Delen via

Prestatieproblemen met betrekking tot realtime beveiliging oplossen

  • Artikel

Van toepassing op:

Platforms

  • Windows

Als uw systeem een hoog CPU-gebruik of prestatieproblemen heeft met betrekking tot de realtime-beveiligingsservice in Microsoft Defender voor Eindpunt, kunt u een ticket indienen bij Microsoft-ondersteuning. Volg de stappen in Diagnostische gegevens van Microsoft Defender Antivirus verzamelen.

Als beheerder kunt u deze problemen ook zelf oplossen.

Eerst kunt u controleren of het probleem wordt veroorzaakt door een andere software. Lees Contact opnemen met de leverancier voor antivirusuitsluitingen.

Anders kunt u bepalen welke software is gerelateerd aan het geïdentificeerde prestatieprobleem door de stappen in Het Microsoft-beveiligingslogboek analyseren te volgen.

U kunt ook aanvullende logboeken opgeven voor uw inzending bij Microsoft-ondersteuning door de stappen te volgen in:

Voor prestatiespecifieke problemen met betrekking tot Microsoft Defender Antivirus raadpleegt u: Performance Analyzer for Microsoft Defender Antivirus

Neem contact op met de leverancier voor antivirusuitsluitingen

Als u gemakkelijk kunt vaststellen welke software van invloed is op de systeemprestaties, gaat u naar het Knowledge Base of het ondersteuningscentrum van de softwareleverancier. Search als ze aanbevelingen hebben over antivirusuitsluitingen. Als de website van de leverancier deze niet heeft, kunt u een ondersteuningsticket met de leverancier openen en vragen om er een te publiceren.

We raden softwareleveranciers aan de verschillende richtlijnen in Partnering with the industry te volgen om fout-positieven te minimaliseren. De leverancier kan de software indienen via de Microsoft-beveiligingsinformatie portal.

Het Microsoft Protection-logboek analyseren

U vindt het microsoft-beveiligingslogboekbestand in C:\ProgramData\Microsoft\Windows Defender\Support.

In MPLog-xxxxxxxx-xxxxxx.log vindt u de informatie over de geschatte prestatie-impact van het uitvoeren van software als EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Veldnaam Omschrijving
ProcessImageName Naam van procesafbeelding
TotalTime De cumulatieve duur in milliseconden die wordt besteed aan scans van bestanden die door dit proces worden geopend
Tellen Het aantal gescande bestanden dat door dit proces wordt geopend
MaxTime De duur in milliseconden in de langste enkele scan van een bestand dat door dit proces wordt geopend
MaxTimeFile Het pad van het bestand dat door dit proces is geopend waarvoor de langste scan van MaxTime de duur is vastgelegd
EstimatedImpact Het percentage tijd dat is besteed aan scans voor bestanden die door dit proces zijn geopend buiten de periode waarin dit proces scanactiviteit heeft ervaren

Als de impact op de prestaties hoog is, probeert u het proces toe te voegen aan de pad-/procesuitsluitingen door de stappen in Uitsluitingen configureren en valideren voor Microsoft Defender Antivirus-scans te volgen.

Als de vorige stap het probleem niet oplost, kunt u in de volgende secties meer informatie verzamelen via procesmonitor of Windows Performance Recorder .

Proceslogboeken vastleggen met procesmonitor

Process Monitor (ProcMon) is een geavanceerd bewakingsprogramma waarmee realtime processen kunnen worden weergegeven. U kunt dit gebruiken om het prestatieprobleem vast te leggen terwijl het zich voordoet.

  1. Download Process Monitor v3.89 naar een map zoals C:\temp.

  2. De markering van het bestand op het web verwijderen:

    1. Klik met de rechtermuisknop op ProcessMonitor.zip en selecteer Eigenschappen.
    2. Zoek op het tabblad Algemeen naar Beveiliging.
    3. Schakel het selectievakje naast Blokkering opheffen in.
    4. Selecteer Toepassen.

