Megosztás a következőn keresztül:

A valós idejű védelemmel összefüggő problémák hibaelhárítása

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

Ha a rendszer magas processzorhasználattal vagy teljesítménnyel kapcsolatos problémákat tapasztal a Végponthoz készült Microsoft Defender valós idejű védelmi szolgáltatásával kapcsolatban, küldjön jegyet a Microsoft ügyfélszolgálatának. Kövesse az Microsoft Defender víruskereső diagnosztikai adatainak gyűjtésével kapcsolatos lépéseket.

Rendszergazdaként ezeket a problémákat önállóan is elháríthatja.

Először is érdemes lehet ellenőrizni, hogy a problémát egy másik szoftver okozza-e. Olvassa el A víruskereső kizárásainak ellenőrzése a gyártónál című cikket.

Ellenkező esetben a Microsoft védelmi napló elemzésének lépéseit követve azonosíthatja, hogy melyik szoftver kapcsolódik az azonosított teljesítményproblémához.

További naplókat is megadhat a Microsoft ügyfélszolgálatának való beküldéshez a következő lépések végrehajtásával:

A Microsoft Defender víruskeresővel kapcsolatos teljesítményspecifikus problémákért lásd: Teljesítményelemző Microsoft Defender víruskeresőhöz

Kérdezze meg a gyártót, hogy van-e víruskereső kizárása

Ha azonnal azonosítani tudja a rendszer teljesítményét befolyásoló szoftvert, lépjen a szoftvergyártó tudásbázis vagy támogatási központjába. Keresés, hogy vannak-e javaslataik a víruskereső kizárására. Ha a szállító webhelye nem rendelkezik velük, nyisson meg egy támogatási jegyet, és kérje meg, hogy tegyen közzé egyet.

Javasoljuk, hogy a szoftvergyártók a téves pozitív eredmények minimalizálása érdekében kövessék az iparággal való partneri kapcsolatról szóló cikk különböző irányelveit. A szállító a Microsoft biztonsági intelligencia portálon keresztül küldheti be a szoftverét.

A Microsoft Védelmi napló elemzése

A Microsoft védelmi naplófájlját a C:\ProgramData\Microsoft\Windows Defender\Support mappában találja.

A MPLog-xxxxxxxx-xxxxxx.log a szoftver futtatásának becsült teljesítményre gyakorolt hatásával kapcsolatos információkat EstimatedImpact néven találja:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Mező neve Leírás
ProcessImageName Folyamatkép neve
TotalTime A folyamat által elért fájlok vizsgálatával töltött idő ezredmásodpercben
Számít A folyamat által elért beolvasott fájlok száma
MaxTime A folyamat által elért fájlok leghosszabb egyszeri vizsgálatának időtartama ezredmásodpercben
MaxTimeFile A folyamat által elért fájl elérési útja, amelyhez a leghosszabb időtartamú MaxTime vizsgálat rögzítve lett
EstimatedImpact A folyamat által elért fájlok vizsgálatával töltött idő százalékos aránya abban az időszakban, amikor a folyamat vizsgálati tevékenységet végzett

Ha a teljesítményre gyakorolt hatás magas, próbálja meg hozzáadni a folyamatot az elérési út/folyamat kizárásaihoz a kizárások konfigurálása és ellenőrzése Microsoft Defender víruskereső vizsgálatokhoz című témakörben leírt lépésekkel.

Ha az előző lépés nem oldja meg a problémát, a következő szakaszokban további információkat gyűjthet a Folyamatfigyelőn vagy a Windows Teljesítményrögzítőn keresztül.

Folyamatnaplók rögzítése a Folyamatfigyelővel

A Folyamatfigyelő (ProcMon) egy speciális monitorozási eszköz, amely valós idejű folyamatokat képes megjeleníteni. Ezzel rögzítheti a felmerülő teljesítményproblémát.

  1. Töltse le a Folyamatfigyelő v3.89-et egy olyan mappába, mint a C:\temp.

  2. A fájl webes jelének eltávolítása:

    1. Kattintson a jobb gombbal ProcessMonitor.zip , és válassza a Tulajdonságok parancsot.
    2. Az Általános lapon keresse meg a Biztonság elemet.
    3. Jelölje be a Tiltás feloldása melletti jelölőnégyzetet.
    4. Válassza az Alkalmaz lehetőséget.

