Risolvere i problemi di prestazioni correlati alla protezione in tempo reale

Si applica a:

Piattaforme

  • Windows

Se il sistema presenta un utilizzo elevato della CPU o problemi di prestazioni correlati al servizio di protezione in tempo reale in Microsoft Defender per endpoint, è possibile inviare un ticket al supporto tecnico Microsoft. Seguire la procedura descritta in Raccogliere Microsoft Defender dati di diagnostica antivirus.

Gli amministratori possono anche risolvere questi problemi autonomamente.

In primo luogo, è possibile verificare se il problema è causato da un altro software. Leggere Check with vendor for antivirus exclusions (Controlla con il fornitore per le esclusioni antivirus).

In caso contrario, è possibile identificare il software correlato al problema di prestazioni identificato seguendo la procedura descritta in Analizzare il log di Microsoft Protection.

È anche possibile fornire log aggiuntivi per l'invio al supporto tecnico Microsoft seguendo la procedura descritta in:

Per problemi specifici delle prestazioni correlati all'antivirus Microsoft Defender, vedere: Analizzatore prestazioni per Microsoft Defender Antivirus

Rivolgersi al fornitore per verificare la presenza di esclusioni antivirus

Se è possibile identificare facilmente il software che influisce sulle prestazioni del sistema, passare al centro di knowledge base o supporto tecnico del fornitore del software. Search se hanno raccomandazioni sulle esclusioni antivirus. Se il sito Web del fornitore non li ha, è possibile aprire un ticket di supporto con loro e chiedere loro di pubblicarne uno.

È consigliabile che i fornitori di software seguano le varie linee guida in Collaborazione con il settore per ridurre al minimo i falsi positivi. Il fornitore può inviare il software tramite il portale di Intelligence di sicurezza Microsoft.

Analizzare il log di Microsoft Protection

Il file di log della protezione Microsoft è disponibile in C:\ProgramData\Microsoft\Windows Defender\Support.

In MPLog-xxxxxxxx-xxxxxx.log è possibile trovare le informazioni sull'impatto stimato sulle prestazioni dell'esecuzione del software come EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%



Nome del campo Descrizione
ProcessImageName Nome dell'immagine di elaborazione
TotalTime Durata cumulativa in millisecondi per le analisi dei file a cui accede questo processo
Conteggio Numero di file analizzati a cui accede questo processo
MaxTime Durata in millisecondi dell'analisi singola più lunga di un file a cui accede questo processo
MaxTimeFile Percorso del file a cui si accede da questo processo per il quale è stata registrata l'analisi più lunga della MaxTime durata
EstimatedImpact Percentuale di tempo impiegato nelle analisi per i file a cui accede questo processo al di fuori del periodo in cui questo processo ha sperimentato l'attività di analisi

Se l'impatto sulle prestazioni è elevato, provare ad aggiungere il processo alle esclusioni percorso/processo seguendo la procedura descritta in Configurare e convalidare le esclusioni per le analisi antivirus Microsoft Defender.

Se il passaggio precedente non risolve il problema, è possibile raccogliere altre informazioni tramite Monitoraggio processi o Windows Performance Recorder nelle sezioni seguenti.

Acquisire i log dei processi usando Monitoraggio processi

Process Monitor (ProcMon) è uno strumento di monitoraggio avanzato in grado di mostrare i processi in tempo reale. È possibile usarlo per acquisire il problema di prestazioni così come si verifica.

  1. Scaricare Process Monitor v3.89 in una cartella come C:\temp.

  2. Per rimuovere il segno del file del Web:

    1. Fare clic con il pulsante destro del mouse suProcessMonitor.zip e scegliere Proprietà.
    2. Nella scheda Generale cercare Sicurezza.
    3. Selezionare la casella accanto a Sblocca.
    4. Selezionare Applica.

    Pagina Rimuovi MOTW

  3. Decomprimere il file in in C:\temp modo che il percorso della cartella sia C:\temp\ProcessMonitor.

  4. CopiareProcMon.exe nel client Windows o nel server Windows che si sta risolvendo.

  5. Prima di eseguire ProcMon, verificare che tutte le altre applicazioni non correlate al problema di utilizzo elevato della CPU siano chiuse. In questo modo si ridurrà al minimo il numero di processi da controllare.

  6. È possibile avviare ProcMon in due modi.

    1. Fare clic con il pulsante destro del mouse suProcMon.exee scegliere Esegui come amministratore.

      Poiché la registrazione viene avviata automaticamente, selezionare l'icona della lente di ingrandimento per arrestare l'acquisizione corrente o usare i tasti di scelta rapida CTRL+E.

      Icona della lente di ingrandimento

      Per verificare di aver arrestato l'acquisizione, verificare che l'icona della lente di ingrandimento sia ora visualizzata con una X rossa.

      Barra rossa

      Quindi, per cancellare l'acquisizione precedente, selezionare l'icona della gomma.

      Icona cancella

      In alternativa, usare i tasti di scelta rapida CTRL+X.

