Udostępnij za pośrednictwem

Zbieranie danych na potrzeby zaawansowanego rozwiązywania problemów w systemie Windows

  • Dotyczy: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business, Microsoft Defender Antivirus

Porada

Obejrzyj ten film wideo, aby dowiedzieć się więcej na temat problemów z dołączaniem: problemy z dołączaniem analizatora klienta usługi Defender for Endpoint

Podczas współpracy z pracownikami pomocy technicznej firmy Microsoft może zostać wyświetlony monit o użycie analizatora klienta do zbierania danych na potrzeby rozwiązywania problemów z bardziej złożonymi scenariuszami. Skrypt analizatora obsługuje inne parametry w tym celu i może zbierać określony zestaw dzienników na podstawie obserwowanych objawów, które należy zbadać.

Uruchom polecenie MDEClientAnalyzer.cmd /? , aby wyświetlić listę dostępnych parametrów i ich opis:

Parametry MDEClientAnalyzer.cmd

Przełącznik Opis Kiedy używać Proces rozwiązywania problemów.
-h Wywołuje do rejestratora wydajności systemu Windows w celu zebrania pełnego ogólnego śledzenia wydajności oprócz standardowego zestawu dzienników. Powolne uruchamianie/uruchamianie aplikacji. Po kliknięciu przycisku w aplikacji trwa to x sekund dłużej. Jedna z następujących czynności:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Wywołuje wbudowane monitor wydajności systemu Windows, aby zebrać lekki ślad perfmon. Ten scenariusz może być przydatny podczas diagnozowania problemów z niską wydajnością, które występują w czasie, ale trudne do odtworzenia na żądanie. Rozwiązywanie problemów z wydajnością aplikacji, która może być powolna do odtworzenia (manifestu). Zalecamy przechwycenie maksymalnie trzech minut (co najwyżej pięć minut), ponieważ zestaw danych może być zbyt duży. Jedna z następujących czynności:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Wywołania do monitora procesów w celu zaawansowanego monitorowania działania systemu plików, rejestru i procesu/wątku w czasie rzeczywistym. Jest to szczególnie przydatne podczas rozwiązywania problemów z różnymi scenariuszami zgodności aplikacji. Monitor procesów (ProcMon) w celu zainicjowania śledzenia rozruchu podczas badania problemu związanego z opóźnieniem uruchamiania sterownika lub usługi lub aplikacji. Lub aplikacje hostowane w udziale sieciowym, które nie używają blokady oportunistycznej SMB (Oplock), powodując problemy ze zgodnością aplikacji. Jedna z następujących czynności:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Wywołuje wbudowane polecenie netsh.exe w celu uruchomienia śledzenia sieci i zapory systemu Windows, które jest przydatne podczas rozwiązywania różnych problemów związanych z siecią. Podczas rozwiązywania problemów związanych z siecią, takich jak problemy z telemetrią usługi Defender for Endpoint EDR lub przesyłaniem danych CnC. Microsoft Defender problemy z raportowaniem programu antywirusowego Cloud Protection (MAPS). Problemy związane z ochroną sieci itd. Jeden z następujących procesów:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b Tak samo jak -c śledzenie monitora procesu zostanie zainicjowane podczas następnego rozruchu i zatrzymane tylko wtedy, gdy -b zostanie użyty ponownie. Monitor procesów (ProcMon) w celu zainicjowania śledzenia rozruchu podczas badania problemu związanego z opóźnieniem uruchamiania sterownika lub usługi lub aplikacji. Ten scenariusz może również służyć do badania powolnego rozruchu lub powolnego logowania. Jeden z następujących procesów:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Wywołuje do rejestratora wydajności systemu Windows w celu zebrania śledzenia klienta usługi Defender AV (AM-Engine i AM-Service) w celu analizy problemów z łącznością z chmurą antywirusową. Podczas rozwiązywania problemów z błędami raportowania usługi Cloud Protection (MAPS). MsMpEng.exe
-a Wywołuje do rejestratora wydajności systemu Windows w celu zebrania pełnego śledzenia wydajności specyficznego dla analizy problemów z wysokim użyciem procesora CPU związanych z procesem antywirusowym (MsMpEng.exe). W przypadku rozwiązywania problemów z wysokim wykorzystaniem procesora CPU za pomocą programu antywirusowego Microsoft Defender (plik wykonywalny usługi ochrony przed złośliwym kodem lub MsMpEng.exe), jeśli użyto już Analizator wydajności antywirusowego Microsoft Defender, aby zawęzić rozszerzenie /path/process lub /path lub plik przyczyniające się do wysokiego wykorzystania procesora CPU. Ten scenariusz umożliwia dalsze zbadanie, co robi aplikacja lub usługa, aby przyczynić się do wysokiego wykorzystania procesora CPU. MsMpEng.exe
-v Używa programu antywirusowego MpCmdRun.exe argument wiersza polecenia z najbardziej szczegółowymi flagami śledzenia. Za każdym razem, gdy jest wymagane zaawansowane rozwiązywanie problemów. Na przykład podczas rozwiązywania problemów z błędami raportowania usługi Cloud Protection (MAPS), błędami aktualizacji platformy, błędami aktualizacji aparatu, błędami aktualizacji analizy zabezpieczeń, fałszywie ujemnymi itp. Może być również używany z -b, -c, -hlub -l. MsMpEng.exe
-t Uruchamia pełne śledzenie wszystkich składników po stronie klienta związanych z DLP punktu końcowego, co jest przydatne w scenariuszach, w których akcje DLP nie są wykonywane zgodnie z oczekiwaniami dla plików. W przypadku napotkania problemów, w których oczekiwane akcje ochrony przed utratą danych (DLP) punktu końcowego firmy Microsoft nie są wykonywane. MpDlpService.exe
-q Wywołuje skrypt DLPDiagnose.ps1 z katalogu analizatora Tools , który weryfikuje podstawową konfigurację i wymagania dotyczące protokołu DLP punktu końcowego. Sprawdza podstawową konfigurację i wymagania dotyczące programu Microsoft Endpoint DLP MpDlpService.exe
-d Zbiera zrzut MsSenseS.exe pamięci (proces czujnika w Windows Server 2016 lub starszym systemie operacyjnym) i powiązanych procesów. - * Ta flaga może być używana z powyższymi flagami. - ** Przechwytywanie zrzutu pamięci chronionych procesów PPL , takich jak MsSense.exe analizator lub MsMpEng.exe nie jest obecnie obsługiwany przez analizator. W systemie Windows 7 z dodatkiem SP1 Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 lub Windows Server 2016 z uruchomionym agentem MMA i mającym problemy ze zgodnością z procesorem CPU lub dużą ilością pamięci. MsSenseS.exe
-z Konfiguruje klucze rejestru na komputerze, aby przygotować go do pełnego zbierania zrzutów pamięci maszyny za pośrednictwem CrashOnCtrlScroll. Byłoby to przydatne do analizy problemów z blokowaniem komputera. * Przytrzymaj prawym przyciskiem CTRL, a następnie naciśnij dwukrotnie SCROLL LOCK. Maszyna zawiesza się lub nie odpowiada lub działa wolno. Wysokie użycie pamięci (wyciek pamięci): a) Tryb użytkownika: bajty prywatne b) Tryb jądra: pula stroniona lub pamięć puli niestronicowanej, obsługa przecieków. MSSense.exe lub MsMpEng.exe
-k Używa narzędzia NotMyFault , aby wymusić awarię systemu i wygenerować zrzut pamięci maszyny. Byłoby to przydatne do analizy różnych problemów ze stabilnością systemu operacyjnego. Tak samo jak powyżej. MSSense.exe lub MsMpEng.exe

