실시간 보호 관련 성능 문제 해결

  • 아티클

적용 대상:

플랫폼

  • Windows

시스템에서 엔드포인트용 Microsoft Defender 실시간 보호 서비스와 관련된 높은 CPU 사용량 또는 성능 문제가 있는 경우 Microsoft 지원에 티켓을 제출할 수 있습니다. Microsoft Defender 바이러스 백신 진단 데이터 수집의 단계를 수행합니다.

관리자는 이러한 문제를 직접 해결할 수도 있습니다.

먼저 문제가 다른 소프트웨어로 인해 발생하는 경우 검사 수 있습니다. 바이러스 백신 제외에 대한 공급업체 확인을 참조하세요.

그렇지 않으면 Microsoft 보호 로그 분석의 단계에 따라 식별된 성능 문제와 관련된 소프트웨어를 식별할 수 있습니다.

다음 단계에 따라 Microsoft 지원에 제출하는 추가 로그를 제공할 수도 있습니다.

Microsoft Defender 바이러스 백신과 관련된 성능 관련 문제는 Microsoft Defender 바이러스 백신에 대한 성능 분석기를 참조하세요.

공급업체에 바이러스 백신 제외 확인

시스템 성능에 영향을 주는 소프트웨어를 쉽게 식별할 수 있는 경우 소프트웨어 공급업체의 기술 자료 또는 지원 센터로 이동합니다. 바이러스 백신 제외에 대한 권장 사항이 있는 경우 Search. 공급업체의 웹 사이트에 없는 경우 지원 티켓을 열고 게시하도록 요청할 수 있습니다.

소프트웨어 공급업체는 가양성 최소화를 위해 업계와의 파트너관계의 다양한 지침을 따르는 것이 좋습니다. 공급업체는 Microsoft 보안 인텔리전스 포털을 통해 소프트웨어를 제출할 수 있습니다.

Microsoft 보호 로그 분석

C:\ProgramData\Microsoft\Windows Defender\Support에서 Microsoft 보호 로그 파일을 찾을 수 있습니다.

MPLog-xxxxxxxx-xxxxxx.log 실행 중인 소프트웨어의 예상 성능 영향 정보를 EstimatedImpact로 찾을 수 있습니다.

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


필드 이름 설명
ProcessImageName 프로세스 이미지 이름
TotalTime 이 프로세스에서 액세스하는 파일 검색에 소요된 누적 기간(밀리초)
갯수 이 프로세스에서 액세스한 검사된 파일 수
MaxTime 이 프로세스에서 액세스하는 파일의 가장 긴 단일 검사 기간(밀리초)입니다.
MaxTimeFile 가장 긴 기간 검색이 기록된 이 프로세스에서 액세스한 파일의 MaxTime 경로입니다.
EstimatedImpact 이 프로세스에서 검색 작업을 경험한 기간 외에 이 프로세스에서 액세스하는 파일에 대한 검색에 소요된 시간의 백분율입니다.

성능 영향이 높은 경우 Microsoft Defender 바이러스 백신 검사에 대한 제외 구성 및 유효성 검사의 단계에 따라 경로/프로세스 제외에 프로세스를 추가해 보세요.

이전 단계에서 문제가 해결되지 않으면 다음 섹션에서 프로세스 모니터 또는 Windows 성능 레코더 를 통해 자세한 정보를 수집할 수 있습니다.

프로세스 모니터를 사용하여 프로세스 로그 캡처

ProcMon(프로세스 모니터)은 실시간 프로세스를 표시할 수 있는 고급 모니터링 도구입니다. 이 기능을 사용하여 발생하는 성능 문제를 캡처할 수 있습니다.

  1. 프로세스 모니터 v3.89를 와 같은 C:\temp폴더에 다운로드합니다.

  2. 웹의 파일 표시를 제거하려면 다음을 수행합니다.

