Condividi tramite


Raccolta di dati per la risoluzione avanzata dei problemi in Windows

Si applica a:

Quando si collabora con i professionisti del supporto tecnico Microsoft, potrebbe essere richiesto di usare l'analizzatore client per raccogliere dati per la risoluzione dei problemi di scenari più complessi. Lo script dell'analizzatore supporta altri parametri a tale scopo e può raccogliere un set di log specifico in base ai sintomi osservati che devono essere esaminati.

Eseguire MDEClientAnalyzer.cmd /? per visualizzare l'elenco dei parametri disponibili e la relativa descrizione:

Parametri per MDEClientAnalyzer.cmd

Opzione Descrizione Quando si usano Processo di risoluzione dei problemi.
-h Chiama Windows Performance Recorder per raccogliere una traccia dettagliata delle prestazioni generali oltre al set di log standard. Avvio/avvio dell'applicazione lento. Quando si fa clic su un pulsante dell'app, si impiegano x secondi in più. Uno dei seguenti:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Chiama in Windows Monitor prestazioni predefinito per raccogliere una traccia di perfmon leggera. Questo scenario può essere utile quando si diagnosticano problemi di riduzione lenta delle prestazioni che si verificano nel tempo ma difficili da riprodurre su richiesta. Risoluzione dei problemi relativi alle prestazioni dell'applicazione che potrebbero risultare lente per la riproduzione (manifesto). È consigliabile acquisire fino a tre minuti (al massimo cinque minuti), perché il set di dati potrebbe diventare troppo grande. Uno dei seguenti:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Chiama il monitoraggio dei processi per il monitoraggio avanzato del file system, del Registro di sistema e dell'attività di processo/thread in tempo reale. Ciò è particolarmente utile per la risoluzione dei vari scenari di compatibilità delle applicazioni. Monitoraggio processi (ProcMon) per avviare una traccia di avvio durante l'analisi di un problema correlato al ritardo di avvio di un driver o di un servizio o di un'applicazione. Oppure applicazioni ospitate in una condivisione di rete che non usano il blocco opportunistico SMB (Oplock) causando correttamente problemi di compatibilità delle applicazioni. Uno dei seguenti:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Chiama il comando netsh.exe predefinito per avviare una traccia di rete e Windows Firewall utile per la risoluzione di vari problemi correlati alla rete. Durante la risoluzione dei problemi relativi alla rete, ad esempio i problemi di telemetria EDR di Defender per endpoint o di invio di dati CnC. Microsoft Defender problemi di segnalazione di Antivirus Cloud Protection (MAPS). Problemi correlati alla protezione della rete e così via. Uno dei processi seguenti:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b -c Come ma la traccia di monitoraggio del processo verrà avviata durante l'avvio successivo e arrestata solo quando -b viene nuovamente usato. Monitoraggio processi (ProcMon) per avviare una traccia di avvio durante l'analisi di un problema correlato al ritardo di avvio di un driver o di un servizio o di un'applicazione. Questo scenario può essere usato anche per analizzare un avvio lento o un accesso lento. Uno dei processi seguenti:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Chiama Windows Performance Recorder per raccogliere la traccia client di Defender AV (AM-Engine e AM-Service) per l'analisi dei problemi di connettività cloud antivirus. Durante la risoluzione degli errori di segnalazione di Cloud Protection (MAPS). MsMpEng.exe
-a Chiama Windows Performance Recorder per raccogliere una traccia dettagliata delle prestazioni specifica per l'analisi dei problemi di CPU elevata correlati al processo antivirus (MsMpEng.exe). Durante la risoluzione dei problemi di utilizzo elevato della CPU con Microsoft Defender Antivirus (file eseguibile del servizio Antimalware o MsMpEng.exe) se è già stato usato il analizzatore prestazioni antivirus Microsoft Defender per limitare l'estensione /path/process o /path o file che contribuisce all'utilizzo elevato della CPU. Questo scenario consente di analizzare ulteriormente le operazioni eseguite dall'applicazione o dal servizio per contribuire all'utilizzo elevato della CPU. MsMpEng.exe
-v Usa l'antivirusMpCmdRun.exe argomento della riga di comando con i flag di traccia più dettagliati. Ogni volta che è necessaria una risoluzione dei problemi avanzata. Ad esempio durante la risoluzione degli errori di segnalazione di Cloud Protection (MAPS), errori di aggiornamento della piattaforma, errori di aggiornamento del motore, errori di aggiornamento di Security Intelligence, falsi negativi e così via. Può essere usato anche con -b, -c, -ho -l. MsMpEng.exe
-t Avvia la traccia dettagliata di tutti i componenti lato client rilevanti per la prevenzione della perdita dei dati dell'endpoint, utile per gli scenari in cui le azioni DLP non si verificano come previsto per i file. Quando si verificano problemi in cui non si verificano le azioni di prevenzione della perdita dei dati (DLP) di Microsoft Endpoint previste. MpDlpService.exe
-q Chiama in DLPDiagnose.ps1 script dalla directory dell'analizzatore Tools che convalida la configurazione e i requisiti di base per la prevenzione della perdita dei dati degli endpoint. Verifica la configurazione e i requisiti di base per la prevenzione della perdita dei dati di Microsoft Endpoint MpDlpService.exe
-d Raccoglie un dump di memoria (MsSenseS.exeil processo del sensore in Windows Server 2016 o nel sistema operativo precedente) e i processi correlati. - * Questo flag può essere usato con i flag indicati in precedenza. - ** L'acquisizione di un dump di memoria di processi protetti da PPL , ad MsSense.exe esempio o MsMpEng.exe non è attualmente supportata dall'analizzatore. In Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 o Windows Server 2016 in esecuzione con l'agente MMA e con prestazioni (utilizzo elevato della cpu o memoria elevata) o problemi di compatibilità delle applicazioni. MsSenseS.exe
-z Configura le chiavi del Registro di sistema nel computer per prepararle per la raccolta completa di dump della memoria del computer tramite CrashOnCtrlScroll. Ciò sarebbe utile per l'analisi dei problemi di blocco del computer. * Tenere premuto il tasto CTRL all'estrema destra, quindi premere due volte il tasto SCROLL LOCK. La macchina è bloccata o non risponde o è lenta. Utilizzo elevato della memoria (perdita di memoria): a) Modalità utente: byte privati b) Modalità kernel: pool di paging o memoria del pool non di paging, gestire le perdite. MSSense.exe o MsMpEng.exe
-k Usa lo strumento NotMyFault per forzare l'arresto anomalo del sistema e generare un dump della memoria del computer. Ciò sarebbe utile per l'analisi di vari problemi di stabilità del sistema operativo. Come sopra. MSSense.exe o MsMpEng.exe

