מנתח הביצועים עבור האנטי-וירוס של Microsoft Defender

מאמר
06/27/2024

חל על

Microsoft Defender עבור תוכנית 1 של נקודת קצה
Microsoft Defender עבור תוכנית 2 של נקודת קצה
האנטי-וירוס של Microsoft Defender

פלטפורמות

Windows

דרישות

מנתח הביצועים של האנטי-וירוס של Microsoft Defender כולל את הדרישות המוקדמות הבאות:

גירסאות Windows נתמכות:
- Windows 10
- Windows 11
- Windows Server 2016 ואילך
- Windows Server 2012 R2 (כאשר הוא רשום באמצעות פתרון מודרני מאוחד)
- עבור Windows Server 2012 R2, נדרש ערכת הכלים של Windows ADK (Windows Performance Toolkit). הורדה והתקנה של Windows ADK
גירסת פלטפורמה: 4.18.2108.7 ואילך
גירסת PowerShell: PowerShell גירסה 5.1, PowerShell ISE, PowerShell מרוחק (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

מהו מנתח הביצועים של האנטי-וירוס של Microsoft Defender?

אם מכשירים שבהם פועל האנטי-וירוס של Microsoft Defender נתקלים בבעיות ביצועים, באפשרותך להשתמש במנתח הביצועים כדי לשפר את הביצועים של האנטי-וירוס של Microsoft Defender. מנתח הביצועים הוא כלי שורת הפקודה של PowerShell, שמסייע לך לקבוע קבצים, סיומות קבצים ותהליכים שעלולים לגרום לבעיות ביצועים ב נקודות קצה בודדות במהלך סריקות אנטי-וירוס. באפשרותך להשתמש במידע שנאסף על-ידי מנתח הביצועים כדי להעריך בעיות ביצועים ולהחיל פעולות תיקון.

בדומה לא באופן שבו מכניים מבצעים אבחון ושירותים ברכב הכולל בעיות ביצועים, מנתח הביצועים יכול לעזור לך לשפר את ביצועי האנטי-וירוס של Microsoft Defender.

כמה מהאפשרויות לניתוח כוללות:

נתיבים מובילים המשפיעים על זמן הסריקה
קבצים מובילים שמשפיעים על זמן הסריקה
תהליכים מובילים המשפיעים על זמן הסריקה
סיומות קבצים מובילות שמשפיעות על זמן הסריקה
שילובים – לדוגמה:
- קבצים מובילים לכל סיומת
- נתיבים מובילים לכל הרחבה
- תהליכים מובילים לכל נתיב
- סריקות מובילות לכל קובץ
- סריקות מובילות לכל קובץ לכל תהליך

מפעיל מנתח ביצועים

התהליך ברמה העליונה עבור הפעלת מנתח הביצועים כולל את השלבים הבאים:

הפעל את מנתח הביצועים כדי לאסוף הקלטת ביצועים של אירועי האנטי-וירוס של Microsoft Defender ב נקודת הקצה.

הערה

הביצועים של אירועי האנטי-וירוס של Microsoft Defender מסוג Microsoft-Antimalware-Engine זה מתועדים באמצעות מנתח הביצועים.
נתח את תוצאות הסריקה באמצעות דוחות הקלטה שונים.

שימוש במנתח הביצועים

כדי להפעיל הקלטת אירועי מערכת, פתח את PowerShell במצב מנהל מערכת ובצע את השלבים הבאים:

הפעל את הפקודה הבאה כדי להתחיל את ההקלטה:
```
New-MpPerformanceRecording -RecordTo <recording.etl>
```
כאשר -RecordTo פרמטר מציין את מיקום הנתיב המלא שבו נשמר קובץ המעקב. לקבלת מידע נוסף על cmdlet, ראה רכיבי cmdlet של אנטי-וירוס של Microsoft Defender.
אם קיימים תהליכים או שירותים שחשבו שהם משפיעים על הביצועים, שכפול המצב על-ידי ביצוע המשימות הרלוונטיות.
הקש ENTER כדי לעצור ולשמור את ההקלטה, או Ctrl+C כדי לבטל את ההקלטה.
נתח את התוצאות באמצעות הפרמטר של מנתח Get-MpPerformanceReport הביצועים. לדוגמה, בעת ביצוע הפקודה Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10, המשתמש מסופק עם רשימה של עשר הסריקות המובילות עבור שלושת הקבצים המובילים המשפיעים על הביצועים.

