Share via


Teljesítményelemző Microsoft Defender víruskeresőhöz

A következőkre vonatkozik:

Platformok

  • A Windows

Követelmények

Microsoft Defender víruskereső teljesítményelemzője a következő előfeltételekkel rendelkezik:

  • Támogatott Windows-verziók: Windows 10, Windows 11, Windows 2012 R2 modern egyesített megoldással és Windows Server 2016 vagy újabb verzióval
  • Platformverzió: 4.18.2108.7 vagy újabb
  • PowerShell-verzió: PowerShell 5.1-es verzió, PowerShell ISE, távoli PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Mi az Microsoft Defender víruskereső teljesítményelemzője?

Ha Microsoft Defender víruskeresőt futtató számítógépek teljesítményproblémákat tapasztalnak, a teljesítményelemző használatával javíthatja Microsoft Defender víruskereső teljesítményét. A Windows 10, Windows 11 és Windows Server Microsoft Defender víruskereső teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni azokat a fájlokat, fájlkiterjesztéseket és folyamatokat, amelyek teljesítményproblémákat okozhatnak az egyes végpontokon a víruskereső vizsgálatok során. A teljesítményelemző által gyűjtött információk segítségével felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat.

Ahhoz hasonlóan, ahogyan a mechanika diagnosztikát és szolgáltatást végez a teljesítményproblémákkal rendelkező járműveken, a teljesítményelemző segíthet a Defender víruskereső teljesítményének javításában.

Fogalmi teljesítményelemző kép Microsoft Defender víruskeresőhöz. A diagram a következőhöz kapcsolódik: Microsoft Defender teljesítményelemző, Defender teljesítményelemző, Get-MpPerformanceRepor, New-MpPerformanceRecording, windows Defender, microsoft Defender, microsoft windows 10, microsoft Defender víruskereső, mikro soft windows 11, windows víruskereső, Microsoft víruskereső, Windows Defender víruskereső, Windows 10 víruskereső, microsoft windows Defender, teljesítmény Windows.

Az elemezendő lehetőségek közé tartoznak a következők:

  • A vizsgálati időt befolyásoló leggyakoribb elérési utak
  • A vizsgálati időt befolyásoló leggyakoribb fájlok
  • A vizsgálati időt befolyásoló legfontosabb folyamatok
  • A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
  • Kombinációk – például:
    • top files per extension
    • top paths per extension
    • top process per path
    • top scans per file
    • top scans per file per process

Teljesítményelemző futtatása

A teljesítményelemző futtatásának magas szintű folyamata a következő lépésekből áll:

  1. Futtassa a teljesítményelemzőt a végponton Microsoft Defender víruskereső események teljesítményrögzítéséhez.

    Megjegyzés:

    A Microsoft-Antimalware-Engine típusú Microsoft Defender víruskereső eseményeinek teljesítményét a teljesítményelemző rögzíti.

  2. Elemezze a vizsgálati eredményeket különböző rögzítési jelentések használatával.

Teljesítményelemző használata

A rendszeresemények rögzítésének megkezdéséhez nyissa meg a PowerShellt felügyeleti módban, és hajtsa végre a következő lépéseket:

  1. A felvétel indításához futtassa a következő parancsot:

    New-MpPerformanceRecording -RecordTo <recording.etl>
    

    ahol -RecordTo a paraméter megadja a nyomkövetési fájl mentésének teljes elérési útját. További információ a parancsmagokról: Microsoft Defender Víruskereső parancsmagok.

  2. Ha vannak olyan folyamatok vagy szolgáltatások, amelyekről úgy gondolták, hogy befolyásolják a teljesítményt, a megfelelő feladatok végrehajtásával reprodukálja a helyzetet.

  3. A felvétel leállításához és mentéséhez nyomja le az ENTER billentyűt , a Felvétel megszakításához pedig a Ctrl+C billentyűkombinációt.

  4. Elemezze az eredményeket a teljesítményelemző paraméterével Get-MpPerformanceReport . A parancs Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10végrehajtásakor például a felhasználónak megjelenik a tíz legfontosabb vizsgálat listája, amely a teljesítményt befolyásoló három fájlt tartalmazza.

A parancssori paraméterekkel és beállításokkal kapcsolatos további információkért lásd: New-MpPerformanceRecording és Get-MpPerformanceReport.