    1. ProcessMonitor.zip마우스 오른쪽 단추 로 클릭하고 속성을 선택합니다.
    2. 일반 탭에서 보안을 찾습니다.
    3. 차단 해제 옆의 확인란을 선택합니다.
    4. 적용을 선택합니다.

    MOTW 제거 페이지

  3. 폴더 경로C:\temp\ProcessMonitor가 이 되도록 에서 C:\temp 파일의 압축을 풉

  4. 문제를 해결하려는 Windows 클라이언트 또는 Windows 서버에 ProcMon.exe 복사합니다.

  5. ProcMon을 실행하기 전에 높은 CPU 사용량 문제와 관련이 없는 다른 모든 애플리케이션이 닫혀 있는지 확인합니다. 이렇게 하면 검사 프로세스 수가 최소화됩니다.

  6. ProcMon은 두 가지 방법으로 시작할 수 있습니다.

    1. ProcMon.exe마우스 오른쪽 단추 로 클릭하고 관리자 권한으로 실행을 선택합니다.

      로깅이 자동으로 시작되므로 돋보기 아이콘을 선택하여 현재 캡처를 중지하거나 바로 가기 키 Ctrl+E를 사용합니다.

      돋보기 아이콘

      캡처를 중지했는지 확인하려면 이제 돋보기 아이콘이 빨간색 X와 함께 표시되는지 검사.

      빨간색 슬래시

      다음으로, 이전 캡처를 지우려면 지우개 아이콘을 선택합니다.

      지우기 아이콘

      또는 바로 가기 키 Ctrl+X를 사용합니다.

    2. 두 번째 방법은 관리자 권한으로 명령줄 을 실행한 다음 프로세스 모니터 경로에서 다음을 실행하는 것입니다.

      cmd 프로시먼 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      추적을 쉽게 시작하고 중지할 수 있도록 데이터를 캡처할 때 ProcMon 창을 가능한 한 작게 만듭니다.

      프러몬 최소화를 표시하는 페이지

  7. 6단계의 절차 중 하나를 수행한 후 필터를 설정하는 옵션이 표시됩니다. 확인을 선택합니다. 캡처가 완료된 후에는 항상 결과를 필터링할 수 있습니다.

    시스템 제외가 프로세스 이름 필터링으로 선택되는 페이지

  8. 캡처를 시작하려면 돋보기 아이콘을 다시 선택합니다.

  9. 문제를 재현하세요.

    문제가 완전히 재현될 때까지 기다린 다음 추적이 시작될 때 타임스탬프를 기록해 둡니다.

  10. CPU 사용량이 많은 상태에서 2~4분의 프로세스 작업이 수행되면 돋보기 아이콘을 선택하여 캡처를 중지합니다.

  11. 고유한 이름으로 캡처를 저장하고 .pml 형식으로 저장하려면 파일을 선택한 다음 저장...을 선택합니다. 라디오 단추 모든 이벤트PML(네이티브 프로세스 모니터 형식)을 선택해야 합니다.

    설정 저장 페이지

  12. 더 나은 추적을 위해 기본 경로를 에서 C:\temp\ProcessMonitor\LogFile.PML 위치로 C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML 변경합니다.

    • %ComputerName% 은 디바이스 이름입니다.
    • MMDDYEAR 은 월, 일 및 연도입니다.
    • Repro_of_issue 은 재현하려는 문제의 이름입니다.

    작업 시스템이 있는 경우 비교할 샘플 로그를 가져올 수 있습니다.

  13. .pml 파일을 압축하고 Microsoft 지원에 제출합니다.

Windows 성능 레코더를 사용하여 성능 로그 캡처

WPR(Windows Performance Recorder)을 사용하여 Microsoft 지원에 제출하는 데 추가 정보를 포함할 수 있습니다. WPR은 Windows 기록용 이벤트 추적을 만드는 강력한 기록 도구입니다.

WPR은 Windows ADK(Windows 평가 및 배포 키트)의 일부이며 Windows ADK 다운로드 및 설치에서 다운로드할 수 있습니다. Windows 10 SDK에서 Windows 10 소프트웨어 개발 키트의 일부로 다운로드할 수도 있습니다.

WPR UI를 사용하여 성능 로그 캡처의 단계에 따라 WPR 사용자 인터페이스를 사용할 수 있습니다.

