Zbieranie danych na potrzeby zaawansowanego rozwiązywania problemów w systemie Windows
Dotyczy:
Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Microsoft Defender dla Firm
Program antywirusowy Microsoft Defender
Podczas współpracy z pracownikami pomocy technicznej firmy Microsoft może zostać wyświetlony monit o użycie analizatora klienta do zbierania danych na potrzeby rozwiązywania problemów z bardziej złożonymi scenariuszami. Skrypt analizatora obsługuje inne parametry w tym celu i może zbierać określony zestaw dzienników na podstawie obserwowanych objawów, które należy zbadać.
Uruchom polecenie MDEClientAnalyzer.cmd /? , aby wyświetlić listę dostępnych parametrów i ich opis:
| Przełącznik | Opis | Kiedy używać | Proces rozwiązywania problemów. |
|---|---|---|---|
-h |
Wywołuje do rejestratora wydajności systemu Windows w celu zebrania pełnego ogólnego śledzenia wydajności oprócz standardowego zestawu dzienników. | Powolne uruchamianie/uruchamianie aplikacji. Po kliknięciu przycisku w aplikacji trwa to x sekund dłużej. | Jedna z następujących czynności: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-l |
Wywołuje wbudowane monitor wydajności systemu Windows, aby zebrać lekki ślad perfmon. Ten scenariusz może być przydatny podczas diagnozowania problemów z niską wydajnością, które występują w czasie, ale trudne do odtworzenia na żądanie. | Rozwiązywanie problemów z wydajnością aplikacji, która może być powolna do odtworzenia (manifestu). Zalecamy przechwycenie maksymalnie trzech minut (co najwyżej pięć minut), ponieważ zestaw danych może być zbyt duży. | Jedna z następujących czynności: - MSSense.exe - MsSenseS.exe - SenseIR.exe- SenseNdr.exe - SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-c |
Wywołania do monitora procesów w celu zaawansowanego monitorowania działania systemu plików, rejestru i procesu/wątku w czasie rzeczywistym. Jest to szczególnie przydatne podczas rozwiązywania problemów z różnymi scenariuszami zgodności aplikacji. | Monitor procesów (ProcMon) w celu zainicjowania śledzenia rozruchu podczas badania problemu związanego z opóźnieniem uruchamiania sterownika lub usługi lub aplikacji. Lub aplikacje hostowane w udziale sieciowym, które nie używają blokady oportunistycznej SMB (Oplock), powodując problemy ze zgodnością aplikacji. | Jedna z następujących czynności: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-i |
Wywołuje wbudowane polecenie netsh.exe w celu uruchomienia śledzenia sieci i zapory systemu Windows, które jest przydatne podczas rozwiązywania różnych problemów związanych z siecią. | Podczas rozwiązywania problemów związanych z siecią, takich jak problemy z telemetrią usługi Defender for Endpoint EDR lub przesyłaniem danych CnC. Microsoft Defender problemy z raportowaniem programu antywirusowego Cloud Protection (MAPS). Problemy związane z ochroną sieci itd. | Jeden z następujących procesów: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-b |
Tak samo jak -c śledzenie monitora procesu zostanie zainicjowane podczas następnego rozruchu i zatrzymane tylko wtedy, gdy -b zostanie użyty ponownie. |
Monitor procesów (ProcMon) w celu zainicjowania śledzenia rozruchu podczas badania problemu związanego z opóźnieniem uruchamiania sterownika lub usługi lub aplikacji. Ten scenariusz może również służyć do badania powolnego rozruchu lub powolnego logowania. | Jeden z następujących procesów: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe - SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-e |
Wywołuje do rejestratora wydajności systemu Windows w celu zebrania śledzenia klienta usługi Defender AV (AM-Engine i AM-Service) w celu analizy problemów z łącznością z chmurą antywirusową. | Podczas rozwiązywania problemów z błędami raportowania usługi Cloud Protection (MAPS). | MsMpEng.exe |
-a |
Wywołuje do rejestratora wydajności systemu Windows w celu zebrania pełnego śledzenia wydajności specyficznego dla analizy problemów z wysokim użyciem procesora CPU związanych z procesem antywirusowym (MsMpEng.exe). | W przypadku rozwiązywania problemów z wysokim wykorzystaniem procesora CPU za pomocą programu antywirusowego Microsoft Defender (plik wykonywalny usługi ochrony przed złośliwym kodem lub MsMpEng.exe), jeśli użyto już Analizator wydajności antywirusowego Microsoft Defender, aby zawęzić rozszerzenie /path/process lub /path lub plik przyczyniające się do wysokiego wykorzystania procesora CPU. Ten scenariusz umożliwia dalsze zbadanie, co robi aplikacja lub usługa, aby przyczynić się do wysokiego wykorzystania procesora CPU. | MsMpEng.exe |
