Delen via

Verzamelen van gegevens voor geavanceerde probleemoplossing in Windows

  • Artikel

Van toepassing op:

Wanneer u samenwerkt met ondersteuningsmedewerkers van Microsoft, wordt u mogelijk gevraagd om de clientanalyse te gebruiken om gegevens te verzamelen voor het oplossen van problemen met complexere scenario's. Het analysescript ondersteunt andere parameters voor dat doel en kan een specifieke logboekset verzamelen op basis van de waargenomen symptomen die moeten worden onderzocht.

Voer uit MDEClientAnalyzer.cmd /? om de lijst met beschikbare parameters en de bijbehorende beschrijving weer te geven:

De parameters voor MDEClientAnalyzer.cmd

Schakelen Omschrijving Wanneer gebruiken Verwerk dat u problemen wilt oplossen.
-h Roept Windows Performance Recorder aan om naast de standaardlogboekset een uitgebreide algemene prestatietracering te verzamelen. Trage start/start van toepassing. Wanneer u op een knop in de app klikt, duurt het x seconden langer. Een van de volgende opties:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Roept ingebouwde Windows-prestatiemeter aan om een lichtgewicht prestatietracering te verzamelen. Dit scenario kan handig zijn bij het diagnosticeren van trage prestatiedegradatieproblemen die in de loop van de tijd optreden, maar die moeilijk op aanvraag kunnen worden gereproduceerd. Problemen met toepassingsprestaties oplossen die traag kunnen worden gereproduceerd (manifest) zelf. We raden u aan maximaal drie minuten (maximaal vijf minuten) vast te leggen, omdat uw gegevensset te groot kan worden. Een van de volgende opties:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Roept procesmonitor aan voor geavanceerde bewaking van realtime bestandssysteem, register en proces-/threadactiviteit. Dit is met name handig bij het oplossen van problemen met verschillende toepassingscompatibiliteitsscenario's. Process Monitor (ProcMon) voor het initiëren van een opstarttracering bij het onderzoeken van een probleem met betrekking tot het opstarten van een stuurprogramma of service of toepassing. Of toepassingen die worden gehost op een netwerkshare die niet op de juiste manier SMB Opportunistic Locking (Oplock) gebruiken, waardoor compatibiliteitsproblemen met toepassingen worden veroorzaakt. Een van de volgende opties:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Roept ingebouwde netsh.exe opdracht aan om een netwerk- en Windows Firewall-tracering te starten die handig is bij het oplossen van verschillende netwerkgerelateerde problemen. Bij het oplossen van netwerkgerelateerde problemen, zoals EDR-telemetrie van Defender voor Eindpunt of Problemen met het verzenden van CnC-gegevens. Microsoft Defender problemen met de rapportage van Antivirus Cloud Protection (MAPS). Problemen met betrekking tot netwerkbeveiliging, enzovoort. Een van de volgende processen:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b Hetzelfde als -c maar de tracering van de procesmonitor wordt gestart tijdens de volgende keer opstarten en alleen gestopt wanneer de -b opnieuw wordt gebruikt. Process Monitor (ProcMon) voor het initiëren van een opstarttracering bij het onderzoeken van een probleem met betrekking tot het opstarten van een stuurprogramma of service of toepassing. Dit scenario kan ook worden gebruikt om een langzaam opstarten of trage aanmelding te onderzoeken. Een van de volgende processen:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Roept Windows Performance Recorder aan om Defender AV-clienttracering (AM-Engine en AM-Service) te verzamelen voor analyse van connectiviteitsproblemen in de antiviruscloud. Bij het oplossen van problemen met rapportagefouten in Cloud Protection (MAPS). MsMpEng.exe
-a Roept Windows Performance Recorder aan om een uitgebreide prestatietracering te verzamelen die specifiek is voor analyse van problemen met een hoog CPU-gebruik met betrekking tot het antivirusproces (MsMpEng.exe). Bij het oplossen van problemen met hoog CPU-gebruik met Microsoft Defender Antivirus (uitvoerbare antimalwareservice of MsMpEng.exe) als u de Microsoft Defender Antivirus-Performance Analyzer al hebt gebruikt om de /path/process of /path of bestandsextensie te beperken die bijdraagt aan het hoge cpu-gebruik. In dit scenario kunt u verder onderzoeken wat de toepassing of service doet om bij te dragen aan het hoge CPU-gebruik. MsMpEng.exe
-v Maakt gebruik van antivirusMpCmdRun.exe opdrachtregelargument met de meeste uitgebreide traceringsvlagken. Wanneer er een geavanceerde probleemoplossing nodig is. Zoals bij het oplossen van problemen met het melden van cloudbeveiligingsfouten (MAPS), platformupdatefouten, engine-updatefouten, beveiligingsinformatie-updatefouten, fout-negatieven, enzovoort. Kan ook worden gebruikt met -b, -c, -hof -l. MsMpEng.exe
-t Hiermee start u uitgebreide tracering van alle onderdelen aan de clientzijde die relevant zijn voor eindpunt-DLP. Dit is handig voor scenario's waarin DLP-acties niet worden uitgevoerd zoals verwacht voor bestanden. Wanneer u problemen ondervindt waarbij de verwachte DLP-acties (Preventie van eindpuntgegevensverlies) van Microsoft niet optreden. MpDlpService.exe
-q Roept DLPDiagnose.ps1 script aan vanuit de analyzer-directory Tools waarmee de basisconfiguratie en vereisten voor eindpunt-DLP worden gevalideerd. Controleert de basisconfiguratie en vereisten voor Microsoft Endpoint DLP MpDlpService.exe
-d Verzamelt een geheugendump van MsSenseS.exe (het sensorproces op Windows Server 2016 of ouder besturingssysteem) en gerelateerde processen. - * Deze vlag kan worden gebruikt met bovenstaande vlaggen. - ** Het vastleggen van een geheugendump van met PPL beveiligde processen , zoals MsSense.exe of MsMpEng.exe wordt op dit moment niet ondersteund door de analyse. Op Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 of Windows Server 2016 met de MMA-agent en prestatieproblemen (hoog CPU- of hoog geheugengebruik) of compatibiliteitsproblemen met toepassingen. MsSenseS.exe
-z Hiermee configureert u registersleutels op de computer om deze voor te bereiden op volledige geheugendumpverzameling van de machine via CrashOnCtrlScroll. Dit is handig voor het analyseren van problemen met het blokkeren van computers. * Houd de meest rechtse Ctrl-toets ingedrukt en druk tweemaal op de toets SCROLL LOCK. Machine loopt vast of reageert niet of traag. Hoog geheugengebruik (geheugenlek): a) Gebruikersmodus: privébytes b) Kernelmodus: pagineerde pool of niet-wisselgeheugen pool, lekken verwerken. MSSense.exe of MsMpEng.exe
-k Maakt gebruik van het hulpprogramma NotMyFault om het systeem te laten crashen en een geheugendump van de machine te genereren. Dit is handig voor het analyseren van verschillende stabiliteitsproblemen met het besturingssysteem. Hetzelfde als hierboven. MSSense.exe of MsMpEng.exe

