Teljesítményelemző a Microsoft Defender víruskeresőhöz

A következőkre vonatkozik:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender víruskereső

Platformok

• A Windows

Követelmények

A Microsoft Defender víruskereső teljesítményelemzője a következő előfeltételekkel rendelkezik:

• Támogatott Windows-verziók:
  • Windows 10 rendszer esetén
  • Windows 11
  • Windows Server 2016 és újabb verziók
  • Windows Server 2012 R2 ( modern, egységesített megoldással történő előkészítéskor)
  • Windows Server 2012 R2 esetén a Windows ADK -ra (Windows Performance Toolkit) van szükség. A Windows ADK letöltése és telepítése
• Platformverzió: 4.18.2108.7 vagy újabb
• PowerShell-verzió: PowerShell 5.1-es verzió, PowerShell ISE, távoli PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Mi a Microsoft Defender víruskereső teljesítményelemzője?

Ha a Microsoft Defender víruskeresőt futtató eszközök teljesítményproblémákat tapasztalnak, a teljesítményelemző használatával javíthatja a Microsoft Defender víruskereső teljesítményét. A teljesítményelemző egy PowerShell parancssori eszköz, amely segít meghatározni azokat a fájlokat, fájlkiterjesztéseket és folyamatokat, amelyek teljesítményproblémákat okozhatnak az egyes végpontokon a víruskereső vizsgálatok során. A teljesítményelemző által gyűjtött információk segítségével felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat.

Ahhoz hasonlóan, ahogyan a mechanika diagnosztikát és szolgáltatást végez a teljesítményproblémákkal rendelkező járműveken, a teljesítményelemző segíthet a Microsoft Defender víruskereső teljesítményének javításában.

Az elemezendő lehetőségek közé tartoznak a következők:

• A vizsgálati időt befolyásoló leggyakoribb elérési utak
• A vizsgálati időt befolyásoló leggyakoribb fájlok
• A vizsgálati időt befolyásoló legfontosabb folyamatok
• A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
• Kombinációk – például:
  • top files per extension
  • top paths per extension
  • top process per path
  • top scans per file
  • top scans per file per process

Teljesítményelemző futtatása

A teljesítményelemző futtatásának magas szintű folyamata a következő lépésekből áll:

1. Futtassa a teljesítményelemzőt a Microsoft Defender víruskereső eseményeinek teljesítményrögzítéséhez a végponton.

   Megjegyzés:

   A Microsoft Defender víruskereső ilyen típusú Microsoft-Antimalware-Engine eseményeinek teljesítményét a teljesítményelemző rögzíti.

2. Elemezze a vizsgálati eredményeket különböző rögzítési jelentések használatával.

Teljesítményelemző használata

A rendszeresemények rögzítésének megkezdéséhez nyissa meg a PowerShellt rendszergazdai módban, és hajtsa végre a következő lépéseket:

1. A felvétel indításához futtassa a következő parancsot:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   ahol -RecordTo a paraméter megadja a nyomkövetési fájl mentésének teljes elérési útját. További információ a parancsmagokról: Microsoft Defender víruskereső parancsmagok.

2. Ha vannak olyan folyamatok vagy szolgáltatások, amelyekről úgy gondolták, hogy befolyásolják a teljesítményt, a megfelelő feladatok végrehajtásával reprodukálja a helyzetet.

3. A felvétel leállításához és mentéséhez nyomja le az ENTER billentyűt , a Felvétel megszakításához pedig a Ctrl+C billentyűkombinációt.

4. Elemezze az eredményeket a teljesítményelemző paraméterével Get-MpPerformanceReport . A parancs Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10végrehajtásakor például a felhasználónak megjelenik a tíz legfontosabb vizsgálat listája, amely a teljesítményt befolyásoló három fájlt tartalmazza.

   A parancssori paraméterekkel és beállításokkal kapcsolatos további információkért lásd: New-MpPerformanceRecording és Get-MpPerformanceReport.

Megjegyzés:

Ha egy felvétel futtatásakor a következő hibaüzenet jelenik meg: "A teljesítményrögzítés nem indítható el, mert a Windows Teljesítményrögzítő már rögzít", futtassa a következő parancsot a meglévő nyomkövetés leállításához az új paranccsal: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Teljesítmény-finomhangolási adatok és információk

A lekérdezés alapján a felhasználó megtekintheti a vizsgálatok számát, időtartamát (összesen/perc/átlag/max/medián), az elérési utat, a folyamatot és a vizsgálat okát. Az alábbi képen mintakimenet látható az első 10 fájl egyszerű lekérdezéséhez a vizsgálati hatás érdekében.

Exportálás és konvertálás CSV-fájllá és JSON-fájllá

A teljesítményelemző eredményei CSV- vagy JSON-fájllá is exportálhatók és konvertálhatók. Ez a cikk példákat tartalmaz, amelyek az "exportálás" és a "konvertálás" folyamatát írják le mintakóddal.

