Megosztás a következőn keresztül:


Adatgyűjtés a Windows speciális hibaelhárításához

Érintett szolgáltatás:

Amikor együttműködik a Microsoft támogatási szakembereivel, előfordulhat, hogy az ügyfélelemzővel kell adatokat gyűjtenie az összetettebb forgatókönyvek hibaelhárításához. Az elemző szkript más paramétereket is támogat erre a célra, és képes összegyűjteni egy adott naplókészletet a vizsgálandó megfigyelt tünetek alapján.

Futtassa a parancsot MDEClientAnalyzer.cmd /? az elérhető paraméterek listájának és leírásának megtekintéséhez:

A MDEClientAnalyzer.cmd paraméterei

Kapcsoló Leírás Mikor érdemes használni? A hibaelhárítási folyamat.
-h Meghívja a Windows Teljesítményrögzítőt , hogy a standard naplókészlet mellett részletes általános teljesítménykövetést gyűjtsön. Lassú alkalmazásindítás/-indítás. Ha az alkalmazás egyik gombjára kattint, az x másodpercet is igénybe veszi. Az alábbiak egyike:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Meghívja a beépített Windows Teljesítményfigyelőt egy egyszerűsített teljesítményfigyelő-nyomkövetés gyűjtéséhez. Ez a forgatókönyv akkor lehet hasznos, ha olyan lassú teljesítménycsökkenési problémákat diagnosztizál, amelyek idővel előfordulnak, de nehezen reprodukálhatók igény szerint. Olyan alkalmazásteljesítmény hibaelhárítása, amely lassú lehet önmagának a reprodukálásához (jegyzékfájlhoz). Javasoljuk, hogy legfeljebb három percet (legfeljebb öt percet) rögzítsen, mert az adatkészlet túl nagy lehet. Az alábbiak egyike:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Meghívja a folyamatfigyelőt a valós idejű fájlrendszer, beállításjegyzék és folyamat-/száltevékenység speciális monitorozásához. Ez különösen hasznos különböző alkalmazáskompatibilitási forgatókönyvek hibaelhárításához. Folyamatfigyelő (ProcMon) rendszerindítási nyomkövetés indításához az illesztőprogramokkal vagy szolgáltatásokkal vagy alkalmazásindítási késéssel kapcsolatos problémák kivizsgálásakor. Vagy olyan hálózati megosztáson üzemeltetett alkalmazások, amelyek nem megfelelően használják az SMB opportunistic Locking (Oplock) szolgáltatást, és alkalmazáskompatibilitási problémákat okoznak. Az alábbiak egyike:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Meghívja a beépített netsh.exe parancsot a hálózat és a Windows tűzfal nyomkövetésének elindításához, amely hasznos a különböző hálózattal kapcsolatos problémák elhárításához. A hálózattal kapcsolatos problémák, például a Végponthoz készült Defender EDR-telemetriával vagy a CnC-adatok elküldésével kapcsolatos problémák elhárításakor. Microsoft Defender Víruskereső Felhővédelem (MAPS) jelentéskészítési problémáit. Hálózatvédelemmel kapcsolatos problémák és így tovább. Az alábbi folyamatok egyike:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b Ugyanaz, mint -c a folyamatfigyelő nyomkövetése a következő rendszerindításkor indul el, és csak akkor áll le, ha a -b újra használatban van. Folyamatfigyelő (ProcMon) rendszerindítási nyomkövetés indításához az illesztőprogramokkal vagy szolgáltatásokkal vagy alkalmazásindítási késéssel kapcsolatos problémák kivizsgálásakor. Ez a forgatókönyv a lassú rendszerindítás vagy a lassú bejelentkezés vizsgálatára is használható. Az alábbi folyamatok egyike:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Meghívja a Windows Teljesítményrögzítőt a Defender AV-ügyfél nyomkövetésének (AM-Engine és AM-Service) gyűjtéséhez a víruskereső felhőkapcsolati problémáinak elemzéséhez. A Cloud Protection (MAPS) jelentéskészítési hibáinak elhárítása során. MsMpEng.exe
-a Meghívja a Windows Teljesítményrögzítőt , hogy összegyűjtse a víruskereső folyamattal (MsMpEng.exe) kapcsolatos magas processzorhasználati problémák elemzésére vonatkozó részletes teljesítménykövetést. Ha a magas processzorkihasználtsággal kapcsolatos hibaelhárítást Microsoft Defender víruskeresővel (kártevőirtó szolgáltatás végrehajtható fájlja vagy MsMpEng.exe), ha már használta a Microsoft Defender víruskereső Teljesítményelemző a magas processzorkihasználtsághoz hozzájáruló /path/process vagy /path vagy fájlkiterjesztés szűkítéséhez. Ez a forgatókönyv lehetővé teszi annak további vizsgálatát, hogy az alkalmazás vagy szolgáltatás mit tesz a magas processzorkihasználtsághoz való hozzájárulás érdekében. MsMpEng.exe
-v Víruskereső MpCmdRun.exe parancssori argumentumot használ a legtöbb részletes nyomkövetési jelzővel. Ha speciális hibaelhárításra van szükség. Például a Cloud Protection (MAPS) jelentéskészítési hibáinak, a platformfrissítési hibáknak, a motorfrissítési hibáknak, a biztonságiintelligencia-frissítési hibáknak, a hamis negatív értékeknek stb. a hibaelhárítása során. A , , -c-hvagy -la használatával -bis használható. MsMpEng.exe
-t Részletes nyomkövetést indít a végponti DLP-vel kapcsolatos összes ügyféloldali összetevőről, ami olyan helyzetekben hasznos, amikor a DLP-műveletek nem a várt módon történnek a fájlok esetében. Ha olyan problémákba ütközik, amelyek miatt a Microsoft Endpoint Data Loss Prevention (DLP) várt műveletei nem történnek meg. MpDlpService.exe
-q Meghívja DLPDiagnose.ps1 szkriptet az elemző Tools könyvtárból, amely ellenőrzi a végpont DLP alapvető konfigurációját és követelményeit. Ellenőrzi a Microsoft Endpoint DLP alapkonfigurációját és követelményeit MpDlpService.exe
-d Memóriaképet MsSenseS.exe gyűjt a (Windows Server 2016 vagy régebbi operációs rendszeren futó érzékelőfolyamat) és a kapcsolódó folyamatokról. - * Ez a jelző használható a fent említett zászlók. - ** Az elemző jelenleg nem támogatja a PPL által védett folyamatokMsSense.exeMsMpEng.exe memóriaképének rögzítését. Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 vagy Windows Server 2016 az MMA-ügynök futtatásával, valamint teljesítménnyel (magas processzor- vagy memóriahasználattal) vagy alkalmazáskompatibilitási problémákkal rendelkezik. MsSenseS.exe
-z A gép beállításkulcsait úgy konfigurálja, hogy a CrashOnCtrlScroll használatával előkészítse azokat a teljes gépi memóriakép-gyűjteményhez. Ez hasznos lehet a számítógép rögzítési problémáinak elemzéséhez. * Tartsa lenyomva a jobb szélső CTRL billentyűt, majd nyomja le kétszer a SCROLL LOCK billentyűt. A gép nem válaszol vagy lassú. Magas memóriahasználat (memóriavesztés): a) Felhasználói mód: Privát bájtok b) Kernelmód: lapszámozott készlet vagy nem lapszámozott készlet memóriája, szivárgások kezelése. MSSense.exe Vagy MsMpEng.exe
-k A NotMyFault eszközzel kényszeríti a rendszer összeomlását, és létrehoz egy gépi memóriaképet. Ez hasznos lehet a különböző operációsrendszer-stabilitási problémák elemzéséhez. Ugyanaz, mint fentebb. MSSense.exe Vagy MsMpEng.exe

