Analizator wydajności dla programu antywirusowego Microsoft Defender
Dotyczy
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
Wymagania
Microsoft Defender Analizator wydajności programu antywirusowego ma następujące wymagania wstępne:
- Obsługiwane wersje systemu Windows: Windows 10, Windows 11, Windows 2012 R2 z nowoczesnym rozwiązaniem unified i Windows Server 2016 i nowszych
- Wersja platformy:
4.18.2108.7
lub nowsza - Wersja programu PowerShell: PowerShell w wersji 5.1, PowerShell ISE, zdalny program PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)
Co to jest Microsoft Defender analizator wydajności programu antywirusowego?
Jeśli na komputerach z uruchomionym programem antywirusowym Microsoft Defender występują problemy z wydajnością, możesz użyć analizatora wydajności w celu zwiększenia wydajności programu antywirusowego Microsoft Defender. Analizator wydajności programu antywirusowego Microsoft Defender w systemach Windows 10, Windows 11 i Windows Server to narzędzie wiersza polecenia programu PowerShell, które ułatwia określanie plików, rozszerzeń plików i procesów, które mogą powodować problemy z wydajnością poszczególnych punktów końcowych podczas skanowania antywirusowego. Informacje zebrane przez analizator wydajności umożliwiają ocenę problemów z wydajnością i stosowanie akcji korygowania.
Podobnie jak w przypadku mechaników wykonujących diagnostykę i obsługę pojazdu, który ma problemy z wydajnością, analizator wydajności może pomóc w zwiększeniu wydajności programu antywirusowego Defender.
Niektóre opcje analizy obejmują:
- Najważniejsze ścieżki wpływające na czas skanowania
- Najważniejsze pliki, które mają wpływ na czas skanowania
- Najważniejsze procesy wpływające na czas skanowania
- Najważniejsze rozszerzenia plików, które mają wpływ na czas skanowania
- Kombinacje — na przykład:
- najważniejsze pliki na rozszerzenie
- górne ścieżki na rozszerzenie
- najważniejsze procesy na ścieżkę
- najczęściej skanuje na plik
- najczęściej skanuje na plik na proces
Uruchamianie analizatora wydajności
Proces wysokiego poziomu dotyczący uruchamiania analizatora wydajności obejmuje następujące kroki:
Uruchom analizator wydajności, aby zebrać rejestrowanie wydajności zdarzeń programu antywirusowego Microsoft Defender w punkcie końcowym.
Uwaga
Wydajność zdarzeń programu antywirusowego Microsoft Defender typu Microsoft-Antimalware-Engine jest rejestrowana za pośrednictwem analizatora wydajności.
Przeanalizuj wyniki skanowania przy użyciu różnych raportów nagrywania.
Korzystanie z analizatora wydajności
Aby rozpocząć rejestrowanie zdarzeń systemowych, otwórz program PowerShell w trybie administracyjnym i wykonaj następujące kroki:
Uruchom następujące polecenie, aby rozpocząć nagrywanie:
New-MpPerformanceRecording -RecordTo <recording.etl>
gdzie
-RecordTo
parametr określa pełną lokalizację ścieżki, w której jest zapisywany plik śledzenia. Aby uzyskać więcej informacji na temat poleceń cmdlet, zobacz Microsoft Defender Polecenia cmdlet programu antywirusowego.Jeśli istnieją procesy lub usługi, które mają wpływ na wydajność, odtwórz sytuację, wykonując odpowiednie zadania.
Naciśnij klawisz ENTER , aby zatrzymać i zapisać nagrywanie, lub klawisze Ctrl+C , aby anulować nagrywanie.
Przeanalizuj wyniki przy użyciu parametru analizatora
Get-MpPerformanceReport
wydajności. Na przykład podczas wykonywania poleceniaGet-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10
użytkownik otrzymuje listę dziesięciu pierwszych skanów dla trzech pierwszych plików wpływających na wydajność.
Aby uzyskać więcej informacji na temat parametrów i opcji wiersza polecenia, zobacz New-MpPerformanceRecording i Get-MpPerformanceReport.
Uwaga
Jeśli podczas uruchamiania nagrania zostanie wyświetlony błąd "Nie można rozpocząć rejestrowania wydajności, ponieważ rejestrator wydajności systemu Windows jest już nagrywany", uruchom następujące polecenie, aby zatrzymać istniejący ślad za pomocą nowego polecenia: wpr -cancel -instancename MSFT_MpPerformanceRecording
Dane i informacje dotyczące dostrajania wydajności
Na podstawie zapytania użytkownik może wyświetlać dane pod kątem liczby skanów, czasu trwania (łączna/minimalna/średnia/maksymalna/mediana), ścieżki, procesu i przyczyny skanowania. Na poniższej ilustracji przedstawiono przykładowe dane wyjściowe dla prostego zapytania 10 pierwszych plików pod kątem wpływu skanowania.