A Defender verziójától 4.18.2206.Xkezdve a felhasználók megtekinthetik a vizsgálat kihagyására vonatkozó okinformációkat az oszlopban SkipReason . A lehetséges értékek:

• Nincs kihagyva
• Optimalizálás (általában teljesítménybeli okok miatt)
• Felhasználó kihagyva (általában a felhasználó által beállított kizárások miatt)

CSV esetén

• Exportálás:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Konvertálás:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

JSON esetén

• Konvertálás:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

A más adatfeldolgozási rendszerekkel való exportálás gépi olvasásra alkalmas kimenetének biztosítása érdekében javasoljuk, hogy használja -Raw a paramétert a következőhöz Get-MpPerformanceReport: . További részletekért tekintse meg az alábbi szakaszokat.

PowerShell-referencia

A Microsoft Defender víruskereső teljesítményének finomhangolásához két új PowerShell-parancsmag használható:

• New-MpPerformanceRecording
• Get-MpPerformanceReport

New-MpPerformanceRecording

A következő szakasz az új PowerShell-parancsmag New-MpPerformanceRecordingreferenciáját ismerteti. Ez a parancsmag a Microsoft Defender víruskereső vizsgálatainak teljesítményfelvételét gyűjti össze.

Szintaxis: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Leírás: New-MpPerformanceRecording

A New-MpPerformanceRecording parancsmag összegyűjti a Microsoft Defender víruskereső vizsgálatainak teljesítményfelvételét. Ezek a teljesítményfelvételek Microsoft-Antimalware-Engine és NT kernelfolyamat-eseményeket tartalmaznak, és a Get-MpPerformanceReport parancsmaggal történő adatgyűjtés után elemezhetők.

Ez a New-MpPerformanceRecording parancsmag betekintést nyújt azokba a problémás fájlokba, amelyek a Microsoft Defender víruskereső teljesítményének romlását okozhatják. Ez az eszköz "adott állapotban" érhető el, és nem a kivételekre vonatkozó javaslatok megadására szolgál. A kizárások csökkenthetik a végpontok védelmi szintjét. A kizárásokat ( ha vannak ilyenek) körültekintően kell meghatározni.

A teljesítményelemzőről további információt a Teljesítményelemző dokumentációjában talál.

Fontos

Ez a parancsmag emelt szintű rendszergazdai jogosultságokat igényel.

Példák: New-MpPerformanceRecording

1. példa: Teljesítményfelvétel gyűjtése és mentése

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

A parancs összegyűjti a teljesítményrögzítést, és menti a megadott elérési útra: .\Defender-scans.etl.

2. példa: Teljesítményfelvétel gyűjtése távoli PowerShell-munkamenethez

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

A parancs egy teljesítményrögzítést gyűjt be (Server02a Session paraméter $s argumentumban megadottak szerint), és menti a megadott elérési útra: C:\LocalPathOnServer02\trace.etl .Server02

Paraméterek: New-MpPerformanceRecording

-RecordTo

Itt adhatja meg a Microsoft Defender kártevőirtó teljesítményrögzítésének mentési helyét.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Ülésszak

PSSession A Microsoft Defender víruskereső teljesítményrögzítésének létrehozásához és mentéséhez használt objektumot adja meg. A parancs használatakor a paraméter a RecordTo távoli gép helyi elérési útjára hivatkozik. A Defender platformverzióval és újabb verzióval 4.18.2201.10 érhető el.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

A következő szakasz a Get-MpPerformanceReport PowerShell-parancsmagot ismerteti. Elemzések és jelentések a Microsoft Defender víruskereső teljesítményrögzítéséről.

Szintaxis: Get-MpPerformanceReport

    Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile 
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath 
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>] 
    [-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>] 
    [-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>] 
    [-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>] 
    [-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>] 
    [-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>] 
    [-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>] 
    [-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>] 
    [-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw] 
    [<CommonParameters>]

Leírás: Get-MpPerformanceReport

A Get-MpPerformanceReport parancsmag elemzi a Korábban összegyűjtött Microsoft Defender víruskereső teljesítményfelvételét (New-MpPerformanceRecording), és jelenti azokat a fájlelérési utakat, fájlkiterjesztéseket és folyamatokat, amelyek a legnagyobb hatással vannak a Microsoft Defender víruskereső vizsgálatára.

A teljesítményelemző betekintést nyújt a problémás fájlokba, amelyek a Microsoft Defender víruskereső teljesítményének romlását okozhatják. Ez az eszköz "adott állapotban" érhető el, és nem a kivételekre vonatkozó javaslatok megadására szolgál. A kizárások csökkenthetik a végpontok védelmi szintjét. A kizárásokat ( ha vannak ilyenek) körültekintően kell meghatározni.

A teljesítményelemzőről további információt a Teljesítményelemző dokumentációjában talál.

Támogatott operációsrendszer-verziók:

Windows 10-es és újabb verziók.

Megjegyzés:

Ez a funkció a platformverziótól és újabb verzióktól 4.18.2108.X kezdve érhető el.

