Udostępnij za pośrednictwem

Rozwiąż problemy z wydajnością związane z ochroną w czasie rzeczywistym

  • Artykuł

Dotyczy:

Platformy

  • System Windows

Jeśli w systemie występują problemy z wysokim użyciem procesora CPU lub wydajnością związane z usługą ochrony w czasie rzeczywistym w Ochrona punktu końcowego w usłudze Microsoft Defender, możesz przesłać bilet do pomocy technicznej firmy Microsoft. Wykonaj kroki opisane w temacie Zbieranie danych diagnostycznych programu antywirusowego Microsoft Defender.

Jako administrator możesz również samodzielnie rozwiązywać te problemy.

Najpierw możesz sprawdzić, czy problem jest spowodowany przez inne oprogramowanie. Przeczytaj artykuł Sprawdź u dostawcy, czy nie ma wykluczeń programu antywirusowego.

W przeciwnym razie można określić, które oprogramowanie jest związane z zidentyfikowanym problemem z wydajnością, wykonując kroki opisane w temacie Analizowanie dziennika ochrony firmy Microsoft.

Możesz również udostępnić dodatkowe dzienniki do przesyłania do pomocy technicznej firmy Microsoft, wykonując kroki opisane w temacie:

Aby uzyskać informacje o problemach związanych z programem antywirusowym Microsoft Defender, zobacz: Analizator wydajności dla programu antywirusowego Microsoft Defender

Skontaktuj się z dostawcą w celu wyszukania wykluczeń antywirusowych

Jeśli możesz łatwo zidentyfikować oprogramowanie wpływające na wydajność systemu, przejdź do centrum baza wiedzy lub pomocy technicznej dostawcy oprogramowania. Search, jeśli mają zalecenia dotyczące wykluczeń oprogramowania antywirusowego. Jeśli witryna internetowa dostawcy ich nie ma, możesz otworzyć z nim bilet pomocy technicznej i poprosić go o opublikowanie.

Zalecamy, aby dostawcy oprogramowania postępowali zgodnie z różnymi wytycznymi w temacie Współpraca z branżą w celu zminimalizowania wyników fałszywie dodatnich. Dostawca może przesłać swoje oprogramowanie za pośrednictwem portalu Microsoft Security Intelligence.

Analizowanie dziennika ochrony firmy Microsoft

Plik dziennika ochrony firmy Microsoft można znaleźć w folderze C:\ProgramData\Microsoft\Windows Defender\Support.

W MPLog-xxxxxxxx-xxxxxx.log można znaleźć informacje o szacowanym wpływie na wydajność uruchamiania oprogramowania jako EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Nazwa pola Opis
ProcessImageName Nazwa obrazu procesu
Totaltime Skumulowany czas trwania w milisekundach poświęcony na skanowanie plików, do których uzyskuje się dostęp w tym procesie
Liczba Liczba zeskanowanych plików, do których uzyskuje się dostęp w tym procesie
MaxTime Czas trwania w milisekundach w najdłuższym pojedynczym skanowaniu pliku uzyskanego przez ten proces
MaxTimeFile Ścieżka pliku, do którego uzyskano dostęp w ramach tego procesu, dla którego zarejestrowano najdłuższe skanowanie MaxTime czasu trwania
EstimatedImpact Procent czasu spędzonego na skanowaniach plików, do których ten proces uzyskiwał dostęp poza okresem, w którym ten proces doświadczył działania skanowania

Jeśli wpływ na wydajność jest wysoki, spróbuj dodać proces do wykluczeń ścieżki/procesu, wykonując kroki opisane w temacie Konfigurowanie i weryfikowanie wykluczeń dla skanowania programu antywirusowego Microsoft Defender.

Jeśli poprzedni krok nie rozwiąże problemu, możesz zebrać więcej informacji za pośrednictwem monitora procesów lub rejestratora wydajności systemu Windows w poniższych sekcjach.

Przechwytywanie dzienników procesów przy użyciu monitora procesów

Process Monitor (ProcMon) to zaawansowane narzędzie do monitorowania, które może wyświetlać procesy w czasie rzeczywistym. Można go użyć do przechwycenia problemu z wydajnością w miarę jego występowania.

  1. Pobierz monitor procesów w wersji 3.89 do folderu takiego jak C:\temp.

  2. Aby usunąć znacznik pliku sieci Web:

    1. Kliknij prawym przyciskiem myszy ProcessMonitor.zip i wybierz pozycję Właściwości.
    2. Na karcie Ogólne poszukaj pozycji Zabezpieczenia.
    3. Zaznacz pole wyboru obok pozycji Odblokuj.
    4. Wybierz pozycję Zastosuj.

