Delen via


Prestatieproblemen met Microsoft Defender Antivirus oplossen met Procesmonitor

Tip

Bekijk eerst veelvoorkomende redenen voor prestatieproblemen, zoals hoog CPU-gebruik. Zie Prestatieproblemen oplossen met betrekking tot Microsoft Defender Realtime-beveiliging (rtp) of scans (gepland of op aanvraag). Voer vervolgens de **Microsoft Defender Antivirus-Performance Analyzer**Dit hulpprogramma helpt bij het identificeren van de oorzaak van hoog CPU-gebruik in Microsoft Defender Antivirus, of het nu gaat om de uitvoerbare antimalwareservice, de Microsoft Defender Antivirus-service of MsMpEng.exe. Als de Microsoft Defender Antivirus-Performance Analyzer de hoofdoorzaak van het hoge CPU-gebruik niet identificeert, gaat u verder met het uitvoeren van Processor Monitor. Het laatste hulpprogramma in uw toolkit dat moet worden uitgevoerd, is Windows Performance Recorder UI (WPRUI) of Windows Performance Recorded (WPR-opdrachtregel).

Proceslogboeken vastleggen met procesmonitor

Process Monitor (ProcMon) is een geavanceerd bewakingsprogramma dat realtime gegevens over processen biedt. Het kan worden gebruikt om prestatieproblemen vast te leggen, zoals een hoog CPU-gebruik, en om toepassingscompatibiliteitsscenario's te bewaken wanneer deze zich voordoen.

Er zijn twee manieren om een ProcMon-trace (Process Monitor) vast te leggen:

  1. De MDE Client Analyzer gebruiken

  2. Manueel

De MDE Client Analyzer gebruiken

  1. Download de MDE Client Analyzer.

  2. Voer de MDE Client Analyzer uit met behulp van Live Response of lokaal.

    Tip

    Voordat u de tracering start, moet u ervoor zorgen dat het probleem reproduceerbaar is. Sluit bovendien toepassingen die niet bijdragen aan de reproductie van het probleem.

  3. Voer de MDE Client Analyzer uit met de schakelopties -c en -v

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v
    

Manueel

  1. Download Process Monitor v3.89 naar een map zoals C:\temp.

  2. De markering van het bestand op het web verwijderen:

    1. Klik met de rechtermuisknop op ProcessMonitor.zip en selecteer Eigenschappen.

    2. Zoek op het tabblad Algemeen naar Beveiliging.

    3. Schakel het selectievakje naast Blokkering opheffen in.

    4. Selecteer Toepassen.

      Schermopname van de pagina MOTW verwijderen.

  3. Pak het bestand uit zodat C:\temp het mappad is C:\temp\ProcessMonitor.

  4. Kopieer ProcMon.exe naar de Windows-client of Windows-server die u wilt oplossen.

    Tip

    Voordat u ProcMon uitvoert, moet u ervoor zorgen dat alle andere toepassingen die niet zijn gerelateerd aan het probleem met hoog CPU-gebruik, zijn gesloten. Als u deze stap uitvoert, wordt het aantal te controleren processen geminimaliseerd.

  5. U kunt ProcMon op twee manieren starten.

    1. Klik met de rechtermuisknop op ProcMon.exe en selecteer Als administrator uitvoeren.
    • Omdat logboekregistratie automatisch wordt gestart, stopt u de opname door het vergrootglaspictogram te selecteren of op Ctrl+E te drukken.

      Schermopname van het vergrootglaspictogram.

    1. Als u wilt controleren of de opname is gestopt, zoekt u naar een rode X op het vergrootglaspictogram.

      Schermopname van een rode slash. Schermopname van het pictogram Wissen.

    2. Voer de opdrachtregel uit als beheerder en voer vervolgens vanuit het pad Procescontrole het volgende uit:

      Schermopname van de cmd-procmon.

    Tip

    Maak het ProcMon-venster zo klein mogelijk bij het vastleggen van gegevens, zodat u de tracering eenvoudig kunt starten en stoppen. Schermopname van de pagina met Procmon geminimaliseerd.

  6. Nadat u stap 6 hebt voltooid, stelt u filters in door OK te selecteren. U kunt de resultaten filteren nadat de opname is voltooid.

    Schermopname van de pagina waarop Systeem uitsluiten is gekozen als de filterprocesnaam.

  7. Als u de opname wilt starten, selecteert u nogmaals het vergrootglaspictogram.

  8. Reproduceer het probleem.

    Tip

    Wacht tot het probleem is gereproduceerd en noteer het tijdstempel wanneer de tracering begint.

  9. Nadat u twee tot vier minuten procesactiviteit hebt vastgelegd tijdens een hoog CPU-gebruik, stopt u de opname door op het vergrootglaspictogram te klikken.

  10. Als u de opname wilt opslaan met een unieke naam in de .pml indeling, gaat u naar Bestand en klikt u op Opslaan.... Zorg ervoor dat u het keuzerondje Alle gebeurtenissen en Native Process Monitor Format (PML) selecteert.

    Schermopname van de pagina instellingen opslaan.

  11. Voor een betere tracering wijzigt u het standaardpad van C:\temp\ProcessMonitor\LogFile.PML in C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML waar:

  • %ComputerName% is de naam van het apparaat
  • MMDDYEAR is de maand, dag en jaar
  • Repro_of_issue is de naam van het probleem dat u probeert te reproduceren

Tip

Als u een werkend systeem hebt, wilt u misschien een voorbeeldlogboek ophalen om te vergelijken.

  1. Zip het .pml bestand en verzend het naar Microsoft Ondersteuning.