    De pagina MOTW verwijderen

  3. Pak het bestand uit zodat C:\temp het mappad wordt C:\temp\ProcessMonitorweergegeven.

  4. Kopieer ProcMon.exe naar de Windows-client of Windows-server die u wilt oplossen.

  5. Voordat u ProcMon uitvoert, moet u ervoor zorgen dat alle andere toepassingen die niet zijn gerelateerd aan het probleem met hoog CPU-gebruik, zijn gesloten. Als u dit doet, wordt het aantal te controleren processen geminimaliseerd.

  6. U kunt ProcMon op twee manieren starten.

    1. Klik met de rechtermuisknop op ProcMon.exe en selecteer Als administrator uitvoeren.

      Omdat logboekregistratie automatisch wordt gestart, selecteert u het vergrootglaspictogram om de huidige opname te stoppen of gebruikt u de sneltoets Ctrl+E.

      Het vergrootglaspictogram

      Als u wilt controleren of u de opname hebt gestopt, controleert u of het vergrootglaspictogram nu wordt weergegeven met een rode X.

      De rode slash

      Als u de eerdere opname wilt wissen, selecteert u het gumpictogram.

      Het pictogram Wissen

      Of gebruik de sneltoets Ctrl+X.

    2. De tweede manier is om de opdrachtregel uit te voeren als beheerder en vervolgens vanuit het pad Procesmonitor de volgende opdracht uit te voeren:

      De cmd-procmon 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Tip

      Maak het ProcMon-venster zo klein mogelijk bij het vastleggen van gegevens, zodat u de tracering eenvoudig kunt starten en stoppen.

      De pagina met een minimale Procmon

  7. Nadat u een van de procedures in stap 6 hebt gevolgd, ziet u een optie voor het instellen van filters. Selecteer OK. U kunt de resultaten altijd filteren nadat de opname is voltooid.

    De pagina waarop Systeem uitsluiten is gekozen als de filterprocesnaam

  8. Als u de opname wilt starten, selecteert u nogmaals het vergrootglaspictogram.

  9. Reproduceer het probleem.

    Tip

    Wacht tot het probleem volledig is gereproduceerd en noteer het tijdstempel wanneer de tracering is gestart.

  10. Zodra u twee tot vier minuten procesactiviteit hebt tijdens het hoge CPU-gebruik, stopt u de opname door het vergrootglaspictogram te selecteren.

  11. Als u de opname wilt opslaan met een unieke naam en met de .pml-indeling, selecteert u Bestand en selecteert u vervolgens Opslaan.... Zorg ervoor dat u de keuzerondjes Alle gebeurtenissen en Native Process Monitor Format (PML) selecteert.

    De pagina Instellingen opslaan

  12. Voor een betere tracering wijzigt u het standaardpad van C:\temp\ProcessMonitor\LogFile.PML in C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML waar:

    • %ComputerName% is de naam van het apparaat
    • MMDDYEAR is de maand, dag en jaar
    • Repro_of_issue is de naam van het probleem dat u probeert te reproduceren

    Tip

    Als u een werkend systeem hebt, wilt u misschien een voorbeeldlogboek ophalen om te vergelijken.

  13. Zip het .pml-bestand en verzend het naar Microsoft-ondersteuning.

Prestatielogboeken vastleggen met Windows Performance Recorder

U kunt Windows Performance Recorder (WPR) gebruiken om aanvullende informatie op te nemen in uw inzending bij Microsoft-ondersteuning. WPR is een krachtig opnameprogramma waarmee Gebeurtenistracering voor Windows-opnamen wordt gemaakt.

WPR maakt deel uit van de Windows Assessment and Deployment Kit (Windows ADK) en kan worden gedownload via De Windows ADK downloaden en installeren. U kunt deze ook downloaden als onderdeel van de Windows 10 Software Development Kit op Windows 10 SDK.

U kunt de WPR-gebruikersinterface gebruiken door de stappen te volgen in Prestatielogboeken vastleggen met behulp van de WPR-gebruikersinterface.