-v |
Używa programu antywirusowego MpCmdRun.exe argument wiersza polecenia z najbardziej szczegółowymi flagami śledzenia. | Za każdym razem, gdy jest wymagane zaawansowane rozwiązywanie problemów. Na przykład podczas rozwiązywania problemów z błędami raportowania usługi Cloud Protection (MAPS), błędami aktualizacji platformy, błędami aktualizacji aparatu, błędami aktualizacji analizy zabezpieczeń, fałszywie ujemnymi itp. Może być również używany z -b, -c, -hlub -l. |
MsMpEng.exe |
-t |
Uruchamia pełne śledzenie wszystkich składników po stronie klienta związanych z DLP punktu końcowego, co jest przydatne w scenariuszach, w których akcje DLP nie są wykonywane zgodnie z oczekiwaniami dla plików. | W przypadku napotkania problemów, w których oczekiwane akcje ochrony przed utratą danych (DLP) punktu końcowego firmy Microsoft nie są wykonywane. | MpDlpService.exe |
-q |
Wywołuje skrypt DLPDiagnose.ps1 z katalogu analizatora Tools , który weryfikuje podstawową konfigurację i wymagania dotyczące protokołu DLP punktu końcowego. |
Sprawdza podstawową konfigurację i wymagania dotyczące programu Microsoft Endpoint DLP | MpDlpService.exe |
-d |
Zbiera zrzut MsSenseS.exe pamięci (proces czujnika w Windows Server 2016 lub starszym systemie operacyjnym) i powiązanych procesów. - * Ta flaga może być używana z powyższymi flagami. - ** Przechwytywanie zrzutu pamięci chronionych procesów PPL , takich jak MsSense.exe analizator lub MsMpEng.exe nie jest obecnie obsługiwany przez analizator. |
W systemie Windows 7 z dodatkiem SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 lub Windows Server 2016 z uruchomionym agentem MMA oraz z wydajnością (wysokie użycie procesora CPU lub dużej ilości pamięci) lub problemami ze zgodnością aplikacji. | MsSenseS.exe |
-z |
Konfiguruje klucze rejestru na komputerze, aby przygotować go do pełnego zbierania zrzutów pamięci maszyny za pośrednictwem CrashOnCtrlScroll. Byłoby to przydatne do analizy problemów z blokowaniem komputera. * Przytrzymaj prawym przyciskiem klawisz CTRL, a następnie naciśnij dwukrotnie klawisz SCROLL LOCK. | Maszyna zawiesza się lub nie odpowiada lub działa wolno. Wysokie użycie pamięci (wyciek pamięci): a) Tryb użytkownika: bajty prywatne b) Tryb jądra: pula stroniona lub pamięć puli niestronicowanej, obsługa przecieków. |
MSSense.exe Lub MsMpEng.exe |
-k |
Używa narzędzia NotMyFault , aby wymusić awarię systemu i wygenerować zrzut pamięci maszyny. Byłoby to przydatne do analizy różnych problemów ze stabilnością systemu operacyjnego. | Tak samo jak powyżej. |
MSSense.exe Lub MsMpEng.exe |
Analizator i wszystkie flagi scenariusza wymienione w tym artykule można zainicjować zdalnie, uruchamiając polecenie RemoteMDEClientAnalyzer.cmd, które jest również powiązane z zestawem narzędzi analizatora:
Uwaga
Gdy jest używany dowolny zaawansowany parametr rozwiązywania problemów, analizator wywołuje również MpCmdRun.exe w celu zbierania dzienników pomocy technicznej związanych z programem antywirusowym Microsoft Defender.
Możesz użyć -g flagi, aby zweryfikować adresy URL dla określonego regionu centrum danych, nawet bez dołączania do tego regionu
Na przykład MDEClientAnalyzer.cmd -g EU wymusza na analizatorze testowanie adresów URL chmury w regionie Europa.
Należy pamiętać o kilku kwestiach
W przypadku korzystania z programu RemoteMDEClientAnalyzer.cmdwywołuje psexec polecenie , aby pobrać narzędzie ze skonfigurowanego udziału plików, a następnie uruchomić je lokalnie za pośrednictwem PsExec.exeprogramu .
Skrypt cmd używa -r flagi, aby określić, że jest on uruchomiony zdalnie w kontekście systemu, a więc nie jest wyświetlany monit dla użytkownika.
Ta sama flaga może być używana w MDEClientAnalyzer.cmd celu uniknięcia monitu do użytkownika o określenie liczby minut dla zbierania danych. Rozważmy na przykład .MDEClientAnalyzer.cmd -r -i -m 5
-
-rwskazuje, że narzędzie jest uruchamiane ze zdalnego (lub nieinterakcyjnego kontekstu). -
-ito flaga scenariusza dla kolekcji śledzenia sieci wraz z innymi powiązanymi dziennikami. -
-m #oznacza liczbę minut do uruchomienia (w naszym przykładzie użyliśmy 5 minut).
W przypadku korzystania z MDEClientAnalyzer.cmdprogramu skrypt sprawdza uprawnienia przy użyciu net sessionprogramu , co wymaga uruchomienia usługi Server . Jeśli tak nie jest, zostanie wyświetlony komunikat o błędzie Skrypt jest uruchomiony z niewystarczającymi uprawnieniami. Uruchom go z uprawnieniami administratora, jeśli echo jest wyłączone.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.