Az elemzőt és a cikkben felsorolt összes forgatókönyvjelzőt távolról is elindíthatja a futtatásával RemoteMDEClientAnalyzer.cmd, amely szintén az elemzőeszközkészletbe van csomagolva:

A RemoteMDEClientAnalyzer.cmd paraméterei

Megjegyzés:

Ha bármilyen speciális hibaelhárítási paramétert használ, az elemző a MpCmdRun.exe is meghívja, hogy összegyűjtse Microsoft Defender víruskeresővel kapcsolatos támogatási naplókat. A jelölővel -g ellenőrizheti egy adott adatközpont-régió URL-címeit, még az adott régióba való előkészítés nélkül is
Például kényszeríti az elemzőt, MDEClientAnalyzer.cmd -g EU hogy tesztelje a felhőBELI URL-címeket az európai régióban.

Néhány szempont, amit szem előtt kell tartani

Ha a parancsot használja RemoteMDEClientAnalyzer.cmd, a a meghívásával psexec letölti az eszközt a konfigurált fájlmegosztásból, majd helyileg futtatja a használatával PsExec.exe.

A CMD-szkript a -r jelzővel határozza meg, hogy a rendszerkörnyezeten belül távolról fut, így a rendszer nem jelenít meg kérdést a felhasználónak.

Ezzel a jelzővel MDEClientAnalyzer.cmd elkerülheti, hogy a felhasználó az adatgyűjtés perceinek számát kérje. Vegyük például a következőt MDEClientAnalyzer.cmd -r -i -m 5: .

  • -r azt jelzi, hogy az eszköz távoli (vagy nem interaktív) környezetből fut.
  • -i A a hálózati nyomkövetés és más kapcsolódó naplók gyűjtésének forgatókönyvjelzője.
  • -m # A futtatandó percek számát jelöli (a példában 5 percet használtunk).

A használatakor MDEClientAnalyzer.cmda szkript a használatával net sessionellenőrzi a jogosultságokat, amelyhez a szolgáltatásnak Server futnia kell. Ha nem, akkor a script is running with insufficient privileges (A szkript nem megfelelő jogosultságokkal fut) hibaüzenet jelenik meg. Futtassa rendszergazdai jogosultságokkal, ha az ECHO ki van kapcsolva.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.