Megjegyzés:

Ha egy felvétel futtatásakor a következő hibaüzenet jelenik meg: "Nem indítható el a teljesítmény rögzítése, mert a Windows Teljesítményrögzítő már rögzít", futtassa a következő parancsot a meglévő nyomkövetés leállításához az új paranccsal: wpr -cancel -instancename MSFT_MpPerformanceRecording

Teljesítmény-finomhangolási adatok és információk

A lekérdezés alapján a felhasználó megtekintheti a vizsgálatok számát, időtartamát (összesen/perc/átlag/max/medián), az elérési utat, a folyamatot és a vizsgálat okát. Az alábbi képen mintakimenet látható az első 10 fájl egyszerű lekérdezéséhez a vizsgálati hatás érdekében.

Példa egy egyszerű TopFiles-lekérdezés kimenetére

További funkciók: exportálás és konvertálás CSV-fájllá és JSON-fájllá

A teljesítményelemző eredményei CSV- vagy JSON-fájllá is exportálhatók és konvertálhatók. Az "exportálás" és az "átalakítás" folyamatát mintakódokkal leíró példákért tekintse meg a következő szakaszokat.

A Defender verziójától 4.18.2206.Xkezdődően a felhasználók a "SkipReason" oszlopban megtekinthetik a vizsgálat kihagyására vonatkozó okinformációkat. A lehetséges értékek:

  • Nincs kihagyva
  • Optimalizálás (általában teljesítménybeli okok miatt)
  • Felhasználó kihagyva (általában a felhasználó által beállított kizárások miatt)

CSV esetén

  • Exportálás:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
  • Konvertálás:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

JSON esetén

  • Konvertálás:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

A más adatfeldolgozási rendszerekkel való exportálás gépi olvasásra alkalmas kimenetének biztosítása érdekében javasoljuk, hogy használja -Raw a paramétert a következőhöz Get-MpPerformanceReport: . További részletekért tekintse meg az alábbi szakaszokat.

PowerShell-referencia

Két új PowerShell-parancsmagot használunk a Microsoft Defender víruskereső teljesítményének finomhangolásához:

New-MpPerformanceRecording

A következő szakasz a New-MpPerformanceRecording új PowerShell-parancsmag referenciáját ismerteti. Ez a parancsmag összegyűjti a Microsoft Defender víruskereső vizsgálatainak teljesítményfelvételét.

Szintaxis: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Leírás: New-MpPerformanceRecording

A New-MpPerformanceRecording parancsmag összegyűjti a Microsoft Defender víruskereső vizsgálatainak teljesítményfelvételét. Ezek a teljesítményfelvételek Microsoft-Antimalware-Engine és NT kernelfolyamat-eseményeket tartalmaznak, és a Get-MpPerformanceReport parancsmaggal történő adatgyűjtés után elemezhetők.

Ez a New-MpPerformanceRecording parancsmag betekintést nyújt a problémás fájlokba, amelyek a Microsoft Defender víruskereső teljesítményének romlását okozhatják. Ez az eszköz "AS IS" állapotban érhető el, és nem a kivételekre vonatkozó javaslatok megadására szolgál. A kizárások csökkenthetik a végpontok védelmi szintjét. A kizárásokat ( ha vannak ilyenek) körültekintően kell meghatározni.

A teljesítményelemzőről további információt Teljesítményelemző dokumentációban talál.

Fontos

Ez a parancsmag emelt szintű rendszergazdai jogosultságokat igényel.

Példák: New-MpPerformanceRecording

1. példa: Teljesítményfelvétel gyűjtése és mentése
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

A fenti parancs összegyűjt egy teljesítményfelvételt, és menti a megadott elérési útra: .\Defender-scans.etl.

2. példa: Teljesítményfelvétel gyűjtése távoli PowerShell-munkamenethez
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

A fenti parancs egy teljesítményrögzítést gyűjt a Server02 kiszolgálón (a Session paraméter $s argumentuma által meghatározottak szerint), és menti azt a megadott elérési útra: C:\LocalPathOnServer02\trace.etl a Server02 rendszeren.

Paraméterek: New-MpPerformanceRecording

-RecordTo

Megadja a helyet, ahová menteni szeretné a Microsoft Defender Kártevőirtó teljesítményrögzítést.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Munkamenet

Megadja azt a PSSession objektumot, amelyben a Microsoft Defender víruskereső teljesítményrögzítését létre szeretné hozni és menteni. Ha ezt a paramétert használja, a RecordTo paraméter a távoli gép helyi elérési útjára hivatkozik. A Defender platform 4.18.2201.10-es verziójával érhető el.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

A következő szakasz a Get-MpPerformanceReport PowerShell-parancsmagot ismerteti. Elemzi és jelentéseket készít Microsoft Defender víruskereső teljesítményrögzítéséről.

