Feilsøke ytelsesproblemer relatert til sanntidsbeskyttelse

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender Antivirus

Plattformer

• Windows

Hvis systemet har høy CPU-bruk eller ytelsesproblemer relatert til sanntidsbeskyttelsestjenesten i Microsoft Defender for endepunkt, kan du sende inn en billett til Microsoft Kundestøtte. Følg trinnene i Innsamling Microsoft Defender Antivirus-diagnosedata.

Som administrator kan du også feilsøke disse problemene på egen hånd.

Først bør du kontrollere om problemet skyldes en annen programvare. Les Kontakt leverandøren for å få antivirusutelukkelser.

Ellers kan du identifisere hvilken programvare som er relatert til det identifiserte ytelsesproblemet ved å følge trinnene i Analyser Microsoft Protection Log.

Du kan også oppgi flere logger til innsendingen til Microsoft Kundestøtte ved å følge trinnene i:

• Registrere prosesslogger ved hjelp av Prosessovervåking
• Registrere ytelseslogger ved hjelp av Windows Performance Recorder

Hvis du vil ha ytelsesspesifikke problemer relatert til Microsoft Defender Antivirus, kan du se: Ytelsesanalyse for Microsoft Defender Antivirus

Ta kontakt med leverandøren for å få antivirusutelukkelser

Hvis du enkelt kan identifisere programvaren som påvirker systemytelsen, kan du gå til programvareleverandørens kunnskapsbase eller støttesenter. Søk hvis de har anbefalinger om antivirusutelukkelser. Hvis leverandørens nettsted ikke har dem, kan du åpne en støtteforespørsel med dem og be dem om å publisere en.

Vi anbefaler at programvareleverandører følger de ulike retningslinjene i Samarbeid med bransjen for å minimere falske positiver. Leverandøren kan sende inn programvaren gjennom Microsoft Sikkerhetsintelligens portalen.

Analyser Microsoft Protection Log

Du finner Loggfilen for Microsoft-beskyttelse i C:\ProgramData\Microsoft\Windows Defender\Support.

I MPLog-xxxxxxxx-xxxxxx.log kan du finne den estimerte informasjonen om ytelsespåvirkning for å kjøre programvare som EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

---

Feltnavn	Beskrivelse
ProcessImageName	Prosessbildenavn
TotalTime	Den kumulative varigheten i millisekunder brukt i skanninger av filer som åpnes av denne prosessen
Telle	Antall skannede filer som åpnes av denne prosessen
MaxTime	Varigheten i millisekunder i den lengste enkeltskanningen av en fil som denne prosessen har åpnet
MaxTimeFile	Banen til filen som ble åpnet av denne prosessen der den lengste skanningen av MaxTime varighet ble registrert
EstimatedImpact	Prosentandelen av tid brukt i skanninger for filer som åpnes av denne prosessen, ut av perioden da denne prosessen opplevde skanneaktivitet

Hvis ytelsesvirkningen er høy, kan du prøve å legge til prosessen i bane-/prosess-utelukkelsene ved å følge trinnene i Konfigurer og validere utelatelser for Microsoft Defender Antivirus-skanninger.

Hvis det forrige trinnet ikke løser problemet, kan du samle inn mer informasjon via Prosessovervåking eller Windows Performance Recorder i avsnittene nedenfor.

Registrere prosesslogger ved hjelp av Prosessovervåking

Prosessovervåking (ProcMon) er et avansert overvåkingsverktøy som kan vise sanntidsprosesser. Du kan bruke dette til å registrere ytelsesproblemet etter hvert som det oppstår.

1. Last ned Process Monitor v3.89 til en mappe som C:\temp.

2. Slik fjerner du filens merke på nettet:

   1. Høyreklikk ProcessMonitor.zip , og velg Egenskaper.
   2. Se etter Sikkerhet under Generelt-fanen.
   3. Merk av i boksen ved siden av Opphev blokkeringen.
   4. Velg Bruk.

   

3. Pakk ut filen slik C:\temp at mappebanen blir C:\temp\ProcessMonitor.

4. Kopier ProcMon.exe til Windows-klienten eller Windows-serveren du feilsøker.

5. Før du kjører ProcMon, må du kontrollere at alle andre programmer som ikke er relatert til det høye CPU-bruksproblemet, er lukket. Hvis du gjør dette, minimeres antall prosesser som skal kontrolleres.

6. Du kan starte ProcMon på to måter.

   1. Høyreklikk ProcMon.exe , og velg Kjør som administrator.

      Siden loggingen starter automatisk, velger du forstørrelsesglassikonet for å stoppe gjeldende opptak eller bruke hurtigtasten CTRL+E.

      

      Kontroller om forstørrelsesglassikonet nå vises med en rød X for å bekrefte at du har stoppet opptaket.

      

      Deretter velger du viskelærikonet for å fjerne det tidligere opptaket.

      

      Du kan også bruke hurtigtasten CTRL+X.