    Strona Remove MOTW (Usuwanie motw)

  3. Rozpakuj plik w C:\temp pliku, aby ścieżka folderu to C:\temp\ProcessMonitor.

  4. Skopiuj ProcMon.exe do klienta systemu Windows lub serwera z systemem Windows, z którym są rozwiązywane problemy.

  5. Przed uruchomieniem narzędzia ProcMon upewnij się, że wszystkie inne aplikacje niezwiązane z problemem z wysokim użyciem procesora CPU zostały zamknięte. Spowoduje to zminimalizowanie liczby procesów do sprawdzenia.

  6. Aplikację ProcMon można uruchomić na dwa sposoby.

    1. Kliknij prawym przyciskiem myszy ProcMon.exe i wybierz pozycję Uruchom jako administrator.

      Ponieważ rejestrowanie rozpoczyna się automatycznie, wybierz ikonę lupy, aby zatrzymać bieżące przechwytywanie lub użyć skrótu klawiaturowego Ctrl+E.

      Ikona lupy

      Aby sprawdzić, czy przechwytywanie zostało zatrzymane, sprawdź, czy ikona lupy jest teraz wyświetlana z czerwonym symbolem X.

      Czerwony ukośnik

      Następnie, aby wyczyścić wcześniejsze przechwytywanie, wybierz ikonę gumki.

      Ikona wyczyszczania

      Możesz też użyć skrótu klawiaturowego Ctrl+X.

    2. Drugim sposobem jest uruchomienie wiersza polecenia jako administratora, a następnie z poziomu ścieżki Monitor procesu uruchom polecenie:

      Narzędzie cmd procmon 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Porada

      Ustaw okno ProcMon tak małe, jak to możliwe podczas przechwytywania danych, aby można było łatwo uruchomić i zatrzymać ślad.

      Strona z minimalizowaniem procmona

  7. Po wykonaniu jednej z procedur w kroku 6 zostanie wyświetlona opcja ustawienia filtrów. Wybierz przycisk OK. Zawsze można filtrować wyniki po zakończeniu przechwytywania.

    Strona, na której wybrano opcję Wykluczenie systemu jako nazwę procesu filtrowania

  8. Aby rozpocząć przechwytywanie, ponownie wybierz ikonę lupy.

  9. Odtwórz problem.

    Porada

    Poczekaj na pełne odtworzenie problemu, a następnie zanotuj sygnaturę czasowa rozpoczęcia śledzenia.

  10. Po upływie od dwóch do czterech minut działania procesu w warunku wysokiego użycia procesora CPU zatrzymaj przechwytywanie, wybierając ikonę lupy.

  11. Aby zapisać przechwytywanie z unikatową nazwą i formatem pml, wybierz pozycję Plik, a następnie wybierz pozycję Zapisz.... Upewnij się, że wybrano przyciski radiowe Wszystkie zdarzenia i Format natywnego monitora procesów (PML).

    Strona zapisywania ustawień

  12. Aby lepiej śledzić, zmień domyślną ścieżkę z C:\temp\ProcessMonitor\LogFile.PML miejsca:C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML

    • %ComputerName% to nazwa urządzenia
    • MMDDYEAR to miesiąc, dzień i rok
    • Repro_of_issue to nazwa problemu, który próbujesz odtworzyć

    Porada

    Jeśli masz działający system, możesz pobrać przykładowy dziennik do porównania.

  13. Skompresuj plik pml i prześlij go do pomocy technicznej firmy Microsoft.

Przechwytywanie dzienników wydajności przy użyciu rejestratora wydajności systemu Windows

Możesz użyć rejestratora wydajności systemu Windows (WPR), aby uwzględnić dodatkowe informacje w przesłaniu do pomocy technicznej firmy Microsoft. WPR to zaawansowane narzędzie do rejestrowania, które tworzy śledzenie zdarzeń dla nagrań systemu Windows.

Funkcja WPR jest częścią zestawu Windows Assessment and Deployment Kit (Windows ADK) i może zostać pobrana z pobierania i instalowania zestawu Windows ADK. Możesz go również pobrać w ramach zestawu Windows 10 Software Development Kit w zestawie Windows 10 SDK.

