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.