L'analizzatore e tutti i flag di scenario elencati in questo articolo possono essere avviati in remoto eseguendo RemoteMDEClientAnalyzer.cmd, incluso anche nel set di strumenti dell'analizzatore:

Parametri per RemoteMDEClientAnalyzer.cmd

Nota

Quando si usa un parametro di risoluzione dei problemi avanzato, l'analizzatore chiama anche inMpCmdRun.exe per raccogliere Microsoft Defender log di supporto correlati all'antivirus. È possibile usare il -g flag per convalidare gli URL per un'area data center specifica anche senza essere caricati in tale area
Ad esempio, MDEClientAnalyzer.cmd -g EU forza l'analizzatore a testare gli URL cloud nell'area Europa.

Alcuni punti da tenere a mente

Quando si usa RemoteMDEClientAnalyzer.cmd, viene chiamato in psexec per scaricare lo strumento dalla condivisione file configurata e quindi eseguirlo in locale tramite PsExec.exe.

Lo script CMD usa il -r flag per specificare che è in esecuzione in remoto all'interno del contesto SYSTEM e quindi non viene visualizzato alcun prompt all'utente.

Lo stesso flag può essere usato con MDEClientAnalyzer.cmd per evitare che venga richiesto all'utente di specificare il numero di minuti per la raccolta dei dati. Si consideri MDEClientAnalyzer.cmd -r -i -m 5, ad esempio, .

  • -r indica che lo strumento viene eseguito da un contesto remoto (o non interattivo).
  • -i è il flag di scenario per la raccolta di traccia di rete insieme ad altri log correlati.
  • -m # indica il numero di minuti da eseguire (nell'esempio sono stati usati 5 minuti).

Quando si usa MDEClientAnalyzer.cmd, lo script verifica la presenza di privilegi tramite net session, che richiede l'esecuzione del servizio Server . In caso contrario, verrà visualizzato il messaggio di errore Script is running with insufficient privileges (Script è in esecuzione con privilegi insufficienti). Eseguirlo con privilegi di amministratore se ECHO è disattivato.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.