Teljesítményelemző Microsoft Defender víruskeresőhöz

A következőkre vonatkozik:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender víruskereső

Platformok

• A Windows

Követelmények

Microsoft Defender víruskereső teljesítményelemzője a következő előfeltételekkel rendelkezik:

• Támogatott Windows-verziók: Windows 10, Windows 11, Windows 2012 R2 modern egyesített megoldással és Windows Server 2016 vagy újabb verzióval
• Platformverzió: 4.18.2108.7 vagy újabb
• PowerShell-verzió: PowerShell 5.1-es verzió, PowerShell ISE, távoli PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Mi az Microsoft Defender víruskereső teljesítményelemzője?

Ha Microsoft Defender víruskeresőt futtató számítógépek teljesítményproblémákat tapasztalnak, a teljesítményelemző használatával javíthatja Microsoft Defender víruskereső teljesítményét. A Windows 10, Windows 11 és Windows Server Microsoft Defender víruskereső teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni azokat a fájlokat, fájlkiterjesztéseket és folyamatokat, amelyek teljesítményproblémákat okozhatnak az egyes végpontokon a víruskereső vizsgálatok során. A teljesítményelemző által gyűjtött információk segítségével felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat.

Ahhoz hasonlóan, ahogyan a mechanika diagnosztikát és szolgáltatást végez a teljesítményproblémákkal rendelkező járműveken, a teljesítményelemző segíthet a Defender víruskereső teljesítményének javításában.

Az elemezendő lehetőségek közé tartoznak a következők:

• A vizsgálati időt befolyásoló leggyakoribb elérési utak
• A vizsgálati időt befolyásoló leggyakoribb fájlok
• A vizsgálati időt befolyásoló legfontosabb folyamatok
• A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
• Kombinációk – például:
  • top files per extension
  • top paths per extension
  • top process per path
  • top scans per file
  • top scans per file per process

Teljesítményelemző futtatása

A teljesítményelemző futtatásának magas szintű folyamata a következő lépésekből áll:

1. Futtassa a teljesítményelemzőt a végponton Microsoft Defender víruskereső események teljesítményrögzítéséhez.

   Megjegyzés:

   A Microsoft-Antimalware-Engine típusú Microsoft Defender víruskereső eseményeinek teljesítményét a teljesítményelemző rögzíti.

2. Elemezze a vizsgálati eredményeket különböző rögzítési jelentések használatával.

Teljesítményelemző használata

A rendszeresemények rögzítésének megkezdéséhez nyissa meg a PowerShellt felügyeleti módban, és hajtsa végre a következő lépéseket:

1. A felvétel indításához futtassa a következő parancsot:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   ahol -RecordTo a paraméter megadja a nyomkövetési fájl mentésének teljes elérési útját. További információ a parancsmagokról: Microsoft Defender Víruskereső parancsmagok.

2. Ha vannak olyan folyamatok vagy szolgáltatások, amelyekről úgy gondolták, hogy befolyásolják a teljesítményt, a megfelelő feladatok végrehajtásával reprodukálja a helyzetet.

3. A felvétel leállításához és mentéséhez nyomja le az ENTER billentyűt , a Felvétel megszakításához pedig a Ctrl+C billentyűkombinációt.

4. Elemezze az eredményeket a teljesítményelemző paraméterével Get-MpPerformanceReport . A parancs Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10végrehajtásakor például a felhasználónak megjelenik a tíz legfontosabb vizsgálat listája, amely a teljesítményt befolyásoló három fájlt tartalmazza.

A parancssori paraméterekkel és beállításokkal kapcsolatos további információkért lásd: New-MpPerformanceRecording és Get-MpPerformanceReport.

Megjegyzés:

Ha egy felvétel futtatásakor a következő hibaüzenet jelenik meg: "Nem indítható el a teljesítmény rögzítése, mert a Windows Teljesítményrögzítő már rögzít", futtassa a következő parancsot a meglévő nyomkövetés leállításához az új paranccsal: wpr -cancel -instancename MSFT_MpPerformanceRecording

Teljesítmény-finomhangolási adatok és információk

A lekérdezés alapján a felhasználó megtekintheti a vizsgálatok számát, időtartamát (összesen/perc/átlag/max/medián), az elérési utat, a folyamatot és a vizsgálat okát. Az alábbi képen mintakimenet látható az első 10 fájl egyszerű lekérdezéséhez a vizsgálati hatás érdekében.