U kunt ook het opdrachtregelprogramma wpr.exegebruiken, dat beschikbaar is in Windows 8 en nieuwere versies door de stappen te volgen in Prestatielogboeken vastleggen met behulp van de WPR CLI.

Prestatielogboeken vastleggen met behulp van de WPR-gebruikersinterface

Tip

Als meerdere apparaten dit probleem ondervinden, gebruikt u het apparaat met het meeste RAM-geheugen.

  1. Download en installeer WPR.

  2. Klik onder Windows-kits met de rechtermuisknop op Windows Performance Recorder.

    Het Startmenu

    Selecteer Meer. Selecteer Als beheerder uitvoeren.

  3. Wanneer het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, selecteert u Ja.

    De UAC-pagina

  4. Download vervolgens het Microsoft Defender voor Eindpunt analyseprofiel en sla het op als MDAV.wprp in een map zoals C:\temp.

  5. Selecteer meer opties in het dialoogvenster WPR.

    De pagina waarop u meer opties kunt selecteren

  6. Selecteer Profielen toevoegen... en blader naar het pad van het MDAV.wprp bestand.

  7. Daarna ziet u een nieuwe profielset onder Aangepaste metingen met de naam Microsoft Defender voor Eindpunt analyse eronder.

    Het in-bestand

    Waarschuwing

    Als uw Windows Server 64 GB RAM-geheugen of meer heeft, gebruikt u de aangepaste meting Microsoft Defender for Endpoint analysis for large servers in plaats van Microsoft Defender for Endpoint analysis. Anders kan uw systeem een grote hoeveelheid niet-gepaginad poolgeheugen of buffers verbruiken, wat kan leiden tot instabiliteit van het systeem. U kunt kiezen welke profielen u wilt toevoegen door Resourceanalyse uit te vouwen. Dit aangepaste profiel biedt de benodigde context voor diepgaande prestatieanalyse.

  8. De aangepaste meting gebruiken Microsoft Defender voor Eindpunt uitgebreid analyseprofiel in de WPR-gebruikersinterface:

    1. Zorg ervoor dat er geen profielen zijn geselecteerd onder de groepen Eerste niveau triage, Resourceanalyse en Scenarioanalyse .
    2. Selecteer Aangepaste metingen.
    3. Selecteer Microsoft Defender voor Eindpunt analyse.
    4. Selecteer Uitgebreid onder Detailniveau .
    5. Selecteer Bestand of Geheugen onder Logboekregistratiemodus.

    Belangrijk

    Selecteer Bestand om de logboekregistratiemodus voor bestanden te gebruiken als het prestatieprobleem rechtstreeks door de gebruiker kan worden gereproduceerd. De meeste problemen vallen onder deze categorie. Als de gebruiker het probleem echter niet rechtstreeks kan reproduceren, maar het probleem gemakkelijk kan zien zodra het probleem zich voordoet, moet de gebruiker Geheugen selecteren om de geheugenlogboekmodus te gebruiken. Dit zorgt ervoor dat het traceringslogboek niet te hoog wordt vanwege de lange uitvoeringstijd.

  9. U bent nu klaar om gegevens te verzamelen. Sluit alle toepassingen af die niet relevant zijn voor het reproduceren van het prestatieprobleem. U kunt Opties verbergen selecteren om de ruimte die door het WPR-venster wordt bezet, klein te houden.

    De opties verbergen

    Tip

    Probeer de tracering op een heel aantal seconden te starten. Bijvoorbeeld 01:30:00. Dit maakt het gemakkelijker om de gegevens te analyseren. Probeer ook de tijdstempel bij te houden van precies wanneer het probleem wordt gereproduceerd.

  10. Selecteer Start.

    De pagina Systeemgegevens vastleggen

  11. Reproduceer het probleem.

    Tip

    Houd de gegevensverzameling op maximaal vijf minuten. Twee tot drie minuten is een goed bereik omdat er veel gegevens worden verzameld.

  12. Klik op Opslaan.

    De optie Opslaan

  13. Vul het type in een gedetailleerde beschrijving van het probleem in: met informatie over het probleem en hoe u het probleem hebt gereproduceerd.