    2. Il secondo modo consiste nell'eseguire la riga di comando come amministratore, quindi dal percorso di Monitoraggio processi eseguire:

      Processo cmd

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Consiglio

      Rendi la finestra ProcMon il più piccola possibile durante l'acquisizione dei dati in modo da poter avviare e arrestare facilmente la traccia.

      Pagina che visualizza un procmon ridotto a icona

  7. Dopo aver seguito una delle procedure nel passaggio 6, verrà visualizzata un'opzione per impostare i filtri. Seleziona OK. È sempre possibile filtrare i risultati al termine dell'acquisizione.

    Pagina in cui si sceglie Escludi sistema come nome del processo di filtro

  8. Per avviare l'acquisizione, selezionare di nuovo l'icona della lente di ingrandimento.

  9. Riprodurre il problema.

    Consiglio

    Attendere che il problema venga riprodotto completamente, quindi prendere nota del timestamp all'avvio della traccia.

  10. Dopo aver eseguito due o quattro minuti di attività del processo durante la condizione di utilizzo elevato della CPU, arrestare l'acquisizione selezionando l'icona della lente di ingrandimento.

  11. Per salvare l'acquisizione con un nome univoco e con il formato pml, selezionare File e quindi salva. Assicurarsi di selezionare i pulsanti di opzione Tutti gli eventi e ILM (Native Process Monitor Format).

    Pagina delle impostazioni di salvataggio

  12. Per un rilevamento migliore, modificare il percorso predefinito da C:\temp\ProcessMonitor\LogFile.PML a C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML dove:

    • %ComputerName% è il nome del dispositivo
    • MMDDYEAR è il mese, il giorno e l'anno
    • Repro_of_issue è il nome del problema che si sta tentando di riprodurre

    Consiglio

    Se si dispone di un sistema funzionante, è possibile ottenere un log di esempio da confrontare.

  13. Comprimere il file con estensione pml e inviarlo al supporto tecnico Microsoft.

Acquisire i log delle prestazioni usando Registrazione prestazioni Windows

Puoi usare Windows Performance Recorder (WPR) per includere informazioni aggiuntive nell'invio al supporto Tecnico Microsoft. WPR è un potente strumento di registrazione che crea la traccia eventi per le registrazioni di Windows.

WPR fa parte di Windows Assessment and Deployment Kit (Windows ADK) e può essere scaricato da Scaricare e installare Windows ADK. È anche possibile scaricarlo come parte di Windows 10 Software Development Kit all'indirizzo Windows 10 SDK.

È possibile usare l'interfaccia utente WPR seguendo la procedura descritta in Acquisire i log delle prestazioni usando l'interfaccia utente di WPR.

In alternativa, è anche possibile usare lo strumento da riga di comando wpr.exe, disponibile in Windows 8 e versioni successive, seguendo la procedura descritta in Acquisire i log delle prestazioni usando l'interfaccia della riga di comando wpr.

Acquisire i log delle prestazioni usando l'interfaccia utente wpr

Consiglio

Se questo problema si verifica in più dispositivi, usare quello con la maggior quantità di RAM.

  1. Scaricare e installare WPR.

  2. In Windows Kits fare clic con il pulsante destro del mouse su Windows Performance Recorder.

    Menu Start

    Selezionare Altro. Selezionare Esegui come amministratore.

  3. Quando viene visualizzata la finestra di dialogo Controllo account utente, selezionare .

    Pagina Controllo dell'account utente

  4. Scaricare quindi il profilo di analisi Microsoft Defender per endpoint e salvare come MDAV.wprp in una cartella come C:\temp.

  5. Nella finestra di dialogo WPR selezionare Altre opzioni.

    Pagina in cui è possibile selezionare altre opzioni

  6. Selezionare Aggiungi profili e passare al percorso del MDAV.wprp file.

  7. Successivamente, verrà visualizzato un nuovo profilo impostato in Misure personalizzate denominate Microsoft Defender per endpoint'analisi sottostante.

    Il file in-file

    Avviso

    Se Windows Server ha 64 GB di RAM o più, usare la misurazione Microsoft Defender for Endpoint analysis for large servers personalizzata anziché Microsoft Defender for Endpoint analysis. In caso contrario, il sistema potrebbe utilizzare una quantità elevata di memoria del pool non di paging o buffer che possono causare instabilità del sistema. È possibile scegliere i profili da aggiungere espandendo Analisi risorse. Questo profilo personalizzato fornisce il contesto necessario per un'analisi approfondita delle prestazioni.

  8. Per usare la misurazione personalizzata Microsoft Defender per endpoint profilo di analisi dettagliata nell'interfaccia utente WPR:

    1. Assicurarsi che non siano selezionati profili nei gruppi Valutazione di primo livello, Analisi risorse e Analisi dello scenario .
    2. Selezionare Misure personalizzate.
    3. Selezionare Microsoft Defender per endpoint analisi.
    4. Selezionare Dettagliato in Livello di dettaglio .
    5. Selezionare File o Memoria in Modalità di registrazione.