Példák: Get-MpPerformanceReport

1. példa: Egyetlen lekérdezés

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

2. példa: Több lekérdezés

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

3. példa: Beágyazott lekérdezések

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

4. példa: A -MinDuration paraméter használata

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

5. példa: A -Raw paraméter használata

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

A parancs -Raw használata azt határozza meg, hogy a kimenetnek géppel olvashatónak kell lennie, és könnyen átalakíthatónak kell lennie szerializálási formátumokra, például JSON-ra.

Paraméterek: Get-MpPerformanceReport

-TopPaths

Egy felső elérési utakat kérő jelentést kér, és meghatározza, hogy hány felső elérési út legyen kimenetként, időtartam szerint rendezve. A vizsgálatok összesítése az elérési útjuk és a könyvtáruk alapján. A felhasználó megadhatja, hogy az egyes szinteken hány címtár jelenjen meg, és hogy mekkora legyen a kijelölés mélysége.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

A rekurzív mélységet adja meg, amely az összesített elérési utak eredményeinek csoportosítására és megjelenítésére szolgál. Például C:\ egy 1 mélységnek felel meg, a C:\Users\Foo mélysége pedig 3.

Ez a jelző az összes többi felső elérési út beállításhoz is használható. Ha hiányzik, a rendszer a 3 alapértelmezett értéket feltételezi. Az érték nem lehet 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

zászló	definíció
-TopScansPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső vizsgálatot kell megadni.
-TopFilesPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső fájlt kell megadni.
-TopScansPerFilePerPath	Meghatározza, hogy az egyes felső fájlokhoz hány felső vizsgálat legyen kimenet az egyes felső elérési utakhoz, "Duration" (Időtartam) szerint rendezve
-TopExtensionsPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső bővítményt kell kimenetként megadni
-TopScansPerExtensionPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső vizsgálat legyen kimenet az egyes felső bővítményekhez
-TopProcessesPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső folyamat legyen kimenetként
-TopScansPerProcessPerPath	Meghatározza, hogy az egyes felső folyamatokhoz hány felső vizsgálat legyen kimenetként az egyes felső elérési utakhoz
-TopPathsPerExtension	Meghatározza, hogy az egyes felső bővítmények hány felső elérési útját kell kimenetként megadni
-TopScansPerPathPerExtension	Meghatározza, hogy az egyes felső bővítmények felső elérési útjaihoz hány felső vizsgálat legyen kimenet.
-TopPathsPerProcess	Meghatározza, hogy az egyes felső folyamatokhoz hány felső elérési utat kell kimenetként megadni
-TopScansPerPathPerProcess	Meghatározza, hogy az egyes felső folyamatokhoz az egyes felső elérési utakhoz hány felső vizsgálat legyen kimenet.

-MinDuration

Meghatározza a jelentésben szereplő fájlok, bővítmények és folyamatok vizsgálatának minimális időtartamát vagy teljes vizsgálati időtartamát; olyan értékeket fogad el, mint a 0.1234567sec, 0.1234ms, 0.1usvagy egy érvényes TimeSpan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Ösvény

Megadja egy vagy több hely elérési útját vagy elérési útját.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Nyers

Meghatározza, hogy a teljesítményrögzítés kimenetének gépi olvashatónak kell lennie, és könnyen átalakíthatónak kell lennie a JSON-hoz hasonló szerializálási formátumokra (például Konvertálás JSON-ra parancson keresztül). Ez a konfiguráció olyan felhasználóknak ajánlott, akik más adatfeldolgozási rendszerekkel szeretnének kötegelt feldolgozást végezni.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensions

Meghatározza, hogy hány felső kiterjesztést kell kimenetként megadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Meghatározza, hogy az egyes felső folyamatokhoz hány felső bővítményt kell kimenetként megadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiles

Lekér egy legfelső szintű fájlokat tartalmazó jelentést, és meghatározza, hogy hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Meghatározza, hogy az egyes felső folyamatokhoz hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcesses

Egy legfelső szintű jelentést kér le, és meghatározza, hogy a legfelülre ugró folyamatok közül hányat kell kimenetként megadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Meghatározza, hogy az egyes felső bővítményekhez hány felső folyamat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Meghatározza, hogy az egyes felső fájlokhoz hány felső folyamat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Lekér egy top-scans jelentést, és meghatározza, hogy hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenet az egyes felső folyamatokhoz, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Meghatározza, hogy az egyes felső fájlokhoz hány vizsgálat legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenetként az egyes felső kiterjesztésekhez, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Meghatározza, hogy az egyes legfelső folyamatokhoz hány legfelső szintű vizsgálattal kell kimenetet keresni az egyes felső folyamatokhoz, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Meghatározza, hogy a top folyamatok jelentésében hány felső vizsgálat legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Meghatározza, hogy az egyes felső bővítmények egyes felső folyamatainak kimenetét hány felső vizsgálat vizsgálja, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Azt adja meg, hogy az egyes felső folyamatokhoz hány legfelső szintű vizsgálat nyitható meg az egyes felső fájlokhoz, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.