További funkciók: exportálás és konvertálás CSV-fájllá és JSON-fájllá

A teljesítményelemző eredményei CSV- vagy JSON-fájllá is exportálhatók és konvertálhatók. Az "exportálás" és az "átalakítás" folyamatát mintakódokkal leíró példákért tekintse meg a következő szakaszokat.

A Defender verziójától 4.18.2206.Xkezdődően a felhasználók a "SkipReason" oszlopban megtekinthetik a vizsgálat kihagyására vonatkozó okinformációkat. A lehetséges értékek:

• Nincs kihagyva
• Optimalizálás (általában teljesítménybeli okok miatt)
• Felhasználó kihagyva (általában a felhasználó által beállított kizárások miatt)

CSV esetén

• Exportálás:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Konvertálás:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

JSON esetén

• Konvertálás:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

A más adatfeldolgozási rendszerekkel való exportálás gépi olvasásra alkalmas kimenetének biztosítása érdekében javasoljuk, hogy használja -Raw a paramétert a következőhöz Get-MpPerformanceReport: . További részletekért tekintse meg az alábbi szakaszokat.

PowerShell-referencia

Két új PowerShell-parancsmagot használunk a Microsoft Defender víruskereső teljesítményének finomhangolásához:

• New-MpPerformanceRecording
• Get-MpPerformanceReport

New-MpPerformanceRecording

A következő szakasz a New-MpPerformanceRecording új PowerShell-parancsmag referenciáját ismerteti. Ez a parancsmag összegyűjti a Microsoft Defender víruskereső vizsgálatainak teljesítményfelvételét.

Szintaxis: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Leírás: New-MpPerformanceRecording

A New-MpPerformanceRecording parancsmag összegyűjti a Microsoft Defender víruskereső vizsgálatainak teljesítményfelvételét. Ezek a teljesítményfelvételek Microsoft-Antimalware-Engine és NT kernelfolyamat-eseményeket tartalmaznak, és a Get-MpPerformanceReport parancsmaggal történő adatgyűjtés után elemezhetők.

Ez a New-MpPerformanceRecording parancsmag betekintést nyújt a problémás fájlokba, amelyek a Microsoft Defender víruskereső teljesítményének romlását okozhatják. Ez az eszköz "AS IS" állapotban érhető el, és nem a kivételekre vonatkozó javaslatok megadására szolgál. A kizárások csökkenthetik a végpontok védelmi szintjét. A kizárásokat ( ha vannak ilyenek) körültekintően kell meghatározni.

A teljesítményelemzőről további információt Teljesítményelemző dokumentációban talál.

Fontos

Ez a parancsmag emelt szintű rendszergazdai jogosultságokat igényel.

Példák: New-MpPerformanceRecording

1. példa: Teljesítményfelvétel gyűjtése és mentése

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

A fenti parancs összegyűjt egy teljesítményfelvételt, és menti a megadott elérési útra: .\Defender-scans.etl.

2. példa: Teljesítményfelvétel gyűjtése távoli PowerShell-munkamenethez

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

A fenti parancs egy teljesítményrögzítést gyűjt a Server02 kiszolgálón (a Session paraméter $s argumentuma által meghatározottak szerint), és menti azt a megadott elérési útra: C:\LocalPathOnServer02\trace.etl a Server02 rendszeren.

Paraméterek: New-MpPerformanceRecording

-RecordTo

Megadja a helyet, ahová menteni szeretné a Microsoft Defender Kártevőirtó teljesítményrögzítést.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Munkamenet

Megadja azt a PSSession objektumot, amelyben a Microsoft Defender víruskereső teljesítményrögzítését létre szeretné hozni és menteni. Ha ezt a paramétert használja, a RecordTo paraméter a távoli gép helyi elérési útjára hivatkozik. A Defender platform 4.18.2201.10-es verziójával érhető el.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

A következő szakasz a Get-MpPerformanceReport PowerShell-parancsmagot ismerteti. Elemzi és jelentéseket készít Microsoft Defender víruskereső teljesítményrögzítéséről.