    Az MOTW eltávolítása lap

  3. Csomagolja ki a fájlt a fájlból C:\temp , hogy a mappa elérési útja legyen C:\temp\ProcessMonitor.

  4. Másolja ProcMon.exe a hibaelhárításban szereplő Windows-ügyfélre vagy Windows-kiszolgálóra.

  5. A ProcMon futtatása előtt győződjön meg arról, hogy minden más, a magas processzorhasználattal nem összefüggő alkalmazás be van zárva. Ezzel minimalizálja az ellenőrizendő folyamatok számát.

  6. A ProcMon kétféleképpen indítható el.

    1. Kattintson a jobb gombbal ProcMon.exe , és válassza a Futtatás rendszergazdaként parancsot.

      Mivel a naplózás automatikusan elindul, válassza a nagyító ikont az aktuális rögzítés leállításához, vagy használja a Ctrl+E billentyűkombinációt.

      A nagyító ikon

      Annak ellenőrzéséhez, hogy leállította-e a rögzítést, ellenőrizze, hogy megjelenik-e a nagyító ikon piros X-el.

      A piros perjel

      Ezután a korábbi rögzítés törléséhez válassza a radír ikont.

      A törlés ikon

      Vagy használja a Ctrl+X billentyűparancsot.

    2. A második módszer a parancssor rendszergazdaként való futtatása, majd a Folyamatfigyelő elérési útján futtassa a következőt:

      A cmd procmon 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Tipp

      Az adatok rögzítésekor tegye a lehető legkisebbre a ProcMon ablakot, hogy egyszerűen elindíthassa és leállíthassa a nyomkövetést.

      A Procmon kis méretűre állítását megjelenítő oldal

  7. A 6. lépésben ismertetett eljárások egyikének követését követően megjelenik egy lehetőség a szűrők beállítására. Kattintson az OK gombra. A rögzítés befejezése után mindig szűrheti az eredményeket.

    Az a lap, amelyen a Rendszerkivétel a szűrési folyamat neveként van kiválasztva

  8. A rögzítés elindításához válassza ismét a nagyító ikont.

  9. Reprodukálja a problémát.

    Tipp

    Várja meg a probléma teljes reprodukálását, majd jegyezze fel az időbélyeget a nyomkövetés indításakor.

  10. Ha a magas processzorhasználati állapotban 2-4 perc folyamattevékenységet végez, állítsa le a rögzítést a nagyító ikon kiválasztásával.

  11. Ha a rögzítést egyedi névvel és .pml formátumban szeretné menteni, válassza a Fájl , majd a Mentés... lehetőséget. Ügyeljen arra, hogy a Minden esemény és a Natív folyamatfigyelő formátum (PML) választógombot válassza.

    A Mentési beállítások lap

  12. A jobb nyomon követés érdekében módosítsa az alapértelmezett elérési utat C:\temp\ProcessMonitor\LogFile.PML a következő helyre C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML :

    • %ComputerName% az eszköz neve
    • MMDDYEAR a hónap, a nap és az év
    • Repro_of_issue A reprodukálni kívánt probléma neve

    Tipp

    Ha rendelkezik működő rendszerrel, érdemes lehet lekérni egy összehasonlítandó mintanaplót.

  13. Tömörítse be a .pml fájlt, és küldje el a Microsoft ügyfélszolgálatának.

Teljesítménynaplók rögzítése a Windows Teljesítményrögzítővel

A Windows Performance Recorder (WPR) használatával további információkat is felvehet a Microsoft ügyfélszolgálatához való beküldés során. A WPR egy hatékony rögzítőeszköz, amely eseménykövetést hoz létre Windows-felvételekhez.

A WPR a Windows Assessment and Deployment Kit (Windows ADK) része, és letölthető a Windows ADK letöltéséről és telepítéséről. A Windows 10 Software Development Kit részeként is letöltheti a Windows 10 SDK-ból.

A WPR felhasználói felületét a Teljesítménynaplók rögzítése a WPR felhasználói felületén című cikk lépéseit követve használhatja.