또는 WPR CLI를 사용하여 성능 로그 캡처의 단계에 따라 Windows 8 이상 버전에서 사용할 수 있는 명령 줄 도구wpr.exe사용할 수도 있습니다.

WPR UI를 사용하여 성능 로그 캡처

여러 디바이스에 이 문제가 발생하는 경우 RAM이 가장 많은 디바이스를 사용합니다.

  1. WPR을 다운로드하고 설치합니다.

  2. Windows 키트에서Windows 성능 레코더를 마우스 오른쪽 단추로 클릭합니다.

    시작 메뉴

    자세히를 선택합니다. 관리자 권한으로 실행을 선택합니다.

  3. 사용자 계정 컨트롤 대화 상자가 나타나면 예를 선택합니다.

    UAC 페이지

  4. 다음으로, 엔드포인트용 Microsoft Defender 분석 프로필을 다운로드하고 와 같은 C:\temp폴더에 로 저장 MDAV.wprp 합니다.

  5. WPR 대화 상자에서 추가 옵션을 선택합니다.

    더 많은 옵션을 선택할 수 있는 페이지

  6. 프로필 추가...를 선택하고 파일의 경로를 찾습니다MDAV.wprp.

  7. 그 후에는 사용자 지정 측정 아래에 새 프로필 집합이 엔드포인트용 Microsoft Defender 분석이라는 이름이 지정됩니다.

    파일 내

    경고

    Windows Server에 64GB 이상의 RAM이 있는 경우 대신 Microsoft Defender for Endpoint analysis사용자 지정 측정 Microsoft Defender for Endpoint analysis for large servers 을 사용합니다. 그렇지 않으면 시스템에서 페이징이 없는 풀 메모리 또는 버퍼를 많이 사용할 수 있으므로 시스템 불안정이 발생할 수 있습니다. 리소스 분석을 확장하여 추가할 프로필을 선택할 수 있습니다. 이 사용자 지정 프로필은 심층 성능 분석에 필요한 컨텍스트를 제공합니다.

  8. WPR UI에서 사용자 지정 측정 엔드포인트용 Microsoft Defender 자세한 분석 프로필을 사용하려면 다음을 수행합니다.

    1. 첫 번째 수준 심사, 리소스 분석시나리오 분석 그룹에서 프로필이 선택되지 않았는지 확인합니다.
    2. 사용자 지정 측정값을 선택합니다.
    3. 엔드포인트용 Microsoft Defender 분석을 선택합니다.
    4. 세부 정보 수준에서 자세한 정보를 선택합니다.
    5. 로깅 모드에서 파일 또는 메모리 를 선택합니다.

    중요

    사용자가 성능 문제를 직접 재현할 수 있는 경우 파일 로깅 모드를 사용하려면 파일을 선택해야 합니다. 대부분의 문제는 이 범주에 속합니다. 그러나 사용자가 문제를 직접 재현할 수 없지만 문제가 발생하면 쉽게 알 수 있는 경우 메모리 로깅 모드를 사용하려면 메모리 를 선택해야 합니다. 이렇게 하면 장기 실행 시간으로 인해 추적 로그가 과도하게 확장되지 않습니다.

  9. 이제 데이터를 수집할 준비가 되었습니다. 성능 문제를 재현하는 것과 관련이 없는 모든 애플리케이션을 종료합니다. 옵션 숨기기를 선택하여 WPR 창이 차지하는 공간을 작게 유지할 수 있습니다.

    숨기기 옵션

    정수 초에서 추적을 시작해 봅니다. instance 경우 01:30:00. 이렇게 하면 데이터를 더 쉽게 분석할 수 있습니다. 또한 문제가 재현된 정확한 시점의 타임스탬프를 추적해 보세요.

  10. 시작을 선택합니다.

    레코드 시스템 정보 페이지

  11. 문제를 재현합니다.

    데이터 수집을 5분 이하로 유지합니다. 많은 데이터가 수집되기 때문에 2~3분은 좋은 범위입니다.

  12. 저장을 선택합니다.

