Windows에서 고급 문제 해결을 위한 데이터 수집
적용 대상:
비즈니스용 Microsoft Defender
Microsoft Defender 바이러스 백신
Microsoft 지원 전문가와 공동 작업할 때 클라이언트 분석기를 사용하여 더 복잡한 시나리오의 문제 해결을 위해 데이터를 수집하라는 메시지가 표시될 수 있습니다. 분석기 스크립트는 해당 목적을 위해 다른 매개 변수를 지원하며 조사해야 하는 관찰된 증상에 따라 특정 로그 집합을 수집할 수 있습니다.
를 실행 MDEClientAnalyzer.cmd /? 하여 사용 가능한 매개 변수 목록과 해당 설명을 확인합니다.
| 스위치 | 설명 | 사용 시기 | 문제를 해결하는 프로세스입니다. |
|---|---|---|---|
-h |
Windows 성능 레코더를 호출하여 표준 로그 집합 외에도 자세한 일반 성능 추적을 수집합니다. | 느린 애플리케이션 시작/시작. 앱에서 단추를 클릭할 때 x초가 더 오래 걸립니다. | 다음 중 하나가 필요합니다. - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-l |
기본 제공 Windows 성능 모니터 호출하여 간단한 성능 추적을 수집합니다. 이 시나리오는 시간이 지남에 따라 발생하지만 요청 시 재현하기 어려운 느린 성능 저하 문제를 진단할 때 유용할 수 있습니다. | 재현 속도가 느려질 수 있는 애플리케이션 성능 문제 해결(매니페스트) 자체. 데이터 집합이 너무 커질 수 있으므로 최대 3분(최대 5분)을 캡처하는 것이 좋습니다. | 다음 중 하나가 필요합니다. - MSSense.exe - MsSenseS.exe - SenseIR.exe- SenseNdr.exe - SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-c |
실시간 파일 시스템, 레지스트리 및 프로세스/스레드 작업의 고급 모니터링을 위해 프로세스 모니터 를 호출합니다. 이는 다양한 애플리케이션 호환성 시나리오 문제를 해결할 때 특히 유용합니다. | ProcMon(프로세스 모니터)을 사용하여 드라이버 또는 서비스 또는 애플리케이션 시작 지연 관련 문제를 조사할 때 부팅 추적을 시작합니다. 또는 SMB Oplock(Opportunistic Locking)을 사용하지 않는 네트워크 공유에서 호스트되는 애플리케이션으로 인해 애플리케이션 호환성 문제가 발생합니다. | 다음 중 하나가 필요합니다. - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-i |
기본 제공 netsh.exe 명령을 호출하여 다양한 네트워크 관련 문제를 해결할 때 유용한 네트워크 및 Windows 방화벽 추적을 시작합니다. | 엔드포인트용 Defender EDR 원격 분석 또는 CnC 데이터 제출 문제와 같은 네트워크 관련 문제를 해결하는 경우 MAPS(바이러스 백신 클라우드 보호) 보고 문제를 Microsoft Defender. 네트워크 보호 관련 문제 등. | 다음 프로세스 중 하나입니다. - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-b |
와 동일 -c 하지만 프로세스 모니터 추적은 다음 부팅 중에 시작되고 -b가 다시 사용되는 경우에만 중지됩니다. |
ProcMon(프로세스 모니터)을 사용하여 드라이버 또는 서비스 또는 애플리케이션 시작 지연 관련 문제를 조사할 때 부팅 추적을 시작합니다. 이 시나리오를 사용하여 느린 부팅 또는 느린 로그인을 조사할 수도 있습니다. | 다음 프로세스 중 하나입니다. - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe - SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-e |
Windows 성능 레코더를 호출하여 바이러스 백신 클라우드 연결 문제를 분석하기 위해 Defender AV 클라이언트 추적(AM-Engine 및 AM-Service)을 수집합니다. | MAPS(Cloud Protection) 보고 실패 문제를 해결하는 경우 | MsMpEng.exe |
-a |
Windows 성능 레코더를 호출하여 바이러스 백신 프로세스(MsMpEng.exe)와 관련된 높은 CPU 문제 분석과 관련된 자세한 성능 추적을 수집합니다. | Microsoft Defender 바이러스 백신(맬웨어 방지 서비스 실행 파일 또는 MsMpEng.exe)을 사용하여 높은 cpu 사용률 문제를 해결할 때 이미 Microsoft Defender 바이러스 백신 성능 분석기 사용하여 높은 cpu 사용률에 기여하는 /path/process 또는 /path 또는 파일 확장명 범위를 좁히는 경우. 이 시나리오를 사용하면 애플리케이션 또는 서비스가 높은 CPU 사용률에 기여하기 위해 수행하는 작업을 추가로 조사할 수 있습니다. | MsMpEng.exe |