   2. Den andre måten er å kjøre kommandolinjen som administrator, og deretter kjøre fra Prosessovervåking-banen:

      

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Tips

      Gjør ProcMon-vinduet så lite som mulig når du registrerer data, slik at du enkelt kan starte og stoppe sporingen.

      

7. Når du har fulgt en av prosedyrene i trinn 6, ser du neste alternativ for å angi filtre. Velg OK. Du kan alltid filtrere resultatene etter at registreringen er fullført.

   

8. Hvis du vil starte opptaket, velger du forstørrelsesglassikonet på nytt.

9. Reprodusere problemet.

   Tips

   Vent til problemet er fullstendig gjengitt, og noter tidsstempelet da sporingen startet.

10. Når du har to til fire minutter med prosessaktivitet under den høye CPU-bruksbetingelsen, stopper du registreringen ved å velge forstørrelsesglassikonet.

11. Hvis du vil lagre opptaket med et unikt navn og med PML-formatet, velger du Fil og deretter Lagre.... Pass på at du velger alternativknappene Alle hendelser og opprinnelig format for prosessovervåking (PML).

    

12. Hvis du vil ha bedre sporing, kan du endre standardbanen fra C:\temp\ProcessMonitor\LogFile.PML der C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML :

    • %ComputerName% er enhetsnavnet
    • MMDDYEAR er måneden, dagen og året
    • Repro_of_issue er navnet på problemet du prøver å reprodusere

    Tips

    Hvis du har et fungerende system, vil du kanskje få en eksempellogg som skal sammenlignes.

13. Skriv inn PML-filen og send den til Microsoft Kundestøtte.

Registrere ytelseslogger ved hjelp av Windows Performance Recorder

Du kan bruke Windows Performance Recorder (WPR) til å inkludere tilleggsinformasjon i innsendingen til Microsoft Kundestøtte. WPR er et kraftig innspillingsverktøy som oppretter Hendelsessporing for Windows-opptak.

WPR er en del av Windows Assessment and Deployment Kit (Windows ADK) og kan lastes ned fra Last ned og installer Windows ADK. Du kan også laste den ned som en del av Windows 10 Software Development Kit på Windows 10 SDK.

Du kan bruke WPR-brukergrensesnittet ved å følge trinnene i Registrere ytelseslogger ved hjelp av WPR-brukergrensesnittet.

Du kan også bruke kommandolinjeverktøyet wpr.exe, som er tilgjengelig i Windows 8 og nyere versjoner ved å følge trinnene i Registrere ytelseslogger ved hjelp av WPR CLI.

Registrere ytelseslogger ved hjelp av WPR-brukergrensesnittet

Tips

Hvis flere enheter opplever dette problemet, kan du bruke den som har mest RAM.

1. Last ned og installer WPR.

2. Høyreklikk Windows Performance Recorder under Windows Kits.

   

   Velg Mer. Velg Kjør som administrator.

3. Når dialogboksen Brukerkontokontroll vises, velger du Ja.

   

4. Deretter laster du ned Microsoft Defender for endepunkt analyseprofilen og lagrer den som MDAV.wprp i en mappe, for eksempel C:\temp.

5. Velg Flere alternativer i dialogboksen WPR.

   

6. Velg Legg til profiler... og bla til banen til MDAV.wprp filen.

7. Etter dette skal du se et nytt profilsett under Egendefinerte mål kalt Microsoft Defender for endepunkt analyse under den.

   

   Advarsel

   Hvis Windows Server har 64 GB RAM eller mer, bruker du den egendefinerte målingen Microsoft Defender for Endpoint analysis for large servers i stedet Microsoft Defender for Endpoint analysisfor . Hvis ikke, kan systemet bruke mye ikke-sidebasert utvalgsminne eller buffere som kan føre til systemustabilitet. Du kan velge hvilke profiler som skal legges til, ved å utvide Ressursanalyse. Denne egendefinerte profilen gir den nødvendige konteksten for detaljert ytelsesanalyse.

8. Slik bruker du den egendefinerte målingen Microsoft Defender for endepunkt detaljert analyseprofil i WPR-brukergrensesnittet:

   1. Kontroller at ingen profiler er valgt under gruppene Første nivå, Ressursanalyse og Scenarioanalyse .
   2. Velg egendefinerte mål.
   3. Velg Microsoft Defender for endepunkt analyse.
   4. Velg Detaljert under Detaljnivå .
   5. Velg Fil eller minne under Loggingsmodus.

   Viktig

   Du bør velge Fil for å bruke filloggingsmodus hvis ytelsesproblemet kan reproduseres direkte av brukeren. De fleste problemene faller inn under denne kategorien. Hvis brukeren ikke kan reprodusere problemet direkte, men enkelt kan legge merke til det når problemet oppstår, bør brukeren velge Minne for å bruke minneloggingsmodus. Dette sikrer at sporingsloggen ikke blåses opp for mye på grunn av den lange kjøretiden.