Dodatkowe funkcje: eksportowanie i konwertowanie do plików CSV i JSON
Wyniki analizatora wydajności można również wyeksportować i przekonwertować na plik CSV lub JSON. Przykłady opisujące proces "eksportowania" i "konwertowania" za pomocą przykładowych kodów można znaleźć w poniższych sekcjach.
Począwszy od wersji 4.18.2206.X
usługi Defender, użytkownicy mogą wyświetlać informacje o przyczynach skanowania w kolumnie "SkipReason". Dopuszczalne wartości:
- Nie pominięto
- Optymalizacja (zazwyczaj ze względu na wydajność)
- Użytkownik został pominięty (zazwyczaj z powodu wykluczeń zestawu użytkowników)
Dla pliku CSV
- Aby wyeksportować:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
- Aby przekonwertować:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation
W przypadku formatu JSON
- Aby przekonwertować:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1
Aby zapewnić możliwość odczytu maszynowego danych wyjściowych na potrzeby eksportowania z innymi systemami przetwarzania danych, zaleca się użycie -Raw
parametru dla Get-MpPerformanceReport
programu . Aby uzyskać więcej informacji, zobacz poniższe sekcje.
Dokumentacja programu PowerShell
Istnieją dwa nowe polecenia cmdlet programu PowerShell używane do dostosowywania wydajności programu antywirusowego Microsoft Defender:
New-MpPerformanceRecording
W poniższej sekcji opisano odwołanie do nowego polecenia cmdlet programu PowerShell New-MpPerformanceRecording. To polecenie cmdlet zbiera nagranie wydajności skanowania programu antywirusowego Microsoft Defender.
Składnia: New-MpPerformanceRecording
New-MpPerformanceRecording -RecordTo <String>
Opis: New-MpPerformanceRecording
Polecenie New-MpPerformanceRecording
cmdlet zbiera nagranie wydajności skanowania programu antywirusowego Microsoft Defender. Te nagrania wydajności zawierają zdarzenia procesu jądra Microsoft-Antimalware-Engine i NT i mogą być analizowane po zebraniu przy użyciu polecenia cmdlet Get-MpPerformanceReport .
To New-MpPerformanceRecording
polecenie cmdlet zapewnia wgląd w problematyczne pliki, które mogą powodować obniżenie wydajności programu antywirusowego Microsoft Defender. To narzędzie jest dostarczane jako "AS IS" i nie ma na celu przedstawienia sugestii dotyczących wykluczeń. Wykluczenia mogą zmniejszyć poziom ochrony punktów końcowych. Wykluczenia, jeśli istnieją, powinny być definiowane z ostrożnością.
Aby uzyskać więcej informacji na temat analizatora wydajności, zobacz Analizator wydajności dokumentacji.
Ważna
To polecenie cmdlet wymaga uprawnień administratora z podwyższonym poziomem uprawnień.
Przykłady: New-MpPerformanceRecording
Przykład 1. Zbieranie nagrania wydajności i zapisywanie go
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl
Powyższe polecenie zbiera nagranie wydajności i zapisuje je w określonej ścieżce: .\Defender-scans.etl.
Przykład 2: Zbieranie nagrania wydajności dla zdalnej sesji programu PowerShell
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s
Powyższe polecenie zbiera rejestrowanie wydajności na serwerze Server02 (zgodnie z argumentem $s sesji parametru) i zapisuje je w określonej ścieżce: C:\LocalPathOnServer02\trace.etl na serwerze Server02.
Parametry: New-MpPerformanceRecording
-RecordTo
Określa lokalizację, w której ma zostać zapisany Microsoft Defender rejestrowanie wydajności oprogramowania chroniącego przed złośliwym kodem.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Sesji
Określa obiekt PSSession, w którym należy utworzyć i zapisać Microsoft Defender rejestrowanie wydajności programu antywirusowego. W przypadku użycia tego parametru parametr RecordTo odwołuje się do ścieżki lokalnej na komputerze zdalnym. Dostępne z platformą Defender w wersji 4.18.2201.10.
Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Get-MpPerformanceReport
W poniższej sekcji opisano polecenie cmdlet programu PowerShell Get-MpPerformanceReport. Analizuje i raportuje na temat rejestrowania wydajności programu antywirusowego Microsoft Defender.