Interfejsu użytkownika funkcji WPR można użyć, wykonując kroki opisane w temacie Przechwytywanie dzienników wydajności przy użyciu interfejsu użytkownika funkcji WPR.

Alternatywnie możesz również użyć narzędzia wiersza polecenia wpr.exe, które jest dostępne w Windows 8 i nowszych wersjach, wykonując kroki opisane w temacie Przechwytywanie dzienników wydajności przy użyciu interfejsu wiersza polecenia funkcji WPR.

Przechwytywanie dzienników wydajności przy użyciu interfejsu użytkownika funkcji WPR

Porada

Jeśli ten problem występuje na wielu urządzeniach, użyj tego, które ma najwięcej pamięci RAM.

  1. Pobierz i zainstaluj samoobsługowe resetowanie hasła.

  2. W obszarze Zestawy systemu Windows kliknij prawym przyciskiem myszy pozycję Rejestrator wydajności systemu Windows.

    Menu Start

    Wybierz pozycję Więcej. Wybierz pozycję Uruchom jako administrator.

  3. Po wyświetleniu okna dialogowego Kontrola konta użytkownika wybierz pozycję Tak.

    Strona funkcji UAC

  4. Następnie pobierz profil analizy Ochrona punktu końcowego w usłudze Microsoft Defender i zapisz jako MDAV.wprp w folderze takim jak C:\temp.

  5. W oknie dialogowym WPR wybierz pozycję Więcej opcji.

    Strona, na której można wybrać więcej opcji

  6. Wybierz pozycję Dodaj profile... i przejdź do ścieżki MDAV.wprp pliku.

  7. Następnie powinien zostać wyświetlony nowy zestaw profilów w obszarze Miary niestandardowe o nazwie Ochrona punktu końcowego w usłudze Microsoft Defender analiza pod nim.

    Plik w pliku

    Ostrzeżenie

    Jeśli system Windows Server ma co najmniej 64 GB pamięci RAM, użyj miary Microsoft Defender for Endpoint analysis for large servers niestandardowej Microsoft Defender for Endpoint analysiszamiast . W przeciwnym razie system może zużywać dużą ilość niestronicowanej pamięci lub buforów puli, co może prowadzić do niestabilności systemu. Możesz wybrać profile do dodania, rozwijając pozycję Analiza zasobów. Ten profil niestandardowy zapewnia kontekst niezbędny do szczegółowej analizy wydajności.

  8. Aby użyć niestandardowego Ochrona punktu końcowego w usłudze Microsoft Defender pełnego profilu analizy w interfejsie użytkownika funkcji WPR:

    1. Upewnij się, że nie wybrano żadnych profilów w grupach Klasyfikacja pierwszego poziomu, Analiza zasobów i Analiza scenariuszy .
    2. Wybierz pozycję Miary niestandardowe.
    3. Wybierz pozycję Ochrona punktu końcowego w usłudze Microsoft Defender analizy.
    4. Wybierz pozycję Pełne w obszarze Poziom szczegółów .
    5. Wybierz pozycję Plik lub Pamięć w trybie rejestrowania.

    Ważna

    Wybierz pozycję Plik , aby użyć trybu rejestrowania plików, jeśli problem z wydajnością może zostać odtworzony bezpośrednio przez użytkownika. Większość problemów należy do tej kategorii. Jeśli jednak użytkownik nie może bezpośrednio odtworzyć problemu, ale może go łatwo zauważyć po wystąpieniu problemu, użytkownik powinien wybrać pozycję Pamięć , aby użyć trybu rejestrowania pamięci. Dzięki temu dziennik śledzenia nie będzie nadmiernie rozszerzany ze względu na długi czas trwania.

  9. Teraz możesz już zbierać dane. Zamknij wszystkie aplikacje, które nie mają zastosowania do odtwarzania problemu z wydajnością. Możesz wybrać pozycję Ukryj opcje , aby zachować małe miejsce zajmowane przez okno WPR.

    Opcje Ukryj

    Porada

    Spróbuj uruchomić ślad o pełnej liczbie sekund. Na przykład 01:30:00. Ułatwi to analizowanie danych. Spróbuj również śledzić znacznik czasu dokładnie po odtworzeniu problemu.

  10. Kliknij przycisk Start.

    Strona Rejestrowanie informacji o systemie

  11. Odtwórz problem.

    Porada

    Zachowaj zbieranie danych nie dłużej niż pięć minut. Od dwóch do trzech minut jest to dobry zakres, ponieważ zbieranych jest wiele danych.