לקבלת מידע נוסף אודות פרמטרים ואפשרויות של שורת הפקודה, עיין ב - New-MpPerformanceRecording וב - Get-MpPerformanceReport.

הערה

בעת הפעלת הקלטה, אם אתה מקבל את השגיאה "אין אפשרות להפעיל הקלטת ביצועים מכיוון ש'מקליט הביצועים של Windows' כבר מקליט", הפעל את הפקודה הבאה כדי להפסיק את המעקב הקיים באמצעות הפקודה החדשה: wpr -cancel -instancename MSFT_MpPerformanceRecording.

נתונים ומידע של כוונון ביצועים

בהתבסס על השאילתה, המשתמש יכול להציג נתונים עבור ספירות סריקה, משך זמן (סך הכל/min/average/max/חציון), נתיב, תהליך והסיבה לסריקה. התמונה הבאה מציגה פלט לדוגמה עבור שאילתה פשוטה של 10 הקבצים המובילים להשפעה על הסריקה.

ייצוא וה המרה לקובץ CSV ו- JSON

ניתן לייצא את התוצאות של מנתח הביצועים ולהמיר אותן לקובץ CSV או JSON. מאמר זה כולל דוגמאות המתארות את התהליך של "ייצוא" ו"המרה" באמצעות קוד לדוגמה.

החל מגירסת 4.18.2206.XDefender , המשתמשים יכולים להציג מידע לגבי סיבת דלג של סריקה תחת SkipReason עמודה. הערכים האפשריים הם:

המערכת לא דילגה עליה
מיטוב (בדרך כלל עקב סיבות לביצועים)
המערכת דילגה על המשתמש (בדרך כלל עקב אי-הכללות של קבוצת משתמשים)

עבור CSV

כדי לייצא:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

כדי להמיר:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

עבור JSON

כדי להמיר:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

כדי להבטיח פלט קריא למחשב לייצוא עם מערכות עיבוד נתונים אחרות, מומלץ להשתמש בפרמטר -Raw עבור Get-MpPerformanceReport. עיין בסעיפים הבאים לקבלת פרטים נוספים.

חומר עזר של PowerShell

קיימים שני רכיבי cmdlet חדשים של PowerShell המשמשים לכוונון הביצועים של האנטי-וירוס של Microsoft Defender:

New-MpPerformanceRecording
Get-MpPerformanceReport

New-MpPerformanceRecording

הסעיף הבא מתאר את ההפניה עבור ה- cmdlet New-MpPerformanceRecordingהחדש של PowerShell. cmdlet זה אוסף הקלטת ביצועים של סריקות האנטי-וירוס של Microsoft Defender.

תחביר: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

תיאור/ הוראות: New-MpPerformanceRecording

ה New-MpPerformanceRecording - cmdlet אוסף הקלטת ביצועים של סריקות האנטי-וירוס של Microsoft Defender. הקלטות ביצועים אלה מכילות אירועי תהליך ליבה של Microsoft-Antimalware-Engine ו- NT, ובאפשרותך לנתח פריטים לאחר איסוף באמצעות ה- cmdlet Get-MpPerformanceReport .

cmdlet New-MpPerformanceRecording זה מספק תובנות לגבי קבצים בעייתיים שעלולים לגרום לירידה בביצועים של האנטי-וירוס של Microsoft Defender. כלי זה מסופק "כפי שהוא", והוא אינו מיועד לספק הצעות לגבי פריטים שאינם נכללים. אי הכללות יכולות להפחית את רמת ההגנה ב נקודות הקצה שלך. יש להגדיר פריטים שאינם נכללים, אם קיימות, בזהירות.

לקבלת מידע נוסף אודות מנתח הביצועים, ראה מסמכי מנתח הביצועים.

חשוב

Cmdlet זה דורש הרשאות מנהל מערכת מלאות.

דוגמאות: New-MpPerformanceRecording

דוגמה 1: איסוף הקלטת ביצועים ושמור אותה

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

הפקודה אוספת הקלטת ביצועים ושמירה שלה בנתיב שצוין: .\Defender-scans.etl.