De analyse en alle scenariovlagmen die in dit artikel worden vermeld, kunnen op afstand worden gestart door uit te voeren RemoteMDEClientAnalyzer.cmd, die ook is gebundeld in de analysehulpprogrammaset:

De parameters voor RemoteMDEClientAnalyzer.cmd

Opmerking

Wanneer een geavanceerde parameter voor probleemoplossing wordt gebruikt, roept de analyzer ook MpCmdRun.exe aan om Microsoft Defender antivirusgerelateerde ondersteuningslogboeken te verzamelen. U kunt vlag gebruiken -g om URL's voor een specifieke datacenterregio te valideren, zelfs zonder onboarding naar die regio
Dwingt de analyse bijvoorbeeld MDEClientAnalyzer.cmd -g EU af om cloud-URL's in de regio Europa te testen.

Een paar punten om rekening mee te houden

Wanneer u gebruikt RemoteMDEClientAnalyzer.cmd, wordt het psexec aangeroepen om het hulpprogramma te downloaden van de geconfigureerde bestandsshare en vervolgens lokaal uit te voeren via PsExec.exe.

Het CMD-script gebruikt de -r vlag om op te geven dat het extern wordt uitgevoerd binnen DE SYSTEEM-context, zodat er geen prompt wordt weergegeven aan de gebruiker.

Dezelfde vlag kan worden gebruikt met MDEClientAnalyzer.cmd om te voorkomen dat de gebruiker wordt gevraagd om het aantal minuten voor gegevensverzameling op te geven. Denk bijvoorbeeld aan MDEClientAnalyzer.cmd -r -i -m 5.

  • -r geeft aan dat het hulpprogramma wordt uitgevoerd vanuit een externe (of niet-interactieve context).
  • -i is de scenariovlag voor het verzamelen van netwerktracering samen met andere gerelateerde logboeken.
  • -m # geeft het aantal minuten aan dat moet worden uitgevoerd (we hebben in ons voorbeeld 5 minuten gebruikt).

Wanneer u gebruikt MDEClientAnalyzer.cmd, controleert het script op bevoegdheden met behulp van net session, waarvoor de service Server moet worden uitgevoerd. Als dat niet zo is, krijgt u het foutbericht Script wordt uitgevoerd met onvoldoende bevoegdheden. Voer het uit met beheerdersbevoegdheden als ECHO is uitgeschakeld.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.