Składnia: Get-MpPerformanceReport
Get-MpPerformanceReport [-Path] <String>
[-TopScans [<Int32>]]
[-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
[-TopScansPerPath [<Int32>]]
[-TopFilesPerPath [<Int32>]
[-TopScansPerFilePerPath [<Int32>]]
]
[-TopExtensionsPerPath [<Int32>]
[-TopScansPerExtensionPerPath [<Int32>]]
]
[-TopProcessesPerPath [<Int32>]
[-TopScansPerProcessPerPath [<Int32>]]
]
]
[-TopFiles [<Int32>]
[-TopScansPerFile [<Int32>]]
[-TopProcessesPerFile [<Int32>]
[-TopScansPerProcessPerFile [<Int32>]]
]
]
[-TopExtensions [<Int32>]
[-TopScansPerExtension [<Int32>]
[-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerExtension [<Int32>]]
]
[-TopProcessesPerExtension [<Int32>]
[-TopScansPerProcessPerExtension [<Int32>]]
]
[-TopFilesPerExtension [<Int32>]
[-TopScansPerFilePerExtension [<Int32>]]
]
]
[-TopProcesses [<Int32>]
[-TopScansPerProcess [<Int32>]]
[-TopExtensionsPerProcess [<Int32>]
[-TopScansPerExtensionPerProcess [<Int32>]]
]
[-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerProcess [<Int32>]]
]
[-TopFilesPerProcess [<Int32>]
[-TopScansPerFilePerProcess [<Int32>]]
]
]
[-MinDuration <String>]
[-Raw]
Opis: Get-MpPerformanceReport
Polecenie Get-MpPerformanceReport
cmdlet analizuje wcześniej zebrane rejestrowanie wydajności programu antywirusowego Microsoft Defender (New-MpPerformanceRecording) i raportuje ścieżki plików, rozszerzenia plików i procesy, które powodują największy wpływ na skanowanie programu antywirusowego Microsoft Defender.
Analizator wydajności zapewnia wgląd w problematyczne pliki, które mogą powodować obniżenie wydajności programu antywirusowego Microsoft Defender. To narzędzie jest dostarczane jako "AS IS" i nie ma na celu przedstawienia sugestii dotyczących wykluczeń. Wykluczenia mogą zmniejszyć poziom ochrony punktów końcowych. Wykluczenia, jeśli istnieją, powinny być definiowane z ostrożnością.
Aby uzyskać więcej informacji na temat analizatora wydajności, zobacz Analizator wydajności dokumentacji.
Obsługiwane wersje systemu operacyjnego:
Windows w wersji 10 lub nowszej.
Uwaga
Ta funkcja jest dostępna od wersji platformy 4.18.2108.X lub nowszej.
Przykłady: Get-MpPerformanceReport
Przykład 1: pojedyncze zapytanie
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
Przykład 2: Wiele zapytań
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
Przykład 3: Zapytania zagnieżdżone
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
Przykład 4. Używanie parametru -MinDuration
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
Przykład 5. Używanie parametru -Raw
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json
Użycie polecenia -Raw w powyższym poleceniu określa, że dane wyjściowe powinny być czytelne dla maszyny i łatwo można je konwertować na formaty serializacji, takie jak JSON.
Parametry: Get-MpPerformanceReport
-TopPaths
Żąda raportu z górnymi ścieżkami i określa, ile ścieżek do danych wyjściowych jest najpopularniejszych, posortowanych według czasu trwania. Agreguje skany na podstawie ich ścieżki i katalogu. Użytkownik może określić liczbę katalogów, które mają być wyświetlane na każdym poziomie, oraz głębokość zaznaczenia.
- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth
Określa głębokość cykliczną używaną do grupowania i wyświetlania zagregowanych wyników ścieżki. Na przykład "C:" odpowiada głębokości 1, "C:\Users\Foo" odpowiada głębokości 3.
Ta flaga może towarzyszyć wszystkim innym opcjom górnej ścieżki. W przypadku braku jest przyjmowana wartość domyślna 3. Wartość nie może być 0.
- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
Flaga | Definicji |
---|---|
-TopScansPerPath | Określa liczbę górnych skanów do określenia dla każdej górnej ścieżki. |
-TopFilesPerPath | Określa liczbę najważniejszych plików do określenia dla każdej górnej ścieżki. |
-TopScansPerFilePerPath | Określa, ile górnych skanów do danych wyjściowych dla każdego górnego pliku dla każdej górnej ścieżki, posortowane według "Czas trwania" |
-TopExtensionsPerPath | Określa liczbę górnych rozszerzeń do danych wyjściowych dla każdej górnej ścieżki |
-TopScansPerExtensionPerPath | Określa, ile górnych skanów do danych wyjściowych dla każdego górnego rozszerzenia dla każdej górnej ścieżki |
-TopProcessesPerPath | Określa liczbę najważniejszych procesów do wyświetlenia dla każdej górnej ścieżki |
-TopScansPerProcessPerPath | Określa liczbę najlepszych skanów do danych wyjściowych dla każdego najwyższego procesu dla każdej górnej ścieżki |
-TopPathsPerExtension | Określa liczbę górnych ścieżek do danych wyjściowych dla każdego górnego rozszerzenia |
-TopScansPerPathPerExtension | Określa, ile górnych skanów do danych wyjściowych dla każdej górnej ścieżki dla każdego górnego rozszerzenia |
-TopPathsPerProcess | Określa, ile górnych ścieżek do danych wyjściowych dla każdego górnego procesu |
-TopScansPerPathPerProcess | Określa liczbę najlepszych skanów do danych wyjściowych dla każdej górnej ścieżki dla każdego górnego procesu |
-MinDuration
Określa minimalny czas trwania skanowania lub łączny czas trwania skanowania plików, rozszerzeń i procesów zawartych w raporcie; akceptuje wartości takie jak 0.1234567sec, 0.1234ms, 0.1us lub prawidłowy timeSpan.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Ścieżka
Określa ścieżkę lub ścieżki do co najmniej jednej lokalizacji.
Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-Raw
Określa, że dane wyjściowe rejestrowania wydajności powinny być czytelne dla komputera i łatwo można je konwertować na formaty serializacji, takie jak JSON (na przykład za pomocą polecenia Convert-to-JSON). Ta konfiguracja jest zalecana dla użytkowników zainteresowanych przetwarzaniem wsadowym z innymi systemami przetwarzania danych.
Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensions
Określa liczbę najważniejszych rozszerzeń danych wyjściowych posortowanych według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess
Określa, ile górnych rozszerzeń do danych wyjściowych dla każdego górnego procesu, posortowane według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiles
Żąda raportu z najwyższymi plikami i określa liczbę najważniejszych plików do danych wyjściowych posortowanych według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension
Określa liczbę najlepszych plików do wyświetlenia dla każdego górnego rozszerzenia posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess
Określa liczbę najlepszych plików do wyświetlenia dla każdego najwyższego procesu posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcesses
Żąda raportu top-processes i określa, ile z najważniejszych procesów do danych wyjściowych, posortowane według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension
Określa liczbę najważniejszych procesów do wyświetlenia dla każdego górnego rozszerzenia posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile
Określa liczbę najlepszych procesów do wyświetlenia dla każdego najwyższego pliku posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans
Żąda najwyższego skanowania raportu i określa liczbę najczęściej skanowanych danych wyjściowych posortowanych według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension
Określa liczbę najczęściej skanowanych danych wyjściowych dla każdego górnego rozszerzenia posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess
Określa liczbę najczęściej skanowanych danych wyjściowych dla każdego górnego rozszerzenia dla każdego najwyższego procesu posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile
Określa liczbę najczęściej skanowanych danych wyjściowych dla każdego najwyższego pliku posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension
Określa liczbę najczęściej skanowanych danych wyjściowych dla każdego najwyższego pliku dla każdego górnego rozszerzenia posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess
Określa liczbę najczęściej skanowanych danych wyjściowych dla każdego najwyższego pliku dla każdego najwyższego procesu posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess
Określa liczbę najczęściej skanowanych danych wyjściowych dla każdego najwyższego procesu w raporcie Top Processes posortowanym według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension
Określa liczbę najczęściej skanowanych danych wyjściowych dla każdego najwyższego procesu dla każdego górnego rozszerzenia posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile
Określa liczbę najczęściej skanowanych danych wyjściowych dla każdego najwyższego procesu dla każdego najwyższego pliku posortowanego według czasu trwania.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Dodatkowe materiały
Jeśli szukasz informacji związanych z programem antywirusowym dla innych platform, zobacz:
- Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS
- Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac
- Ustawienia zasad ochrony antywirusowej systemu macOS dla programu antywirusowego Microsoft Defender dla usługi Intune
- Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
- Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
- Konfigurowanie usługi Defender dla punktu końcowego w funkcjach- systemu AndroidKonfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender funkcji systemu iOS
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla