Сбор данных для усовершенствованного устранения неполадок в Windows

  • Қолданылады: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business, Microsoft Defender Antivirus

Совет

Просмотрите это видео, чтобы узнать больше о проблемах с подключением: Проблемы с подключением анализатора клиента Defender для конечной точки

При совместной работе со специалистами службы поддержки Майкрософт может потребоваться использовать клиентский анализатор для сбора данных для устранения неполадок в более сложных сценариях. Скрипт анализатора поддерживает другие параметры для этой цели и может собирать определенный набор журналов на основе наблюдаемых симптомов, которые необходимо исследовать.

Запустите MDEClientAnalyzer.cmd /? , чтобы просмотреть список доступных параметров и их описание:

Параметры для MDEClientAnalyzer.cmd

Параметр Описание Когда использовать Процесс устранения неполадок.
-h Вызывает средство записи производительности Windows для сбора подробной общей трассировки производительности в дополнение к стандартному набору журналов. Медленный запуск и запуск приложения. При нажатии кнопки в приложении занимает x секунд дольше. Одно из указанных ниже значений:
  • MSSense.exe
  • MsSenseS.exe
  • SenseIR.exe
  • SenseNdr.exe
  • SenseTVM.exe
  • SenseAadAuthenticator.exe
  • SenseGPParser.exe
  • SenseImdsCollector.exe
  • SenseSampleUploader.exe
  • MsMpEng.exe
  • NisSrv.exe
-l Вызовы во встроенные Монитор производительности Windows для сбора упрощенной трассировки пермона. Этот сценарий может быть полезен при диагностике проблем с медленным снижением производительности, которые возникают с течением времени, но трудно воспроизвести по запросу. Устранение неполадок с производительностью приложения, которое может быть медленным при воспроизведении (манифесте). Рекомендуется записывать до трех минут (не более пяти минут), так как набор данных может стать слишком большим. Одно из указанных ниже значений:
  • MSSense.exe
  • MsSenseS.exe
  • SenseIR.exe
  • SenseNdr.exe
  • SenseTVM.exe
  • SenseAadAuthenticator.exe
  • SenseGPParser.exe
  • SenseImdsCollector.exe
  • SenseSampleUploader.exe
  • MsMpEng.exe
  • NisSrv.exe
-c Вызывает монитор процессов для расширенного мониторинга файловой системы, реестра, а также процессов и потоков в режиме реального времени. Это особенно полезно при устранении неполадок в различных сценариях совместимости приложений. Монитор процессов (ProcMon) для запуска трассировки загрузки при исследовании проблемы, связанной с задержкой запуска драйвера, службы или приложения. Или приложения, размещенные в общей сетевой папке, которые не используют SMB Opportunistic Lock (Oplock) должным образом, что вызывает проблемы совместимости приложений. Одно из указанных ниже значений:
  • MSSense.exe
  • MsSenseS.exe
  • SenseIR.exe
  • SenseNdr.exe
  • SenseTVM.exe
  • SenseAadAuthenticator.exe
  • SenseGPParser.exe
  • SenseImdsCollector.exe
  • SenseSampleUploader.exe
  • MsMpEng.exe
  • NisSrv.exe
-i Вызывает встроенную командуnetsh.exe для запуска трассировки сети и брандмауэра Windows, которая полезна при устранении различных проблем, связанных с сетью. При устранении неполадок, связанных с сетью, таких как телеметрия EDR в Defender для конечной точки или проблемы с отправкой данных CnC. Microsoft Defender о проблемах с антивирусной облачной защитой (MAPS). Проблемы, связанные с защитой сети, и т. д. Один из следующих процессов:
  • MSSense.exe
  • MsSenseS.exe
  • SenseIR.exe
  • SenseNdr.exe
  • SenseTVM.exe
  • SenseAadAuthenticator.exe
  • SenseGPParser.exe
  • SenseImdsCollector.exe
  • SenseSampleUploader.exe
  • MsMpEng.exe
  • NisSrv.exe
-b То же самое, что и -c трассировка монитора процесса будет инициирована во время следующей загрузки и остановлена только при повторном использовании -b. Монитор процессов (ProcMon) для запуска трассировки загрузки при исследовании проблемы, связанной с задержкой запуска драйвера, службы или приложения. Этот сценарий также можно использовать для изучения медленной загрузки или медленного входа. Один из следующих процессов:
  • MSSense.exe
  • MsSenseS.exe
  • SenseIR.exe
  • SenseNdr.exe
  • SenseTVM.exe
  • SenseAadAuthenticator.exe
  • SenseGPParser.exe
  • SenseImdsCollector.exe
  • SenseSampleUploader.exe
  • MsMpEng.exe
  • NisSrv.exe
-e Вызывает средство записи производительности Windows для сбора данных трассировки клиента АНТИВИРУСной программы Defender (AM-Engine и AM-Service) для анализа проблем с подключением антивирусной программы к облаку. При устранении неполадок, связанных со сбоем в облачной защите (MAPS). MsMpEng.exe
-a Вызывает средство записи производительности Windows для сбора подробной трассировки производительности, специфичной для анализа проблем с высоким уровнем ЦП, связанных с антивирусным процессом (MsMpEng.exe). При устранении неполадок с высокой загрузкой ЦП с помощью антивирусной программы Microsoft Defender (исполняемый файл службы защиты от вредоносных программ или MsMpEng.exe), если вы уже использовали Анализатор производительности антивирусной Microsoft Defender, чтобы сузить /path/process или расширение /path или файл, что способствует высокой загрузке ЦП. Этот сценарий позволяет дополнительно исследовать, что делает приложение или служба, чтобы способствовать высокой загрузке ЦП. MsMpEng.exe
-v Использует антивирусную программуMpCmdRun.exe командной строки с большинством подробных -Trace флагов. В любое время требуется расширенное устранение неполадок. Например, при устранении неполадок, связанных со сбоями в отчетах cloud Protection (MAPS), сбоями обновления платформы, сбоями обновления ядра, сбоями обновления аналитики безопасности, ложными отрицательными данными и т. д. Также можно использовать с -b, -c, -hили -l. MsMpEng.exe
-t Запускает подробную трассировку всех клиентских компонентов, относящихся к защите от потери данных в конечной точке, что полезно для сценариев, в которых действия защиты от потери данных выполняются не так, как ожидалось для файлов. При возникновении проблем, из-за которых ожидаемые действия защиты от потери данных (DLP) microsoft endpoint не выполняются. MpDlpService.exe
-q Вызывает скрипт DLPDiagnose.ps1 из каталога анализатора Tools , который проверяет базовую конфигурацию и требования к DLP конечной точки. Проверяет базовую конфигурацию и требования к защите от потери данных в конечной точке Майкрософт. MpDlpService.exe
-d Собирает дамп памяти (процесс датчика MsSenseS.exe в Windows Server 2016 или более старой ОС) и связанные процессы. - * Этот флаг можно использовать с указанными выше флагами. — ** Запись дампа памяти защищенных PPL процессов , таких как MsSense.exe или MsMpEng.exe не поддерживается анализатором в настоящее время. В Windows 7 с пакетом обновления 1 (SP1), Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 или Windows Server 2016 работает с агентом MMA и имеет проблемы с производительностью (высокой загрузкой ЦП или высокой загрузкой памяти) или с совместимостью приложений. MsSenseS.exe
-z Настраивает разделы реестра на компьютере, чтобы подготовить его к сбору полного дампа памяти компьютера с помощью CrashOnCtrlScroll. Это было бы полезно для анализа проблем с зависанием компьютера. * Удерживайте нажатой верхнюю правую клавишу CTRL, а затем дважды нажмите клавишу SCROLL LOCK. Компьютер висит, не отвечает или медленно. Использование большого объема памяти (утечка памяти): a) Режим пользователя: частные байты b) Режим ядра: выгружаемый пул или не погашенная память пула, обработка утечек. MSSense.exe или MsMpEng.exe
-k Использует средство NotMyFault для принудительного сбоя системы и создания дампа памяти компьютера. Это было бы полезно для анализа различных проблем со стабильностью ОС. То же самое, что и выше. MSSense.exe или MsMpEng.exe