  12. Wybierz Zapisz.

    Opcja Zapisz

  13. Wypełnij pozycję Wpisz w szczegółowym opisie problemu: z informacjami o problemie i sposobie odtworzenia problemu.

    Okienko, w którym wypełniasz

    1. Wybierz pozycję Nazwa pliku: aby określić, gdzie zostanie zapisany plik śledzenia. Domyślnie jest on zapisywany w pliku %user%\Documents\WPR Files\.
    2. Wybierz Zapisz.

  14. Poczekaj na scalanie śledzenia.

    Ogólny ślad zbierania WPR

  15. Po zapisaniu śledzenia wybierz pozycję Otwórz folder.

    Strona z powiadomieniem o zapisaniu śledzenia funkcji WPR

    Dołącz plik i folder do przesyłania do pomoc techniczna firmy Microsoft.

    Szczegóły pliku i folderu

Przechwytywanie dzienników wydajności przy użyciu interfejsu wiersza polecenia funkcji WPR

Narzędzie wiersza polecenia wpr.exe jest częścią systemu operacyjnego, począwszy od Windows 8. Aby zebrać ślad WPR przy użyciu narzędzia wiersza polecenia wpr.exe:

  1. Pobierz profil analizy Ochrona punktu końcowego w usłudze Microsoft Defender na potrzeby śledzenia wydajności do pliku o nazwie MDAV.wprp w katalogu lokalnym, takim jak C:\traces.

  2. Kliknij prawym przyciskiem myszy ikonę Menu Start i wybierz pozycję Windows PowerShell (Administracja) lub wiersz polecenia (Administracja), aby otworzyć okno wiersza polecenia Administracja.

  3. Po wyświetleniu okna dialogowego Kontrola konta użytkownika wybierz pozycję Tak.

  4. W wierszu polecenia z podwyższonym poziomem uprawnień uruchom następujące polecenie, aby uruchomić ślad wydajności Ochrona punktu końcowego w usłudze Microsoft Defender:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Ostrzeżenie

    Jeśli system Windows Server ma co najmniej 64 GB pamięci RAM, użyj profilów WDForLargeServers.Light i WDForLargeServers.Verbose zamiast profilów WD.Light oraz WD.Verboseodpowiednio . W przeciwnym razie system może zużywać dużą ilość niestronicowanej pamięci lub buforów puli, co może prowadzić do niestabilności systemu.

  5. Odtwórz problem.

    Porada

    Zachowaj zbieranie danych nie dłużej niż pięć minut. W zależności od scenariusza od dwóch do trzech minut jest to dobry zakres, ponieważ zbieranych jest wiele danych.

  6. W wierszu polecenia z podwyższonym poziomem uprawnień uruchom następujące polecenie, aby zatrzymać śledzenie wydajności, zapewniając informacje o problemie i sposobie odtworzenia problemu:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Poczekaj, aż ślad zostanie scalony.

  8. Dołącz plik i folder do przesyłania do pomocy technicznej firmy Microsoft.

Porada

Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:

Porada

Porada dotycząca wydajności Ze względu na różne czynniki (przykłady wymienione poniżej) Microsoft Defender Program antywirusowy, podobnie jak inne oprogramowanie antywirusowe, może powodować problemy z wydajnością na urządzeniach punktu końcowego. W niektórych przypadkach może być konieczne dostosowanie wydajności programu antywirusowego Microsoft Defender w celu złagodzenia tych problemów z wydajnością. Analizator wydajności firmy Microsoft to narzędzie wiersza polecenia programu PowerShell, które pomaga określić, które pliki, ścieżki plików, procesy i rozszerzenia plików mogą powodować problemy z wydajnością; Oto kilka przykładów:

  • Najważniejsze ścieżki wpływające na czas skanowania
  • Najważniejsze pliki, które mają wpływ na czas skanowania
  • Najważniejsze procesy wpływające na czas skanowania
  • Najważniejsze rozszerzenia plików, które mają wpływ na czas skanowania
  • Kombinacje — na przykład:
    • najważniejsze pliki na rozszerzenie
    • górne ścieżki na rozszerzenie
    • najważniejsze procesy na ścieżkę
    • najczęściej skanuje na plik
    • najczęściej skanuje na plik na proces

Informacje zebrane przy użyciu analizatora wydajności umożliwiają lepszą ocenę problemów z wydajnością i stosowanie akcji korygowania. Zobacz: Analizator wydajności dla programu antywirusowego Microsoft Defender.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.