Raccogliere Microsoft Defender dati di diagnostica antivirus

Questo articolo descrive come raccogliere dati di diagnostica da inviare ai team di supporto e progettazione Microsoft quando consentono di risolvere i problemi relativi a Microsoft Defender Antivirus.

Nota

Come parte del processo di indagine o risposta, è possibile raccogliere un pacchetto di indagine da un dispositivo. Ecco come: Raccogliere il pacchetto di analisi dai dispositivi.

Per i problemi specifici delle prestazioni relativi all'antivirus Microsoft Defender, vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.

In almeno due dispositivi che riscontrano lo stesso problema, usare le procedure seguenti per generare i file di log di diagnostica:

1. Aprire un prompt dei comandi con privilegi elevati (finestra del prompt dei comandi aperta selezionando Esegui come amministratore). Ad esempio:

   1. Aprire il menu Start e quindi digitare cmd.
   2. Fare clic con il pulsante destro del mouse sul risultato del prompt dei comandi e quindi scegliere Esegui come amministratore.

2. Nel prompt dei comandi con privilegi elevati eseguire una delle operazioni seguenti:

   • Salvare i file di log di diagnostica nel dispositivo locale: Eseguire i comandi seguenti:

     Consiglio

     Il primo comando modifica la directory alla versione più recente della <piattaforma> antimalware in %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Se tale percorso non esiste, passa a %ProgramFiles%\Windows Defender.

     (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
     
     MpCmdRun.exe -GetFiles
     

     Per impostazione predefinita, i file di log di diagnostica vengono generati, compressi e salvati nel file C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab nel dispositivo locale.

     Il nome del file .cab è lo stesso in ogni dispositivo.

   • Copiare i file di log di diagnostica in un percorso centrale: per salvare i file di log di diagnostica da più dispositivi in un'unica posizione, usare la sintassi seguente:

     (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
     
     MpCmdRun.exe -GetFiles -SupportLogLocation <RootPath>
     

     I file di log di diagnostica vengono comunque generati, compressi e salvati nel file C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab per impostazione predefinita. Ma il file .cab viene copiato con un nuovo nome in una sottocartella del percorso specificato dal <RootPath> valore ( ad esempio, P:\Data o \\Server01\Data). Il nome file e il percorso del file .cab risultante usano la sintassi seguente: <RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab.

     • <RootPath> è il valore specificato per -SupportLogLocation.
     • <MMDD> è il mese e il giorno in cui è stato eseguito il comando MpCmdRun (ad esempio, 0318 per il 18 marzo).
     • <Hostname> è il nome del dispositivo in cui è stato eseguito il comando MpCmdRun , ad esempio LAPTOP01.
     • <HHMM> è l'ora UTC (Universal Coordinated Time) quando è stato eseguito il comando MpCmdRun (ad esempio 2221 per le 22:21 UTC).

   Nota

   Se non si dispone dell'accesso in scrittura al percorso specificato dal comando, i file di log di diagnostica vengono comunque salvati nel percorso C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab predefinito nel dispositivo locale. Ma l'ultimo passaggio che copia e rinomina il file .cab nel -SupportLogLocation percorso ha esito negativo.

   In questo esempio sono stati eseguiti i comandi seguenti nel dispositivo denominato LAPTOP01 il 18 marzo alle 22:21 UTC:

   (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
   
   MpCmdRun.exe -GetFiles -SupportLogLocation "\\SERVER01\Data"
   

   Il file .cab risultante è disponibile in \\SERVER01\Data\0318\MpSupport-LAPTOP01-2221.cab ed è sicuramente univoco, anche se è stato eseguito il comando MpCmdRun lo stesso giorno in più dispositivi.

3. Dopo alcuni minuti, i file di log di diagnostica vengono generati, compressi e salvati. Il file .cab risultante include le informazioni seguenti:

   • Tutti i file di traccia del servizio Microsoft Antimalware.
   • Log della cronologia Windows Update.
   • Tutti gli eventi del servizio Microsoft Antimalware dal registro eventi di sistema.
   • Tutti i percorsi rilevanti del Registro di sistema del servizio Microsoft Antimalware.
   • File di log di MpCmdRun.
   • File di log dello strumento helper di aggiornamento della firma.

   Copiare i file .cab in un percorso accessibile dal supporto tecnico Microsoft, ad esempio una cartella di OneDrive protetta da password.

Usare Criteri di gruppo per specificare dove vengono copiati i file di log di diagnostica

È possibile usare criteri di gruppo nel dispositivo locale (impostazioni basate sul Registro di sistema) o nell'archivio centrale in un controller di dominio per specificare dove vengono copiati i file di log di diagnostica dopo che sono stati generati nel dispositivo locale. L'impostazione della posizione nei criteri di gruppo elimina la necessità di usare l'opzione -SupportLogLocation nel comando MpCmdRun come descritto nella sezione precedente.

Per impostare il valore SupportLogLocation nei criteri di gruppo, seguire questa procedura:

1. Eseguire uno dei seguenti passaggi:

   • Criteri di gruppo nel dispositivo locale: aprire l'editor Criteri di gruppo locale. Ad esempio:
     1. Aprire il menu Start e quindi digitare Criteri di gruppo.
     2. Fare clic con il pulsante destro del mouse sul risultato modifica criteri di gruppo e quindi scegliere Esegui come amministratore.
   • Criteri di gruppo per il dominio: in un computer di gestione Criteri di gruppo aggiunto a un dominio aprire la Console gestione Criteri di gruppo.
     1. Nell'albero della console Console Gestione Criteri di gruppo espandere Criteri di gruppo Oggetti nella foresta e nel dominio contenente l'oggetto Criteri di gruppo che si desidera modificare.
     2. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi scegliere Modifica.

2. Nell'albero della console passare a Configurazione> computerModelli> amministrativiComponenti>di Windows Microsoft Defender Antivirus.

   

3. Nel riquadro dei dettagli di Microsoft Defender Antivirus aprire Definire il percorso della directory per copiare i file di log di supporto usando uno dei metodi seguenti:

   • Fare doppio clic sull'impostazione.
   • Fare clic con il pulsante destro del mouse sull'impostazione e quindi scegliere Modifica
   • Selezionare l'impostazione e quindi Selezionare Modifica azione>.

4. Nella finestra Definire il percorso della directory per copiare i file di log di supporto visualizzata configurare le opzioni seguenti:

   1. Selezionare Abilitato.
   2. Sezione Opzioni : nella casella Definire il percorso della directory per copiare i file di log del supporto immettere un valore di percorso.

   

   Al termine della finestra Definire il percorso della directory per copiare i file di log di supporto , selezionare OK.

Vedere anche

• Risolvere i problemi relativi alla creazione di report antivirus Microsoft Defender
• Analizzatore prestazioni per Microsoft Defender Antivirus