דוגמה 2: איסוף הקלטת ביצועים עבור הפעלת PowerShell מרוחקת

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

הפקודה אוספת הקלטת ביצועים ב- Server02 (כפי שצוין על-ידי $s של הפרמטר Session) ושמירה שלה בנתיב שצוין: C:\LocalPathOnServer02\trace.etl ב Server02- .

פרמטרים: New-MpPerformanceRecording

-RecordTo

מציין את המיקום שבו יש לשמור את הקלטת הביצועים נגד תוכנות זדוניות של Microsoft Defender.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-הפעלה

מציין את האובייקט PSSession שבו יש ליצור ולשמור את הקלטת הביצועים של האנטי-וירוס של Microsoft Defender. בעת שימוש בפקודה זו, RecordTo הפרמטר מפנה לנתיב המקומי במחשב המרוחק. זמין עם גירסת הפלטפורמה של 4.18.2201.10 Defender ואילך.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

הסעיף הבא מתאר את ה- Get-MpPerformanceReport cmdlet של PowerShell. מנתח ודוחות על הקלטת הביצועים של האנטי-וירוס של Microsoft Defender.

תחביר: Get-MpPerformanceReport

    Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile 
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath 
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>] 
    [-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>] 
    [-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>] 
    [-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>] 
    [-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>] 
    [-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>] 
    [-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>] 
    [-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>] 
    [-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw] 
    [<CommonParameters>]

תיאור/ הוראות: Get-MpPerformanceReport

ה Get-MpPerformanceReport - cmdlet מנתח הקלטת ביצועים של האנטי-וירוס של Microsoft Defender שנאסף בעבר (New-MpPerformanceRecording) ומדוחות על נתיבי הקבצים, סיומות הקבצים והתהליכים הגורמות להשפעה הגבוהה ביותר על סריקות האנטי-וירוס של Microsoft Defender.

מנתח הביצועים מספק תובנות לגבי קבצים בעייתיים שעלולים לגרום לירידה בביצועים של האנטי-וירוס של Microsoft Defender. כלי זה מסופק "כפי שהוא" והוא אינו מיועד לספק הצעות לגבי פריטים שאינם נכללים. אי הכללות יכולות להפחית את רמת ההגנה ב נקודות הקצה שלך. יש להגדיר פריטים שאינם נכללים, אם קיימות, בזהירות.

לקבלת מידע נוסף אודות מנתח הביצועים, ראה מסמכי מנתח הביצועים.

גירסאות מערכת הפעלה נתמכות:

Windows גירסה 10 ואילך.

הערה

תכונה זו זמינה החל בגירסת הפלטפורמה 4.18.2108.X ואילך.

דוגמאות: Get-MpPerformanceReport

דוגמה 1: שאילתה יחידה

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

דוגמה 2: שאילתות מרובות

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

דוגמה 3: שאילתות מקוננות

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

דוגמה 4: שימוש בפרמטר -MinDuration

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

דוגמה 5: שימוש בפרמטר -Raw

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

שימוש -Raw בפקודה מציין שהפלט צריך להיות קריא וניתן לקריאה במחשב ולבצע עריכה בסידרה של תבניות כגון JSON.

פרמטרים: Get-MpPerformanceReport

-TopPaths

מבקש דוח נתיבים ראשיים ומציין את מספר הנתיבים המובילים לפלט, ממוינות לפי משך זמן. צבירה של הסריקות בהתבסס על הנתיב והמדריך שלהם. המשתמש יכול לציין כמה ספריות יש להציג בכל רמה ובעומק הבחירה.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

מציין עומק רקורסיבי המשמש לקיבוץ והצגה של תוצאות נתיב מצטברות. לדוגמה C:\ , תואם לעומק של 1 ותואם C:\Users\Foo לעומק של 3.