Анализатор и все флаги сценария, перечисленные в этой статье, можно инициировать удаленно, запустив RemoteMDEClientAnalyzer.cmd, который также входит в набор инструментов анализатора:

Параметры для RemoteMDEClientAnalyzer.cmd

Примечание.

При использовании любого расширенного параметра устранения неполадок анализатор также вызывает MpCmdRun.exe для сбора журналов поддержки Microsoft Defender антивирусной программы. Вы можете использовать -g флаг для проверки URL-адресов для определенного региона центра обработки данных даже без подключения к такому региону. Например, MDEClientAnalyzer.cmd -g EU заставляет анализатор тестировать URL-адреса облака в регионе Европы.

Несколько моментов, которые следует помнить

При использовании RemoteMDEClientAnalyzer.cmdон вызывает psexec в , чтобы скачать средство из настроенного файлового ресурса, а затем запустить его локально через PsExec.exe.

Скрипт CMD использует -r флаг, чтобы указать, что он выполняется удаленно в контексте SYSTEM, поэтому пользователю не будет предоставлен запрос.

Этот же флаг можно использовать с MDEClientAnalyzer.cmd , чтобы избежать запроса на указание количества минут для сбора данных. Например, рассмотрим MDEClientAnalyzer.cmd -r -i -m 5.

  • -r указывает, что средство запускается из удаленного (или неинтерактивного контекста).
  • -i — это флаг сценария для сбора трассировки сети вместе с другими связанными журналами.
  • -m # обозначает количество минут для выполнения (в нашем примере мы использовали 5 минут).

При использовании MDEClientAnalyzer.cmdскрипт проверяет наличие привилегий с помощью net session, что требует выполнения службы Server . Если это не так, появится сообщение об ошибке Скрипт выполняется с недостаточными привилегиями. Запустите его с правами администратора, если echo отключен.

  • Last updated on