    Het deelvenster waarin u vult

    1. Selecteer Bestandsnaam: om te bepalen waar het traceringsbestand wordt opgeslagen. Deze wordt standaard opgeslagen in %user%\Documents\WPR Files\.
    2. Klik op Opslaan.

  14. Wacht tot de tracering wordt samengevoegd.

    De ALGEMENE tracering van WPR

  15. Nadat de tracering is opgeslagen, selecteert u Map openen.

    De pagina met de melding dat de WPR-trace is opgeslagen

    Neem zowel het bestand als de map op in uw inzending naar Microsoft Ondersteuning.

    De details van het bestand en de map

Prestatielogboeken vastleggen met de WPR CLI

Het opdrachtregelprogramma wpr.exe maakt deel uit van het besturingssysteem dat begint met Windows 8. Een WPR-trace verzamelen met behulp van het opdrachtregelprogramma wpr.exe:

  1. Download Microsoft Defender voor Eindpunt analyseprofiel voor prestatietraceringen naar een bestand met de naam MDAV.wprp in een lokale map, zoals C:\traces.

  2. Klik met de rechtermuisknop op het pictogram Startmenu en selecteer Windows PowerShell (Beheer) of Opdrachtprompt (Beheer) om een Beheer opdrachtpromptvenster te openen.

  3. Wanneer het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, selecteert u Ja.

  4. Voer bij de prompt met verhoogde bevoegdheid de volgende opdracht uit om een Microsoft Defender voor Eindpunt prestatietracering te starten:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Waarschuwing

    Als uw Windows Server 64 GB of RAM-geheugen of meer heeft, gebruikt u profielen WDForLargeServers.Light en WDForLargeServers.Verbose in plaats van profielen WD.Light en WD.Verboserespectievelijk. Anders kan uw systeem een grote hoeveelheid niet-gepaginad poolgeheugen of buffers verbruiken, wat kan leiden tot instabiliteit van het systeem.

  5. Reproduceer het probleem.

    Tip

    Houd de gegevensverzameling niet langer dan vijf minuten. Afhankelijk van het scenario is twee tot drie minuten een goed bereik omdat er veel gegevens worden verzameld.

  6. Voer bij de prompt met verhoogde bevoegdheid de volgende opdracht uit om de prestatietracering te stoppen. Zorg ervoor dat u informatie opgeeft over het probleem en hoe u het probleem hebt gereproduceerd:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Wacht totdat de tracering is samengevoegd.

  8. Neem zowel het bestand als de map op in uw inzending bij Microsoft-ondersteuning.

Tip

Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:

Tip

Prestatietip Vanwege verschillende factoren (voorbeelden hieronder) kan Microsoft Defender Antivirus, net als andere antivirussoftware, prestatieproblemen veroorzaken op eindpuntapparaten. In sommige gevallen moet u mogelijk de prestaties van Microsoft Defender Antivirus afstemmen om deze prestatieproblemen te verhelpen. Performance Analyzer van Microsoft is een PowerShell-opdrachtregelprogramma waarmee u kunt bepalen welke bestanden, bestandspaden, processen en bestandsextensies prestatieproblemen kunnen veroorzaken. enkele voorbeelden zijn:

  • Belangrijkste paden die van invloed zijn op de scantijd
  • Belangrijkste bestanden die van invloed zijn op de scantijd
  • Belangrijkste processen die van invloed zijn op de scantijd
  • Belangrijkste bestandsextensies die van invloed zijn op de scantijd
  • Combinaties , bijvoorbeeld:
    • belangrijkste bestanden per extensie
    • bovenste paden per extensie
    • belangrijkste processen per pad
    • bovenste scans per bestand
    • topscans per bestand per proces

U kunt de informatie die is verzameld met Performance Analyzer gebruiken om prestatieproblemen beter te beoordelen en herstelacties toe te passen. Zie Prestatieanalyse voor Microsoft Defender Antivirus.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.