Windows で高度なトラブルシューティングを行うためのデータ収集

適用対象:

• Microsoft Defender for Endpoint Plan 1

• Microsoft Defender for Endpoint Plan 2

• Microsoft Defender for Business

• Microsoft Defender ウイルス対策

Microsoft サポート プロフェッショナルと共同作業する場合は、クライアント アナライザーを使用して、より複雑なシナリオのトラブルシューティングのためにデータを収集するように求められる場合があります。 アナライザー スクリプトは、その目的のために他のパラメーターをサポートしており、調査する必要がある観察された症状に基づいて特定のログ セットを収集できます。

を実行 MDEClientAnalyzer.cmd /? して、使用可能なパラメーターとその説明の一覧を表示します。

スイッチ	説明	いつ使用するか	トラブルシューティングを行っているプロセス。
-h	Windows パフォーマンス レコーダーを呼び出して、標準ログ セットに加えて、詳細な一般的なパフォーマンス トレースを収集します。	アプリケーションの起動/起動が遅い。 アプリのボタンをクリックすると、x 秒長くなります。	以下のいずれか: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-l	組み込みの Windows パフォーマンス モニター を呼び出して、軽量の perfmon トレースを収集します。 このシナリオは、時間の経過と同時に発生し、オンデマンドで再現するのが困難なパフォーマンス低下の問題を診断するときに役立ちます。	(マニフェスト) 自体の再現に時間がかかる可能性があるアプリケーションのパフォーマンスのトラブルシューティング。 データ セットが大きくなりすぎる可能性があるため、最大 3 分 (最大 5 分) をキャプチャすることをお勧めします。	以下のいずれか: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-c	リアルタイム ファイル システム、レジストリ、 およびプロセス /スレッド アクティビティの高度な監視のためにプロセス モニターを呼び出します。 これは、さまざまなアプリケーション互換性シナリオのトラブルシューティングを行う場合に特に便利です。	ドライバーまたはサービスまたはアプリケーションの起動遅延に関連する問題を調査するときにブート トレースを開始するプロセス モニター (ProcMon)。 または、SMB Opportunistic Locking (Oplock) を適切に使用していないネットワーク共有でホストされているアプリケーションが、アプリケーションの互換性の問題を引き起こします。	以下のいずれか: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-i	組み込みの netsh.exe コマンドを呼び出して、ネットワークと Windows ファイアウォールのトレースを開始します。これは、ネットワーク関連のさまざまな問題のトラブルシューティングに役立ちます。	Defender for Endpoint EDR テレメトリや CnC データ送信の問題など、ネットワーク関連の問題をトラブルシューティングする場合。 Microsoft Defenderウイルス対策 Cloud Protection (MAPS) のレポートに関する問題。 ネットワーク保護に関連する問題など。	次のいずれかのプロセス: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-b	-cと同じですが、プロセス モニター トレースは次の起動時に開始され、-b が再び使用された場合にのみ停止します。	ドライバーまたはサービスまたはアプリケーションの起動遅延に関連する問題を調査するときにブート トレースを開始するプロセス モニター (ProcMon)。 このシナリオは、低速ブートまたは低速サインインを調査するためにも使用できます。	次のいずれかのプロセス: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-e	ウイルス対策クラウド接続の問題の分析のために、Defender AV クライアント トレース (AM-Engine および AM-Service) を収集するために Windows パフォーマンス レコーダー を呼び出します。	Cloud Protection (MAPS) レポートエラーのトラブルシューティングを行う場合。	MsMpEng.exe
-a	Windows パフォーマンス レコーダーを呼び出して、ウイルス対策プロセス (MsMpEng.exe) に関連する CPU の高い問題の分析に固有の詳細なパフォーマンス トレースを収集します。	Microsoft Defender ウイルス対策 (マルウェア対策サービス実行可能ファイルまたは MsMpEng.exe) で CPU 使用率の高いトラブルシューティングを行う場合は、既に Microsoft Defender ウイルス対策パフォーマンス アナライザーを使用して/path/process または /path またはファイル拡張子を絞り込み、CPU 使用率が高くなる可能性があります。 このシナリオでは、アプリケーションまたはサービスが CPU 使用率の高い影響を受けるために何を行っているかをさらに調査できます。	MsMpEng.exe
-v	ウイルス対策 MpCmdRun.exe コマンド ライン引数 と最も詳細なトレース フラグを使用します。	いつでも高度なトラブルシューティングが必要です。 Cloud Protection (MAPS) のレポートエラー、プラットフォーム更新プログラムの失敗、エンジンの更新エラー、セキュリティ インテリジェンス更新プログラムの失敗、False の陰性などのトラブルシューティングを行う場合など。、、-hまたは -lと共に-c-b使用することもできます。	MsMpEng.exe
-t	エンドポイント DLP に関連するすべてのクライアント側コンポーネントの詳細トレースを開始します。これは、ファイルに対して DLP アクション が予期したとおりに実行されないシナリオに役立ちます。	予期される Microsoft エンドポイント データ損失防止 (DLP) アクションが発生しない問題に対して実行する場合。	MpDlpService.exe
-q	エンドポイント DLP の基本的な構成と要件を検証するアナライザー Tools ディレクトリから DLPDiagnose.ps1 スクリプトを呼び出します。	Microsoft Endpoint DLP の基本的な構成と要件を確認します	MpDlpService.exe
-d	(Windows Server 2016 以前の OS 上のセンサー プロセス) および関連プロセスのMsSenseS.exeメモリ ダンプを収集します。 - * このフラグは、上記のフラグと共に使用できます。 - ** PPL で保護されたプロセス (または などMsSense.exeMsMpEng.exe) のメモリ ダンプをキャプチャすることは、現時点ではアナライザーでサポートされていません。	Windows 7 SP1、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、または Windows Server 2016 mmA エージェントを使用して実行し、パフォーマンス (高 CPU または高メモリ使用率) またはアプリケーション互換性の問題を抱えています。	MsSenseS.exe
-z	CrashOnCtrlScroll を使用して完全なマシン メモリ ダンプ収集用に準備するように、マシン上のレジストリ キーを構成します。 これは、コンピューターのフリーズの問題の分析に役立ちます。 * 右端の Ctrl キーを押したまま、SCROLL LOCK キーを 2 回押します。	マシンがぶら下がっているか、応答しないか遅い。 メモリ使用量が多い (メモリ リーク): a) ユーザー モード: プライベート バイト b) カーネル モード: ページ プールまたは非ページ プール メモリ、ハンドル リーク。	MSSense.exe または MsMpEng.exe
-k	NotMyFault ツールを使用して、システムを強制的にクラッシュさせ、マシン メモリ ダンプを生成します。 これは、さまざまな OS の安定性の問題の分析に役立ちます。	上記と同じです。	MSSense.exe または MsMpEng.exe