Szintaxis: Get-MpPerformanceReport

Get-MpPerformanceReport [-Path] <String>
    [-TopScans [<Int32>]]
    [-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
            [-TopScansPerPath [<Int32>]]
            [-TopFilesPerPath [<Int32>]
                    [-TopScansPerFilePerPath [<Int32>]]
                    ]
            [-TopExtensionsPerPath [<Int32>]
                    [-TopScansPerExtensionPerPath [<Int32>]]
                    ]
            [-TopProcessesPerPath [<Int32>]
                    [-TopScansPerProcessPerPath [<Int32>]]
                    ]
            ]
    [-TopFiles [<Int32>]
            [-TopScansPerFile [<Int32>]]
            [-TopProcessesPerFile [<Int32>]
                    [-TopScansPerProcessPerFile [<Int32>]]
                    ]
            ]
    [-TopExtensions [<Int32>]
            [-TopScansPerExtension [<Int32>]
            [-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerExtension [<Int32>]]
                    ]
            [-TopProcessesPerExtension [<Int32>]
                    [-TopScansPerProcessPerExtension [<Int32>]]
                    ]
            [-TopFilesPerExtension [<Int32>]
                    [-TopScansPerFilePerExtension [<Int32>]]
                    ]
            ]
    [-TopProcesses [<Int32>]
            [-TopScansPerProcess [<Int32>]]
            [-TopExtensionsPerProcess [<Int32>]
                    [-TopScansPerExtensionPerProcess [<Int32>]]
                    ]
            [-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerProcess [<Int32>]]
                    ]
            [-TopFilesPerProcess [<Int32>]
                    [-TopScansPerFilePerProcess [<Int32>]]
                    ]
            ]
    [-MinDuration <String>]
    [-Raw]

Leírás: Get-MpPerformanceReport

A Get-MpPerformanceReport parancsmag egy korábban összegyűjtött Microsoft Defender víruskereső teljesítményfelvételét (New-MpPerformanceRecording) elemzi, és jelenti azokat a fájlelérési utakat, fájlkiterjesztéseket és folyamatokat, amelyek a legnagyobb hatással vannak Microsoft Defender víruskereső vizsgálatára.

A teljesítményelemző betekintést nyújt a problémás fájlokba, amelyek a Microsoft Defender víruskereső teljesítményének romlását okozhatják. Ez az eszköz "AS IS" állapotban érhető el, és nem a kivételekre vonatkozó javaslatok megadására szolgál. A kizárások csökkenthetik a végpontok védelmi szintjét. A kizárásokat ( ha vannak ilyenek) körültekintően kell meghatározni.

A teljesítményelemzőről további információt Teljesítményelemző dokumentációban talál.

Támogatott operációsrendszer-verziók:

Windows 10-es és újabb verziók.

Megjegyzés:

Ez a funkció a 4.18.2108.X és újabb platformverziótól kezdve érhető el.

Példák: Get-MpPerformanceReport

1. példa: Egyetlen lekérdezés

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

2. példa: Több lekérdezés

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

3. példa: Beágyazott lekérdezések

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

4. példa: A -MinDuration paraméter használata

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

5. példa: A -Raw paraméter használata

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

A -Raw használata a fenti parancsban azt határozza meg, hogy a kimenetnek géppel olvashatónak kell lennie, és könnyen átalakíthatónak kell lennie szerializálási formátumokra, például JSON-ra.

Paraméterek: Get-MpPerformanceReport

-TopPaths

Felső elérési utakat kérő jelentést kér, és meghatározza, hogy hány felső elérési utat kell kimenetként megadni, időtartam szerint rendezve. A vizsgálatok összesítése az elérési útjuk és a könyvtáruk alapján. A felhasználó megadhatja, hogy az egyes szinteken hány címtár jelenjen meg, és hogy mekkora legyen a kijelölés mélysége.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

A rekurzív mélységet adja meg, amely az összesített elérési utak eredményeinek csoportosítására és megjelenítésére szolgál. A "C:" például 1 mélységnek felel meg, a "C:\Users\Foo" pedig a 3 mélységnek.