-v |
가장 자세한 -trace 플래그가 있는 바이러스 백신 MpCmdRun.exe 명령줄 인수 를 사용합니다. | 고급 문제 해결이 필요할 때마다 MAPS(Cloud Protection) 보고 오류, 플랫폼 업데이트 실패, 엔진 업데이트 실패, 보안 인텔리전스 업데이트 실패, 거짓 부정 등의 문제를 해결할 때와 같습니다. , , -c-h또는 -l와 함께 -b사용할 수도 있습니다. |
MsMpEng.exe |
-t |
엔드포인트 DLP와 관련된 모든 클라이언트 쪽 구성 요소의 자세한 추적을 시작합니다. 이 추적은 DLP 작업이 파일에 대해 예상대로 발생하지 않는 시나리오에 유용합니다. | 예상되는 Microsoft Endpoint DLP(데이터 손실 방지) 작업이 발생하지 않는 문제가 발생하는 경우 | MpDlpService.exe |
-q |
엔드포인트 DLP에 대한 기본 구성 및 요구 사항의 유효성을 검사하는 분석기 Tools 디렉터리에서 DLPDiagnose.ps1 스크립트를 호출합니다. |
Microsoft Endpoint DLP에 대한 기본 구성 및 요구 사항을 확인합니다. | MpDlpService.exe |
-d |
(Windows Server 2016 또는 이전 OS의 센서 프로세스) 및 관련 프로세스의 MsSenseS.exe 메모리 덤프를 수집합니다. - * 이 플래그는 위에서 언급한 플래그와 함께 사용할 수 있습니다. - ** 와 같은 MsSense.exeMsMpEng.exePPL 보호 프로세스의 메모리 덤프 캡처는 현재 분석기에서 지원되지 않습니다. |
Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 또는 MMA 에이전트에서 실행 중인 Windows Server 2016 성능(높은 cpu 또는 높은 메모리 사용량) 또는 애플리케이션 호환성 문제가 있습니다. | MsSenseS.exe |
-z |
컴퓨터에서 레지스트리 키를 구성하여 CrashOnCtrlScroll을 통해 전체 컴퓨터 메모리 덤프 수집을 준비합니다. 이는 컴퓨터 동결 문제를 분석하는 데 유용합니다. * 맨 오른쪽 CTRL 키를 누른 다음 SCROLL LOCK 키를 두 번 누릅니다. | 기계가 매달려 있거나 응답하지 않거나 느립니다. 높은 메모리 사용량(메모리 누수): a) 사용자 모드: 프라이빗 바이트 b) 커널 모드: 페이징된 풀 또는 비페이지 풀 메모리, 누수 처리. | MSSense.exe 또는 MsMpEng.exe |
-k |
NotMyFault 도구를 사용하여 시스템이 강제로 크래시되고 머신 메모리 덤프를 생성합니다. 이는 다양한 OS 안정성 문제를 분석하는 데 유용합니다. | 위와 동일합니다. | MSSense.exe 또는 MsMpEng.exe |
분석기와 이 문서에 나열된 모든 시나리오 플래그는 분석기 도구 집합에 번들로 제공되는 를 실행 RemoteMDEClientAnalyzer.cmd하여 원격으로 시작할 수 있습니다.
참고
고급 문제 해결 매개 변수를 사용하는 경우 분석기는MpCmdRun.exe호출하여 Microsoft Defender 바이러스 백신 관련 지원 로그를 수집합니다.
플래그를 사용하여 -g 해당 지역에 온보딩하지 않고도 특정 데이터 센터 지역의 URL 유효성을 검사할 수 있습니다.
예를 들어 는 MDEClientAnalyzer.cmd -g EU 분석기가 유럽 지역의 클라우드 URL을 강제로 테스트하도록 합니다.
유의해야 할 몇 가지 사항
를 사용하면 RemoteMDEClientAnalyzer.cmd를 호출 psexec 하여 구성된 파일 공유에서 도구를 다운로드한 다음 를 통해 PsExec.exe로컬로 실행합니다.
CMD 스크립트는 플래그를 -r 사용하여 SYSTEM 컨텍스트 내에서 원격으로 실행되도록 지정하므로 사용자에게 프롬프트가 표시되지 않습니다.
데이터 수집에 대한 시간(분)을 지정하라는 메시지를 사용자에게 표시하지 않도록 동일한 플래그를 와 함께 MDEClientAnalyzer.cmd 사용할 수 있습니다. 예를 들어 를 고려합니다 MDEClientAnalyzer.cmd -r -i -m 5.
-r는 도구가 원격(또는 비대화형 컨텍스트)에서 실행되고 있음을 나타냅니다.-i는 다른 관련 로그와 함께 네트워크 추적을 수집하기 위한 시나리오 플래그입니다.-m #는 실행할 시간(예제에서 5분 사용)을 나타냅니다.
를 사용하는 MDEClientAnalyzer.cmd경우 스크립트는 서비스를 Server 실행해야 하는 를 사용하여 net session권한을 확인합니다. 그렇지 않은 경우 스크립트가 권한이 부족하여 실행 중이라는 오류 메시지가 표시됩니다. ECHO가 꺼져 있는 경우 관리자 권한으로 실행합니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기