Szintaxis: Get-MpPerformanceReport

Get-MpPerformanceReport [-Path] <String>
    [-TopScans [<Int32>]]
    [-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
            [-TopScansPerPath [<Int32>]]
            [-TopFilesPerPath [<Int32>]
                    [-TopScansPerFilePerPath [<Int32>]]
                    ]
            [-TopExtensionsPerPath [<Int32>]
                    [-TopScansPerExtensionPerPath [<Int32>]]
                    ]
            [-TopProcessesPerPath [<Int32>]
                    [-TopScansPerProcessPerPath [<Int32>]]
                    ]
            ]
    [-TopFiles [<Int32>]
            [-TopScansPerFile [<Int32>]]
            [-TopProcessesPerFile [<Int32>]
                    [-TopScansPerProcessPerFile [<Int32>]]
                    ]
            ]
    [-TopExtensions [<Int32>]
            [-TopScansPerExtension [<Int32>]
            [-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerExtension [<Int32>]]
                    ]
            [-TopProcessesPerExtension [<Int32>]
                    [-TopScansPerProcessPerExtension [<Int32>]]
                    ]
            [-TopFilesPerExtension [<Int32>]
                    [-TopScansPerFilePerExtension [<Int32>]]
                    ]
            ]
    [-TopProcesses [<Int32>]
            [-TopScansPerProcess [<Int32>]]
            [-TopExtensionsPerProcess [<Int32>]
                    [-TopScansPerExtensionPerProcess [<Int32>]]
                    ]
            [-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerProcess [<Int32>]]
                    ]
            [-TopFilesPerProcess [<Int32>]
                    [-TopScansPerFilePerProcess [<Int32>]]
                    ]
            ]
    [-MinDuration <String>]
    [-Raw]

Leírás: Get-MpPerformanceReport

A Get-MpPerformanceReport parancsmag egy korábban összegyűjtött Microsoft Defender víruskereső teljesítményfelvételét (New-MpPerformanceRecording) elemzi, és jelenti azokat a fájlelérési utakat, fájlkiterjesztéseket és folyamatokat, amelyek a legnagyobb hatással vannak Microsoft Defender víruskereső vizsgálatára.

A teljesítményelemző betekintést nyújt a problémás fájlokba, amelyek a Microsoft Defender víruskereső teljesítményének romlását okozhatják. Ez az eszköz "AS IS" állapotban érhető el, és nem a kivételekre vonatkozó javaslatok megadására szolgál. A kizárások csökkenthetik a végpontok védelmi szintjét. A kizárásokat ( ha vannak ilyenek) körültekintően kell meghatározni.

A teljesítményelemzőről további információt Teljesítményelemző dokumentációban talál.

Támogatott operációsrendszer-verziók:

Windows 10-es és újabb verziók.

Megjegyzés:

Ez a funkció a 4.18.2108.X és újabb platformverziótól kezdve érhető el.

Példák: Get-MpPerformanceReport

1. példa: Egyetlen lekérdezés
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
2. példa: Több lekérdezés
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
3. példa: Beágyazott lekérdezések
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
4. példa: A -MinDuration paraméter használata
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
5. példa: A -Raw paraméter használata
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

A -Raw használata a fenti parancsban azt határozza meg, hogy a kimenetnek géppel olvashatónak kell lennie, és könnyen átalakíthatónak kell lennie szerializálási formátumokra, például JSON-ra.

Paraméterek: Get-MpPerformanceReport

-TopPaths

Felső elérési utakat kérő jelentést kér, és meghatározza, hogy hány felső elérési utat kell kimenetként megadni, időtartam szerint rendezve. A vizsgálatok összesítése az elérési útjuk és a könyvtáruk alapján. A felhasználó megadhatja, hogy az egyes szinteken hány címtár jelenjen meg, és hogy mekkora legyen a kijelölés mélysége.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth

A rekurzív mélységet adja meg, amely az összesített elérési utak eredményeinek csoportosítására és megjelenítésére szolgál. A "C:" például 1 mélységnek felel meg, a "C:\Users\Foo" pedig a 3 mélységnek.

