Share via

Datainnsamling for avansert feilsøking i Windows

  • Artikkel

Gjelder for:

Når du samarbeider med microsofts kundestøtteteknikere, kan du bli bedt om å bruke klientanalysen til å samle inn data for feilsøking av mer komplekse scenarioer. Analyseskriptet støtter andre parametere for dette formålet og kan samle inn et bestemt loggsett basert på de observerte symptomene som må undersøkes.

Kjør MDEClientAnalyzer.cmd /? for å se listen over tilgjengelige parametere og tilhørende beskrivelse:

Parameterne for MDEClientAnalyzer.cmd

Bytte Beskrivelse Når du skal bruke Prosess som du feilsøker.
-h Kaller inn Windows Performance Recorder for å samle inn en detaljert generell ytelsessporing i tillegg til standard loggsett. Treg programstart/start. Når du klikker på en knapp i appen, tar det x sekunder lenger. Ett av følgende:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Kaller inn innebygd Windows Ytelsesmåler for å samle inn en lett perfmon-sporing. Dette scenarioet kan være nyttig når du diagnostiserer problemer med dårlig ytelse som oppstår over tid, men vanskelig å reprodusere ved behov. Feilsøke programytelse som kan ta lang tid å reprodusere (manifest) seg selv. Vi anbefaler at du registrerer opptil tre minutter (maksimalt fem minutter), fordi datasettet kan bli for stort. Ett av følgende:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Kaller inn prosessovervåking for avansert overvåking av sanntids filsystem, register og prosess-/trådaktivitet. Dette er spesielt nyttig når du feilsøker ulike programkompatibilitetsscenarioer. Prosessovervåking (ProcMon) for å starte en oppstartssporing når du undersøker en driver eller tjeneste eller programoppstartsforsinkelse relatert til problem. Eller programmer som driftes på en delt nettverksressurs som ikke bruker SMB Opportunistic Locking (Oplock), forårsaker programkompatibilitetsproblemer på riktig måte. Ett av følgende:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Kaller inn innebygd netsh.exe kommando for å starte et nettverk og Windows-brannmursporing som er nyttig når du feilsøker ulike nettverksrelaterte problemer. Når du feilsøker nettverksrelaterte problemer, for eksempel Defender for Endpoint EDR-telemetri eller problemer med cnc-datainnsending. rapporteringsproblemer med Microsoft Defender Antivirus Cloud Protection (MAPS). Problemer relatert til nettverksbeskyttelse, og så videre. Én av følgende prosesser:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b Samme som -c , men prosessovervåkingssporingen startes under neste oppstart og stoppes bare når -b brukes på nytt. Prosessovervåking (ProcMon) for å starte en oppstartssporing når du undersøker en driver eller tjeneste eller programoppstartsforsinkelse relatert til problem. Dette scenarioet kan også brukes til å undersøke en treg oppstart eller langsom pålogging. Én av følgende prosesser:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Kaller inn Windows Performance Recorder for å samle inn Defender AV Client tracing (AM-Engine og AM-Service) for analyse av antivirusskytilkoblingsproblemer. Når du feilsøker feil ved rapportering av Cloud Protection (MAPS). MsMpEng.exe
-a Kaller inn Windows Performance Recorder for å samle inn en detaljert ytelsessporing som er spesifikk for analyse av høye CPU-problemer relatert til antivirusprosessen (MsMpEng.exe). Når du feilsøker høy prosessorbruk med Microsoft Defender Antivirus (kjørbar fil for beskyttelse mot skadelig programvare eller MsMpEng.exe) hvis du allerede har brukt Microsoft Defender Antivirus-Ytelsesanalyse til å begrense /bane/prosess eller /bane eller filtype som bidrar til høy prosessbruk. Dette scenarioet gjør det mulig å undersøke nærmere hva programmet eller tjenesten gjør for å bidra til den høye prosessorutnyttelsen. MsMpEng.exe
-v Bruker antivirus MpCmdRun.exe kommandolinjeargument med mest detaljerte sporingsflagg. Når en avansert feilsøking er nødvendig. For eksempel når du feilsøker feil i rapportering av Cloud Protection (MAPS), mislykkede plattformoppdateringer, feil i motoroppdateringer, feil i sikkerhetsanalyseoppdateringer, falske negativer osv. Kan også brukes med -b, -c, -heller -l. MsMpEng.exe
-t Starter detaljert sporing av alle komponenter på klientsiden som er relevante for endepunkt-DLP, noe som er nyttig for scenarioer der DLP-handlinger ikke skjer som forventet for filer. Når det oppstår problemer der forventet DLP-handlinger (Microsoft Endpoint Data Loss Prevention) ikke oppstår. MpDlpService.exe
-q Kaller inn DLPDiagnose.ps1 skript fra analysekatalogen som validerer Tools grunnleggende konfigurasjon og krav for endepunkt-DLP. Kontrollerer grunnleggende konfigurasjon og krav for Microsoft Endpoint DLP MpDlpService.exe
-d Samler inn en minnedump av MsSenseS.exe (sensorprosessen på Windows Server 2016 eller eldre OS) og relaterte prosesser. - * Dette flagget kan brukes med flagg som er nevnt ovenfor. - ** Registrering av en minnedump av PPL-beskyttede prosesser , for eksempel MsSense.exe eller MsMpEng.exe , støttes ikke av analyseverktøyet for øyeblikket. På Windows 7 SP1 kjører Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 eller Windows Server 2016 med MMA-agenten og har ytelse (høy cpu eller høy minnebruk) eller programkompatibilitetsproblemer. MsSenseS.exe
-z Konfigurerer registernøkler på maskinen for å klargjøre den for full maskinminnedumpsamling via CrashOnCtrlScroll. Dette vil være nyttig for analyse av problemer med datafrysing. * Hold nede CTRL lengst til høyre, og trykk deretter SCROLL LOCK to ganger. Maskin hengende eller svarer ikke eller er treg. Høy minnebruk (minnelekkasje): a) Brukermodus: Private byte b) Kjernemodus: sideutvalg eller ikke-sideutvalgsminne, håndter lekkasjer. MSSense.exe Eller MsMpEng.exe
-k Bruker NotMyFault-verktøyet til å tvinge systemet til å krasje og generere en maskinminnedump. Dette vil være nyttig for analyse av ulike os stabilitetsproblemer. Samme som ovenfor. MSSense.exe Eller MsMpEng.exe