9. Nå er du klar til å samle inn data. Avslutt alle programmer som ikke er relevante for å reprodusere ytelsesproblemet. Du kan velge Skjul alternativer for å holde plassen opptatt av WPR-vinduet lite.

   

   Tips

   Prøv å starte sporingen på heltallssekunder. For eksempel 01:30:00. Dette gjør det enklere å analysere dataene. Prøv også å holde oversikt over tidsstempelet for nøyaktig når problemet reproduseres.

10. Velg Start.

    

11. Reprodusere problemet.

    Tips

    Behold datainnsamlingen til ikke mer enn fem minutter. To til tre minutter er et godt område siden mye data samles inn.

12. Velg Lagre.

    

13. Fyll opp Skriv inn en detaljert beskrivelse av problemet: med informasjon om problemet og hvordan du reproduserer problemet.

    

    1. Velg Filnavn: for å finne ut hvor sporingsfilen skal lagres. Som standard lagres den i %user%\Documents\WPR Files\.
    2. Velg Lagre.

14. Vent mens sporingen slås sammen.

    

15. Når sporingen er lagret, velger du Åpne mappe.

    

    Inkluder både filen og mappen i innsendingen til Microsoft Kundestøtte.

    

Registrere ytelseslogger ved hjelp av WPR CLI

Kommandolinjeverktøyet wpr.exe er en del av operativsystemet som begynner med Windows 8. Slik samler du inn en WPR-sporing ved hjelp av kommandolinjeverktøyet wpr.exe:

1. Last ned Microsoft Defender for endepunkt analyseprofil for ytelsessporinger til en fil som er navngitt MDAV.wprp i en lokal katalog, for eksempel C:\traces.

2. Høyreklikk startmenyikonet, og velg Windows PowerShell (Admin) eller ledetekst (Admin) for å åpne et Admin ledetekstvindu.

3. Når dialogboksen Brukerkontokontroll vises, velger du Ja.

4. Kjør følgende kommando i den utvidede ledeteksten for å starte en Microsoft Defender for endepunkt ytelsessporing:

   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   

   Advarsel

   Hvis Windows Server har 64 GB eller RAM eller mer, kan du bruke profiler WDForLargeServers.Light og WDForLargeServers.Verbose i stedet for henholdsvis WD.Light profiler og WD.Verbose. Hvis ikke, kan systemet bruke mye ikke-sidebasert utvalgsminne eller buffere som kan føre til systemustabilitet.

5. Reprodusere problemet.

   Tips

   Behold datainnsamlingen på mer enn fem minutter. Avhengig av scenarioet er to til tre minutter et godt område siden mye data samles inn.

6. Kjør følgende kommando i den utvidede ledeteksten for å stoppe ytelsessporingen, og pass på å gi informasjon om problemet og hvordan du reproduserer problemet:

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. Vent til sporingen er slått sammen.

8. Inkluder både filen og mappen i innsendingen til Microsoft Kundestøtte.

Tips

Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:

• Angi innstillinger for Microsoft Defender for endepunkt på macOS
• Microsoft Defender for endepunkt på Mac
• Innstillinger for macOS-antiviruspolicy for Microsoft Defender Antivirus for Intune
• Angi innstillinger for Microsoft Defender for endepunkt på Linux
• Microsoft Defender for endepunkt på Linux
• Konfigurer Defender for endepunkt på Android-funksjoner
• Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner

Tips

Ytelsestips På grunn av en rekke faktorer (eksempler oppført nedenfor) kan Microsoft Defender Antivirus, som andre antivirusprogrammer, forårsake ytelsesproblemer på endepunktenheter. I noen tilfeller må du kanskje justere ytelsen til Microsoft Defender Antivirus for å unngå disse ytelsesproblemene. Microsofts ytelsesanalyse er et powershell-kommandolinjeverktøy som bidrar til å avgjøre hvilke filer, filbaner, prosesser og filtyper som kan forårsake ytelsesproblemer. noen eksempler er:

• De øverste banene som påvirker skannetiden
• Populære filer som påvirker skannetiden
• De viktigste prosessene som påvirker skannetiden
• De mest populære filtypene som påvirker skannetiden
• Kombinasjoner – for eksempel:
  • toppfiler per filtype
  • øverste baner per utvidelse
  • øverste prosesser per bane
  • toppskanninger per fil
  • toppskanninger per fil per prosess

Du kan bruke informasjonen som samles inn ved hjelp av Ytelsesanalyse, til å vurdere ytelsesproblemer bedre og bruke utbedringshandlinger. Se: Ytelsesanalyse for Microsoft Defender Antivirus.

Se også

• Samle inn diagnosedata for Microsoft Defender antivirus
• Konfigurere og validere utelatelser for antivirusskanninger for Microsoft Defender
• Ytelsesanalyse for Microsoft Defender Antivirus

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.