Analizator i wszystkie flagi scenariusza wymienione w tym artykule można zainicjować zdalnie, uruchamiając polecenie RemoteMDEClientAnalyzer.cmd, które jest również powiązane z zestawem narzędzi analizatora:

Parametry RemoteMDEClientAnalyzer.cmd

Uwaga

Gdy jest używany dowolny zaawansowany parametr rozwiązywania problemów, analizator wywołuje również MpCmdRun.exe w celu zbierania dzienników pomocy technicznej związanych z programem antywirusowym Microsoft Defender. Możesz użyć -g flagi, aby zweryfikować adresy URL dla określonego regionu centrum danych, nawet bez dołączania do tego regionu
Na przykład MDEClientAnalyzer.cmd -g EU wymusza na analizatorze testowanie adresów URL chmury w regionie Europa.

Należy pamiętać o kilku kwestiach

W przypadku korzystania z programu RemoteMDEClientAnalyzer.cmdwywołuje psexec polecenie , aby pobrać narzędzie ze skonfigurowanego udziału plików, a następnie uruchomić je lokalnie za pośrednictwem PsExec.exeprogramu .

Skrypt CMD używa -r flagi, aby określić, że działa zdalnie w kontekście SYSTEMU, a więc żaden monit nie jest wyświetlany użytkownikowi.

Ta sama flaga może być używana w MDEClientAnalyzer.cmd celu uniknięcia monitu do użytkownika o określenie liczby minut dla zbierania danych. Rozważmy na przykład .MDEClientAnalyzer.cmd -r -i -m 5

  • -r wskazuje, że narzędzie jest uruchamiane ze zdalnego (lub nieinterakcyjnego kontekstu).
  • -i to flaga scenariusza dla kolekcji śledzenia sieci wraz z innymi powiązanymi dziennikami.
  • -m # oznacza liczbę minut do uruchomienia (w naszym przykładzie użyliśmy 5 minut).

W przypadku korzystania z MDEClientAnalyzer.cmdprogramu skrypt sprawdza uprawnienia przy użyciu net sessionprogramu , co wymaga uruchomienia usługi Server . Jeśli tak nie jest, zostanie wyświetlony komunikat o błędzie Skrypt jest uruchomiony z niewystarczającymi uprawnieniami. Uruchom go z uprawnieniami administratora, jeśli echo jest wyłączone.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.

  • Last updated on