דגל זה יכול ללוות את כל האפשרויות האחרות של הנתיב העליון. אם הערך חסר, הפונקציה מניחה ערך ברירת מחדל של 3. הערך אינו יכול להיות 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

דגל	הגדרה
-`TopScansPerPath`	מציין את מספר הסריקות המובילות שברצונך לציין עבור כל נתיב עליון.
-`TopFilesPerPath`	מציין את מספר הקבצים המובילים שברצונך לציין עבור כל נתיב עליון.
-`TopScansPerFilePerPath`	מציין כמה סריקות מובילות יש ליצור פלט עבור כל קובץ עליון עבור כל נתיב עליון, ממוינות לפי "Duration"
-`TopExtensionsPerPath`	מציין כמה הרחבות מובילות יש ליצור פלט עבור כל נתיב עליון
-`TopScansPerExtensionPerPath`	מציין כמה סריקות מובילות יש ליצור פלט עבור כל הרחבה עליונה עבור כל נתיב עליון
-`TopProcessesPerPath`	מציין את מספר התהליכים המובילים לפלט עבור כל נתיב עליון
-`TopScansPerProcessPerPath`	מציין כמה סריקות מובילות יש ליצור פלט עבור כל תהליך מוביל עבור כל נתיב עליון
-`TopPathsPerExtension`	מציין את מספר הנתיבים המובילים לפלט עבור כל הרחבה עליונה
-`TopScansPerPathPerExtension`	מציין כמה סריקות מובילות יש ליצור פלט עבור כל נתיב עליון עבור כל הרחבה עליונה
-`TopPathsPerProcess`	מציין את מספר הנתיבים המובילים לפלט עבור כל תהליך מוביל
-`TopScansPerPathPerProcess`	מציין כמה סריקות מובילות יש ליצור פלט עבור כל נתיב עליון עבור כל תהליך מוביל

-מינימום

מציין את משך הזמן המינימלי של כל סריקה או משך זמן כולל לסריקה של קבצים, סיומות ותהליכים הכלולים בדוח; מקבל ערכים כגון 0.1234567sec, , 0.1234ms0.1us, או אורך זמן חוקי.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-נתיב

מציין את הנתיב או הנתיבים למיקום אחד או יותר.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-גולמי

מציין כי פלט של הקלטת ביצועים צריך להיות קריא וניתן להמרה של מחשב לתבניות עריכה בסידרה כגון JSON (לדוגמה, באמצעות הפקודה Convert-to-JSON). תצורה זו מומלצת עבור משתמשים המעוניינים בעיבוד אצווה עם מערכות עיבוד נתונים אחרות.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-כותרות עליונה

מציין כמה סיומות מובילות יש ליצור פלט, ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

מציין כמה הרחבות מובילות יש ליצור פלט עבור כל תהליך מוביל, ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiles

מבקש דוח קבצים על גבי קבצים ומציין כמה קבצים מובילים יש ליצור פלט, ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

מציין כמה קבצים מובילים יש ליצור פלט עבור כל הרחבה עליונה, ממוינת לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

מציין כמה קבצים מובילים יש ליצור פלט עבור כל תהליך עליון, ממוינת לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-מעבדים מובילים

מבקש דוח של תהליכים מובילים ומציין כמה מהתהליכים המובילים יש ליצור פלט, ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

מציין כמה תהליכים מובילים יש ליצור פלט עבור כל הרחבה עליונה, ממוינת לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

מציין כמה תהליכים עיקריים יש ליצור פלט עבור כל קובץ עליון, ממוינת לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-תותים עלים

מבקש דוח סריקות מובילות ומציין כמה סריקות מובילות יש ליצור פלט, ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

מציין כמה סריקות מובילות יש ליצור פלט עבור כל הרחבה עליונה, ממוינת לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

מציין כמה סריקות מובילות יש ליצור פלט עבור כל הרחבה עליונה עבור כל תהליך עליון, ממוינת לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

מציין כמה סריקות מובילות יש ליצור פלט עבור כל קובץ עליון, ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

מציין כמה סריקות מובילות יש ליצור פלט עבור כל קובץ עליון עבור כל סיומת עליונה, ממוינת לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

מציין את מספר הסריקות המובילות לפלט עבור כל קובץ עליון עבור כל תהליך עליון, ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

מציין כמה סריקות מובילות יש ליצור פלט עבור כל תהליך מוביל בדוח 'תהליכים מובילים', ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

מציין את מספר הסריקות המובילות לפלט עבור כל תהליך מוביל עבור כל הרחבה עליונה, ממוינת לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

מציין את מספר הסריקות המובילות לפלט עבור כל תהליך מוביל עבור כל קובץ עליון, ממוינות לפי משך זמן.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.

שתף באמצעות