    Importante

    È consigliabile selezionare File per usare la modalità di registrazione file se il problema di prestazioni può essere riprodotto direttamente dall'utente. La maggior parte dei problemi rientra in questa categoria. Tuttavia, se l'utente non riesce a riprodurre direttamente il problema, ma può facilmente notarlo quando si verifica il problema, l'utente deve selezionare Memoria per usare la modalità di registrazione della memoria. In questo modo si garantisce che il log di traccia non si ingrandirà eccessivamente a causa del tempo di esecuzione lungo.

  9. A questo momento si è pronti per raccogliere dati. Chiudere tutte le applicazioni che non sono rilevanti per la riproduzione del problema di prestazioni. È possibile selezionare Nascondi opzioni per mantenere piccolo lo spazio occupato dalla finestra WPR.

    Opzioni Nascondi

    Consiglio

    Provare ad avviare la traccia in base al numero intero di secondi. Ad esempio, 01:30:00. In questo modo sarà più semplice analizzare i dati. Provare anche a tenere traccia del timestamp di esattamente quando il problema viene riprodotto.

  10. Selezionare Start.

    Pagina Delle informazioni sul sistema di registrazione

  11. Riprodurre il problema.

    Consiglio

    Mantenere la raccolta dati a non più di cinque minuti. Da due a tre minuti è un intervallo valido perché vengono raccolti molti dati.

  12. Selezionare Salva.

    Opzione Salva

  13. Compilare Digitare una descrizione dettagliata del problema: con informazioni sul problema e sul modo in cui è stato riprodotto il problema.

    Riquadro in cui si compila

    1. Selezionare Nome file: per determinare dove verrà salvato il file di traccia. Per impostazione predefinita, viene salvato in %user%\Documents\WPR Files\.
    2. Selezionare Salva.
  14. Attendere l'unione della traccia.

    La traccia generale di raccolta WPR

  15. Dopo aver salvato la traccia, selezionare Apri cartella.

    Pagina che visualizza la notifica che la traccia WPR è stata salvata

    Includere sia il file che la cartella nell'invio a supporto tecnico Microsoft.

    Dettagli del file e della cartella

Acquisire i log delle prestazioni usando l'interfaccia della riga di comando wpr

Lo strumento da riga di comando wpr.exe fa parte del sistema operativo a partire da Windows 8. Per raccogliere una traccia WPR usando lo strumento da riga di comando wpr.exe:

  1. Scaricare Microsoft Defender per endpoint profilo di analisi per le tracce delle prestazioni in un file denominato MDAV.wprp in una directory locale, ad C:\tracesesempio .

  2. Fare clic con il pulsante destro del mouse sull'icona del menu Start e scegliere Windows PowerShell (Amministrazione) o Prompt dei comandi (Amministrazione) per aprire una finestra del prompt dei comandi Amministrazione.

  3. Quando viene visualizzata la finestra di dialogo Controllo account utente, selezionare .

  4. Al prompt con privilegi elevati eseguire il comando seguente per avviare una traccia delle prestazioni Microsoft Defender per endpoint:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    

    Avviso

    Se Windows Server ha almeno 64 GB di RAM, usa i profili WDForLargeServers.Light e WDForLargeServers.Verbose anziché i profili WD.Light e WD.Verbose, rispettivamente. In caso contrario, il sistema potrebbe utilizzare una quantità elevata di memoria del pool non di paging o buffer che possono causare instabilità del sistema.

  5. Riprodurre il problema.

    Consiglio

    Mantenere la raccolta dati non superiore a cinque minuti. A seconda dello scenario, da due a tre minuti è un intervallo valido poiché vengono raccolti molti dati.

  6. Al prompt con privilegi elevati eseguire il comando seguente per arrestare la traccia delle prestazioni, assicurandosi di fornire informazioni sul problema e sulla modalità di riproduzione del problema:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. Attendere fino a quando la traccia non viene unita.

  8. Includere sia il file che la cartella nell'invio al supporto tecnico Microsoft.

Consiglio

Suggerimento per le prestazioni A causa di una serie di fattori (esempi elencati di seguito) Microsoft Defender Antivirus, come altri software antivirus, può causare problemi di prestazioni nei dispositivi endpoint. In alcuni casi, potrebbe essere necessario ottimizzare le prestazioni di Microsoft Defender Antivirus per ridurre tali problemi di prestazioni. Analizzatore prestazioni di Microsoft è uno strumento da riga di comando di PowerShell che consente di determinare quali file, percorsi di file, processi ed estensioni di file potrebbero causare problemi di prestazioni; Alcuni esempi sono:

  • Percorsi principali che influiscono sul tempo di analisi
  • File principali che influiscono sul tempo di analisi
  • Principali processi che influiscono sul tempo di analisi
  • Principali estensioni di file che influiscono sul tempo di analisi
  • Combinazioni, ad esempio:
    • file principali per estensione
    • percorsi principali per estensione
    • processi principali per percorso
    • analisi principali per file
    • analisi principali per file per processo

È possibile usare le informazioni raccolte tramite Analizzatore prestazioni per valutare meglio i problemi di prestazioni e applicare azioni correttive. Vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.