Ez a jelző az összes többi felső elérési út beállításhoz is használható. Ha hiányzik, a rendszer a 3 alapértelmezett értéket feltételezi. Az érték nem lehet 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
Zászló Meghatározás
-TopScansPerPath Meghatározza, hogy az egyes felső elérési utakhoz hány felső vizsgálatot kell megadni.
-TopFilesPerPath Meghatározza, hogy az egyes felső elérési utakhoz hány felső fájlt kell megadni.
-TopScansPerFilePerPath Meghatározza, hogy az egyes felső fájlokhoz hány felső vizsgálat legyen kimenet az egyes felső elérési utakhoz, "Duration" (Időtartam) szerint rendezve
-TopExtensionsPerPath Meghatározza, hogy az egyes felső elérési utakhoz hány felső bővítményt kell kimenetként megadni
-TopScansPerExtensionPerPath Meghatározza, hogy az egyes felső elérési utakhoz hány felső vizsgálat legyen kimenet az egyes felső bővítményekhez
-TopProcessesPerPath Meghatározza, hogy az egyes felső elérési utakhoz hány felső folyamat legyen kimenetként
-TopScansPerProcessPerPath Meghatározza, hogy az egyes felső folyamatokhoz hány felső vizsgálat legyen kimenetként az egyes felső elérési utakhoz
-TopPathsPerExtension Meghatározza, hogy az egyes felső bővítmények hány felső elérési útját kell kimenetként megadni
-TopScansPerPathPerExtension Meghatározza, hogy az egyes felső bővítmények felső elérési útjaihoz hány felső vizsgálat legyen kimenet.
-TopPathsPerProcess Meghatározza, hogy az egyes felső folyamatokhoz hány felső elérési utat kell kimenetként megadni
-TopScansPerPathPerProcess Meghatározza, hogy az egyes felső folyamatokhoz az egyes felső elérési utakhoz hány felső vizsgálat legyen kimenet.
-MinDuration

Meghatározza a jelentésben szereplő fájlok, bővítmények és folyamatok vizsgálatának minimális időtartamát vagy teljes vizsgálati időtartamát; olyan értékeket fogad el, mint a 0,1234567sec, 0,1234 ms, 0,1us vagy érvényes TimeSpan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Elérési út

Megadja egy vagy több hely elérési útját vagy elérési útját.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-Nyers

Meghatározza, hogy a teljesítményrögzítés kimenetének gépi olvashatónak kell lennie, és könnyen átalakíthatónak kell lennie a JSON-hoz hasonló szerializálási formátumokra (például Konvertálás JSON-ra parancson keresztül). Ez a konfiguráció olyan felhasználóknak ajánlott, akik más adatfeldolgozási rendszerekkel szeretnének kötegelt feldolgozást végezni.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensions

Meghatározza, hogy hány felső bővítményt kell kimenetként megadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess

Meghatározza, hogy az egyes felső folyamatokhoz hány felső bővítmény legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiles

Lekér egy legfelső szintű fájlokat tartalmazó jelentést, és megadja, hogy hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess

Meghatározza, hogy az egyes felső folyamatokhoz hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcesses

Lekér egy legfelső szintű jelentést, és meghatározza, hogy hány felső folyamatot kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension

Meghatározza, hogy az egyes felső bővítményekhez hány felső folyamat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile

Meghatározza, hogy az egyes felső fájlokhoz hány felső folyamat legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans

Lekér egy top-scans jelentést, és meghatározza, hogy hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess

Meghatározza, hogy az egyes felső bővítmények esetében hány felső vizsgálat legyen kimenet az egyes felső folyamatokhoz, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile

Meghatározza, hogy az egyes felső fájlokhoz hány vizsgálat legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenetként az egyes felső kiterjesztésekhez, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess

Meghatározza, hogy az egyes legfelső folyamatokhoz hány legfelső szintű vizsgálattal kell kimenetet keresni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess

Meghatározza, hogy a Top Processes (Top Processes) jelentésben az egyes felső folyamatokhoz hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension

Meghatározza, hogy az egyes felső bővítmények egyes felső folyamatainak kimenetét hány felső vizsgálat vizsgálja, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile

Azt adja meg, hogy az egyes felső folyamatokhoz hány legfelső szintű vizsgálattal kell kimenetet keresni az egyes felső fájlokhoz, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

További források

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, tekintse meg a következőt:

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.