Másik lehetőségként használhatja a wpr.exeparancssori eszközt is, amely Windows 8 és újabb verziókban érhető el a Teljesítménynaplók rögzítése a WPR parancssori felülettel című cikk lépéseit követve.

Teljesítménynaplók rögzítése a WPR felhasználói felületén

Tipp

Ha több eszköz is tapasztalja ezt a problémát, használja azt, amelyik a legtöbb RAM-mal rendelkezik.

  1. Töltse le és telepítse a WPR-t.

  2. A Windows-készletek területen kattintson a jobb gombbal a Windows Teljesítményrögzítő elemre.

    A Start menü

    Válassza az Egyebek lehetőséget. Válassza a Futtatás rendszergazdaként lehetőséget.

  3. Amikor megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, válassza az Igen lehetőséget.

    Az UAC lap

  4. Ezután töltse le a Végponthoz készült Microsoft Defender elemzési profilt, és mentse más néven MDAV.wprp egy mappába, példáulC:\temp: .

  5. A WPR párbeszédpanelen válassza a További beállítások lehetőséget.

    Az a lap, amelyen további beállításokat választhat

  6. Válassza a Profilok hozzáadása... lehetőséget, és tallózással keresse meg a MDAV.wprp fájl elérési útját.

  7. Ezután egy új profilkészletnek kell megjelennie az alatta lévő Egyéni mérések nevű Végponthoz készült Microsoft Defender analysis alatt.

    A fájlban lévő

    Figyelmeztetés

    Ha a Windows Server legalább 64 GB RAM-mal rendelkezik, használja az egyéni mérést Microsoft Defender for Endpoint analysis for large servers a Microsoft Defender for Endpoint analysishelyett. Ellenkező esetben a rendszer nagy mennyiségű nem lapozható készletmemóriát vagy puffert használhat fel, ami a rendszer instabilitásához vezethet. Az Erőforrás-elemzés kibontásával kiválaszthatja, hogy mely profilokat szeretné hozzáadni. Ez az egyéni profil biztosítja a részletes teljesítményelemzéshez szükséges környezetet.

  8. Az egyéni mérés Végponthoz készült Microsoft Defender részletes elemzési profil használata a WPR felhasználói felületén:

    1. Győződjön meg arról, hogy nincsenek kiválasztva profilok az Első szintű osztályozás, az Erőforrás-elemzés és a Forgatókönyvelemzés csoportban.
    2. Válassza az Egyéni mérések lehetőséget.
    3. Válassza Végponthoz készült Microsoft Defender elemzés lehetőséget.
    4. A Részletes szint területen válassza a Részletes lehetőséget.
    5. A Naplózási mód területen válassza a Fájl vagy a Memória lehetőséget.

    Fontos

    Válassza a Fájl lehetőséget a fájlnaplózási mód használatához, ha a teljesítményproblémát közvetlenül a felhasználó reprodukálhatja. A legtöbb probléma ebbe a kategóriába tartozik. Ha azonban a felhasználó nem tudja közvetlenül reprodukálni a problémát, de könnyen észreveheti a probléma felmerülése után, a felhasználónak a Memória lehetőséget kell választania a memórianaplózási mód használatához. Ez biztosítja, hogy a nyomkövetési napló ne legyen túl nagy mértékben a hosszú futási idő miatt.

  9. Most már készen áll az adatok gyűjtésére. Lépjen ki az összes olyan alkalmazásból, amely nem releváns a teljesítményprodukt reprodukálása szempontjából. Az Elrejtés lehetőség kiválasztásával kis méretűre állíthatja a WPR-ablak által elfoglalt területet.

    Az Elrejtési beállítások

    Tipp

    Próbálja meg teljes szám másodpercben elindítani a nyomkövetést. Például: 01:30:00. Ez megkönnyíti az adatok elemzését. Kísérelje meg nyomon követni a probléma reprodukálásának pontos időbélyegét is.

  10. Válassza a Start lehetőséget.

    A Rendszerinformációk rögzítése lap

  11. Reprodukálja a problémát.

    Tipp

    Az adatgyűjtést ne hagyja öt percnél tovább. 2–3 perc jó tartomány, mivel sok adatot gyűjtünk.