Ez a jelző az összes többi felső elérési út beállításhoz is használható. Ha hiányzik, a rendszer a 3 alapértelmezett értéket feltételezi. Az érték nem lehet 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

Zászló	Meghatározás
-TopScansPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső vizsgálatot kell megadni.
-TopFilesPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső fájlt kell megadni.
-TopScansPerFilePerPath	Meghatározza, hogy az egyes felső fájlokhoz hány felső vizsgálat legyen kimenet az egyes felső elérési utakhoz, "Duration" (Időtartam) szerint rendezve
-TopExtensionsPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső bővítményt kell kimenetként megadni
-TopScansPerExtensionPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső vizsgálat legyen kimenet az egyes felső bővítményekhez
-TopProcessesPerPath	Meghatározza, hogy az egyes felső elérési utakhoz hány felső folyamat legyen kimenetként
-TopScansPerProcessPerPath	Meghatározza, hogy az egyes felső folyamatokhoz hány felső vizsgálat legyen kimenetként az egyes felső elérési utakhoz
-TopPathsPerExtension	Meghatározza, hogy az egyes felső bővítmények hány felső elérési útját kell kimenetként megadni
-TopScansPerPathPerExtension	Meghatározza, hogy az egyes felső bővítmények felső elérési útjaihoz hány felső vizsgálat legyen kimenet.
-TopPathsPerProcess	Meghatározza, hogy az egyes felső folyamatokhoz hány felső elérési utat kell kimenetként megadni
-TopScansPerPathPerProcess	Meghatározza, hogy az egyes felső folyamatokhoz az egyes felső elérési utakhoz hány felső vizsgálat legyen kimenet.

-MinDuration

Meghatározza a jelentésben szereplő fájlok, bővítmények és folyamatok vizsgálatának minimális időtartamát vagy teljes vizsgálati időtartamát; olyan értékeket fogad el, mint a 0,1234567sec, 0,1234 ms, 0,1us vagy érvényes TimeSpan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Elérési út

Megadja egy vagy több hely elérési útját vagy elérési útját.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Nyers

Meghatározza, hogy a teljesítményrögzítés kimenetének gépi olvashatónak kell lennie, és könnyen átalakíthatónak kell lennie a JSON-hoz hasonló szerializálási formátumokra (például Konvertálás JSON-ra parancson keresztül). Ez a konfiguráció olyan felhasználóknak ajánlott, akik más adatfeldolgozási rendszerekkel szeretnének kötegelt feldolgozást végezni.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensions

Meghatározza, hogy hány felső bővítményt kell kimenetként megadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Meghatározza, hogy az egyes felső folyamatokhoz hány felső bővítmény legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiles

Lekér egy legfelső szintű fájlokat tartalmazó jelentést, és megadja, hogy hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Meghatározza, hogy az egyes felső folyamatokhoz hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcesses

Lekér egy legfelső szintű jelentést, és meghatározza, hogy hány felső folyamatot kell kimenetként kiadni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Meghatározza, hogy az egyes felső bővítményekhez hány felső folyamat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Meghatározza, hogy az egyes felső fájlokhoz hány felső folyamat legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Lekér egy top-scans jelentést, és meghatározza, hogy hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Meghatározza, hogy az egyes felső bővítmények esetében hány felső vizsgálat legyen kimenet az egyes felső folyamatokhoz, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Meghatározza, hogy az egyes felső fájlokhoz hány vizsgálat legyen kimenetként, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenetként az egyes felső kiterjesztésekhez, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Meghatározza, hogy az egyes legfelső folyamatokhoz hány legfelső szintű vizsgálattal kell kimenetet keresni, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Meghatározza, hogy a Top Processes (Top Processes) jelentésben az egyes felső folyamatokhoz hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Meghatározza, hogy az egyes felső bővítmények egyes felső folyamatainak kimenetét hány felső vizsgálat vizsgálja, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Azt adja meg, hogy az egyes felső folyamatokhoz hány legfelső szintű vizsgálattal kell kimenetet keresni az egyes felső fájlokhoz, időtartam szerint rendezve.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

További források

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, tekintse meg a következőt:

• Végponthoz készült Microsoft Defender beállítása macOS rendszeren
• Végponthoz készült Microsoft Defender Macen
• MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
• Végponthoz készült Microsoft Defender beállítása Linux rendszeren
• Végponthoz készült Microsoft Defender Linuxon
• Végponthoz készült Defender konfigurálása Android-funkciókon- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.