アナライザーと、この記事に記載されているすべてのシナリオ フラグは、 を実行 RemoteMDEClientAnalyzer.cmdすることでリモートで開始できます。これは、アナライザー ツールセットにもバンドルされています。

注:

高度なトラブルシューティング パラメーターを使用すると、アナライザーは MpCmdRun.exe を呼び出してウイルス対策関連のサポート ログMicrosoft Defender収集します。 フラグを使用 -g すると、そのリージョンにオンボードされていなくても、特定のデータセンター リージョンの URL を検証できます
たとえば、 MDEClientAnalyzer.cmd -g EU アナライザーがヨーロッパリージョンのクラウド URL をテストするように強制します。

留意すべき点

を使用 RemoteMDEClientAnalyzer.cmdすると、 を呼び出 psexec して構成されたファイル共有からツールをダウンロードし、 を使用して PsExec.exeローカルで実行します。

CMD スクリプトでは、 フラグを -r 使用して、SYSTEM コンテキスト内でリモートで実行されていることを指定するため、ユーザーにプロンプトは表示されません。

と同じフラグを使用 MDEClientAnalyzer.cmd して、データ収集の分数を指定するようにユーザーに求めるプロンプトを回避できます。 たとえば、 を考えてみましょう MDEClientAnalyzer.cmd -r -i -m 5。

• -r は、ツールがリモート (または非対話型コンテキスト) から実行されていることを示します。
• -i は、他の関連ログと共にネットワーク トレースを収集するためのシナリオ フラグです。
• -m # は、実行する分数を表します (この例では 5 分を使用しました)。

を使用 MDEClientAnalyzer.cmdする場合、スクリプトは を使用して net session特権をチェックします。そのためには、サービス Server を実行する必要があります。 そうでない場合は、 スクリプトが不十分な権限で実行されているというエラー メッセージが表示されます。 ECHO がオフの場合は、管理者特権で実行します。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。