    저장 옵션

  13. 문제에 대한 자세한 설명에 입력 을 입력합니다. 문제에 대한 정보 및 문제를 재현한 방법.

    채울 창

    1. 파일 이름: 를 선택하여 추적 파일을 저장할 위치를 결정합니다. 기본적으로 에 저장 %user%\Documents\WPR Files\됩니다.
    2. 저장을 선택합니다.

  14. 추적이 병합되는 동안 기다립니다.

    WPR 수집 일반 추적

  15. 추적이 저장되면 폴더 열기를 선택합니다.

    WPR 추적이 저장되었다는 알림을 표시하는 페이지

    Microsoft 지원 제출에 파일과 폴더를 모두 포함합니다.

    파일 및 폴더의 세부 정보

WPR CLI를 사용하여 성능 로그 캡처

명령줄 도구 wpr.exeWindows 8 시작하는 운영 체제의 일부입니다. 명령줄 도구를 사용하여 WPR 추적을 수집하려면 다음을 wpr.exe.

  1. 성능 추적에 대한 엔드포인트용 Microsoft Defender 분석 프로필을 와 같은 로컬 디렉터리에 있는 파일 MDAV.wprpC:\traces다운로드합니다.

  2. 시작 메뉴 아이콘을 마우스 오른쪽 단추로 클릭하고 Windows PowerShell(관리) 또는 명령 프롬프트(관리)를 선택하여 관리 명령 프롬프트 창을 엽니다.

  3. 사용자 계정 컨트롤 대화 상자가 나타나면 예를 선택합니다.

  4. 관리자 권한 프롬프트에서 다음 명령을 실행하여 엔드포인트용 Microsoft Defender 성능 추적을 시작합니다.

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    경고

    Windows Server에 64GB 이상의 RAM이 있는 경우 프로필 WDForLargeServers.Light 및 프로필 WD.LightWDForLargeServers.VerboseWD.Verbose대신 각각을 사용합니다. 그렇지 않으면 시스템에서 페이징이 없는 풀 메모리 또는 버퍼를 많이 사용할 수 있으므로 시스템 불안정이 발생할 수 있습니다.

  5. 문제를 재현합니다.

    데이터 수집을 5분 이상 유지하지 않습니다. 시나리오에 따라 많은 데이터가 수집되기 때문에 2~3분은 좋은 범위입니다.

  6. 관리자 권한 프롬프트에서 다음 명령을 실행하여 성능 추적을 중지하고 문제 및 문제를 재현한 방법에 대한 정보를 제공해야 합니다.

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. 추적이 병합될 때까지 기다립니다.

  8. Microsoft 지원에 제출하는 파일과 폴더를 모두 포함합니다.

다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.

성능 팁 다른 바이러스 백신 소프트웨어와 같이 바이러스 백신을 Microsoft Defender 다양한 요인(아래 나열된 예제)으로 인해 엔드포인트 디바이스에서 성능 문제가 발생할 수 있습니다. 경우에 따라 이러한 성능 문제를 완화하기 위해 Microsoft Defender 바이러스 백신의 성능을 조정해야 할 수 있습니다. Microsoft의 성능 분석기는 성능 문제를 일으킬 수 있는 파일, 파일 경로, 프로세스 및 파일 확장명을 결정하는 데 도움이 되는 PowerShell 명령줄 도구입니다. 몇 가지 예는 다음과 같습니다.

  • 검사 시간에 영향을 주는 상위 경로
  • 스캔 시간에 영향을 주는 상위 파일
  • 검사 시간에 영향을 주는 주요 프로세스
  • 스캔 시간에 영향을 주는 상위 파일 확장자
  • 조합 – 예를 들면 다음과 같습니다.
    • 확장 프로그램당 상위 파일 수
    • 확장당 상위 경로
    • 경로당 상위 프로세스
    • 파일당 상위 검사
    • 프로세스당 파일당 상위 검사

성능 분석기를 사용하여 수집된 정보를 사용하여 성능 문제를 더 잘 평가하고 수정 작업을 적용할 수 있습니다. Microsoft Defender 바이러스 백신에 대한 성능 분석기를 참조하세요.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.