Analyseverktøyet og alle scenarioflaggene som er oppført i denne artikkelen, kan startes eksternt ved å kjøre RemoteMDEClientAnalyzer.cmd, som også er buntet inn i analyseverktøysettet:

Parameterne for RemoteMDEClientAnalyzer.cmd

Obs!

Når en avansert feilsøkingsparameter brukes, kaller analyseverktøyet også til MpCmdRun.exe for å samle inn Microsoft Defender antivirusrelaterte støttelogger. Du kan bruke -g flagg til å validere url-adresser for et bestemt datasenterområde, selv uten å bli koblet til området
For eksempel tvinger MDEClientAnalyzer.cmd -g EU analyseren til å teste nettadresser i Europa.

Noen få punkter å huske på

Når du bruker RemoteMDEClientAnalyzer.cmd, blir det oppringt psexec til å laste ned verktøyet fra den konfigurerte delte filressursen og deretter kjøre det lokalt via PsExec.exe.

CMD-skriptet -r bruker flagget til å angi at det kjører eksternt i SYSTEM-kontekst, og derfor vises ingen ledetekst for brukeren.

Det samme flagget kan brukes med MDEClientAnalyzer.cmd for å unngå en melding til brukeren om å angi antall minutter for datainnsamling. Vurder for MDEClientAnalyzer.cmd -r -i -m 5eksempel .

  • -r angir at verktøyet kjøres fra ekstern (eller ikke-interaktiv kontekst).
  • -i er scenarioflagget for samling av nettverkssporing sammen med andre relaterte logger.
  • -m # angir antall minutter å kjøre (vi brukte fem minutter i eksemplet vårt).

Når du bruker MDEClientAnalyzer.cmd, ser skriptet etter rettigheter ved hjelp av net session, noe som krever at tjenesten Server kjører. Hvis den ikke er det, får du feilmeldingen Skript kjører med utilstrekkelige rettigheter. Kjør den med administratorrettigheter hvis ECHO er deaktivert.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.