  12. Válassza a Mentés elemet.

    A Mentés lehetőség

  13. Töltse ki a Típus mezőt a probléma részletes leírásában: a problémával kapcsolatos információkkal és a probléma reprodukálásának módjával.

    Az a panel, amelyen kitölti

    1. Válassza a Fájlnév: lehetőséget a nyomkövetési fájl mentési helyére. Alapértelmezés szerint a rendszer a következőbe menti: %user%\Documents\WPR Files\.
    2. Válassza a Mentés elemet.

  14. Várjon, amíg a nyomkövetés egyesül.

    A WPR általános nyomkövetést gyűjt

  15. A nyomkövetés mentése után válassza a Mappa megnyitása lehetőséget.

    A WPR-nyomkövetés mentéséről szóló értesítést megjelenítő lap

    Adja meg a fájlt és a mappát is a Microsoft ügyfélszolgálata beküldött fájlban.

    A fájl és a mappa részletei

Teljesítménynaplók rögzítése a WPR parancssori felületével

A parancssori eszközwpr.exe az operációs rendszer része, kezdve a Windows 8. WPR-nyomkövetés összegyűjtése a parancssori eszközzel wpr.exe:

  1. Töltse le Végponthoz készült Microsoft Defender elemzési profilt a teljesítménybeli nyomkövetésekhez egy helyi könyvtárban nevű MDAV.wprp fájlba, példáulC:\traces: .

  2. Kattintson a jobb gombbal a Start menü ikonra, és válassza a Windows PowerShell (Rendszergazda) vagy a Parancssor (Rendszergazda) lehetőséget egy Rendszergazda parancssori ablak megnyitásához.

  3. Amikor megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, válassza az Igen lehetőséget.

  4. Az emelt szintű parancssorban futtassa a következő parancsot egy Végponthoz készült Microsoft Defender teljesítménykövetés elindításához:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Figyelmeztetés

    Ha a Windows Server legalább 64 GB RAM-mal rendelkezik, használjon profilokat WDForLargeServers.LightWDForLargeServers.Verbose a és a profilok WD.LightWD.Verbosehelyett. Ellenkező esetben a rendszer nagy mennyiségű nem lapozható készletmemóriát vagy puffert használhat fel, ami a rendszer instabilitásához vezethet.

  5. Reprodukálja a problémát.

    Tipp

    Az adatgyűjtést ne hagyja öt percnél tovább. A forgatókönyvtől függően 2–3 perc jó tartomány, mivel sok adatot gyűjtenek.

  6. Az emelt szintű parancssorban futtassa a következő parancsot a teljesítménykövetés leállításához, és mindenképpen adjon meg információkat a problémáról és a probléma reprodukálásának módjáról:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Várjon, amíg a nyomkövetés egyesül.

  8. Adja meg a fájlt és a mappát is a Microsoft ügyfélszolgálatának beküldött fájlban.

Tipp

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:

Tipp

Teljesítménnyel kapcsolatos tipp Számos tényező (alább felsorolt példák) miatt a víruskereső Microsoft Defender más víruskereső szoftverekhez hasonlóan teljesítményproblémákat okozhat a végponteszközökön. Bizonyos esetekben előfordulhat, hogy a teljesítményproblémák enyhítése érdekében hangolnia kell a Microsoft Defender víruskereső teljesítményét. A Microsoft Teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni, hogy mely fájlok, fájlelérési utak, folyamatok és fájlkiterjesztések okozhatnak teljesítményproblémákat; néhány példa:

  • A vizsgálati időt befolyásoló leggyakoribb elérési utak
  • A vizsgálati időt befolyásoló leggyakoribb fájlok
  • A vizsgálati időt befolyásoló legfontosabb folyamatok
  • A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
  • Kombinációk – például:
    • top files per extension
    • top paths per extension
    • top process per path
    • top scans per file
    • top scans per file per process

A Teljesítményelemzővel összegyűjtött információk segítségével jobban felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat. Lásd: Teljesítményelemző Microsoft Defender víruskeresőhöz.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.