Partilhar via


Analisador de desempenho do Antivírus do Microsoft Defender

Aplica-se a

Plataformas

  • Windows

Requisitos

Microsoft Defender analisador de desempenho do Antivírus tem os seguintes pré-requisitos:

  • Versões suportadas do Windows: Windows 10, Windows 11, Windows 2012 R2 com a Solução Unificada Moderna e Windows Server 2016 e superior
  • Versão da Plataforma: 4.18.2108.7 ou posterior
  • Versão do PowerShell: PowerShell Versão 5.1, ISE do PowerShell, PowerShell remoto (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

O que é Microsoft Defender analisador de desempenho do Antivírus?

Se os computadores com Microsoft Defender Antivírus estiverem a ter problemas de desempenho, pode utilizar o analisador de desempenho para melhorar o desempenho do Antivírus Microsoft Defender. O analisador de desempenho do Antivírus do Microsoft Defender no Windows 10, Windows 11 e Windows Server é uma ferramenta de linha de comandos do PowerShell que o ajuda a determinar ficheiros, extensões de ficheiros e processos que podem estar a causar problemas de desempenho em pontos finais individuais durante análises antivírus. Pode utilizar as informações recolhidas pelo analisador de desempenho para avaliar problemas de desempenho e aplicar ações de remediação.

Semelhante à forma como os mecânicos executam diagnósticos e serviços num veículo com problemas de desempenho, o analisador de desempenho pode ajudá-lo a melhorar o desempenho do Antivírus do Defender.

Imagem do analisador de desempenho conceptual do Antivírus Microsoft Defender. O diagrama está relacionado com: Microsoft Defender analisador de desempenho, Analisador de desempenho do Defender, Get-MpPerformanceRepor, New-MpPerformanceRecording, windows Defender, microsoft Defender, microsoft windows 10, antivírus do Microsoft Defender, micro windows 11, antivírus do windows, antivírus da Microsoft, antivírus do Windows Defender, Windows 10 antivírus, microsoft windows Defender, desempenho windows.

Algumas opções a analisar incluem:

  • Principais caminhos que afetam o tempo de análise
  • Ficheiros principais que afetam o tempo de análise
  • Principais processos que afetam o tempo de análise
  • Principais extensões de ficheiro que afetam o tempo de análise
  • Combinações – por exemplo:
    • ficheiros principais por extensão
    • principais caminhos por extensão
    • principais processos por caminho
    • análises principais por ficheiro
    • principais análises por ficheiro por processo

Analisador de desempenho em execução

O processo de alto nível para executar o analisador de desempenho envolve os seguintes passos:

  1. Execute o analisador de desempenho para recolher uma gravação de desempenho de Microsoft Defender eventos antivírus no ponto final.

    Nota

    O desempenho de Microsoft Defender eventos antivírus do tipo Microsoft-Antimalware-Engine é registado através do analisador de desempenho.

  2. Analise os resultados da análise com relatórios de gravação diferentes.

Utilizar o analisador de desempenho

Para iniciar a gravação de eventos do sistema, abra o PowerShell no modo administrativo e execute os seguintes passos:

  1. Execute o seguinte comando para iniciar a gravação:

    New-MpPerformanceRecording -RecordTo <recording.etl>
    

    em que o -RecordTo parâmetro especifica a localização do caminho completo na qual o ficheiro de rastreio é guardado. Para obter mais informações sobre cmdlets, veja Microsoft Defender cmdlets do Antivírus.

  2. Se existirem processos ou serviços que se pensa estarem a afetar o desempenho, reproduza a situação ao realizar as tarefas relevantes.

  3. Prima ENTER para parar e guardar a gravação ou Ctrl+C para cancelar a gravação.

  4. Analise os resultados com o parâmetro do analisador de Get-MpPerformanceReport desempenho. Por exemplo, ao executar o comando Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10, é fornecida ao utilizador uma lista das dez primeiras análises para os três principais ficheiros que afetam o desempenho.

Para obter mais informações sobre os parâmetros e opções da linha de comandos, veja New-MpPerformanceRecording e Get-MpPerformanceReport.

Nota

Ao executar uma gravação, se receber o erro "Não é possível iniciar a gravação de desempenho porque o Gravador de Desempenho do Windows já está a gravar", execute o seguinte comando para parar o rastreio existente com o novo comando: wpr -cancel -instancename MSFT_MpPerformanceRecording

Dados e informações de otimização do desempenho

Com base na consulta, o utilizador é capaz de ver dados para contagens de análise, duração (total/min/média/máx/mediana), caminho, processo e motivo da análise. A imagem seguinte mostra o resultado de exemplo de uma consulta simples dos 10 ficheiros principais para impacto na análise.

Saída de exemplo para uma consulta TopFiles básica

Funcionalidade adicional: exportar e converter para CSV e JSON

Os resultados do analisador de desempenho também podem ser exportados e convertidos num ficheiro CSV ou JSON. Para obter exemplos que descrevem o processo de "exportação" e "converter" através de códigos de exemplo, veja as secções seguintes.

A partir da versão 4.18.2206.Xdo Defender, os utilizadores podem ver as informações do motivo de ignorar análise na coluna "SkipReason". Os valores possíveis são:

  • Não Ignorado
  • Otimização (normalmente devido a razões de desempenho)
  • Utilizador ignorado (normalmente devido a exclusões definidas pelo utilizador)

Para CSV

  • Para exportar:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
  • Para converter:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

Para JSON

  • Para converter:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Para garantir uma saída legível por computador para exportação com outros sistemas de processamento de dados, recomenda-se que utilize -Raw o parâmetro para Get-MpPerformanceReport. Veja as secções seguintes para obter mais detalhes.

Referência do PowerShell

Existem dois novos cmdlets do PowerShell utilizados para otimizar o desempenho do Antivírus do Microsoft Defender:

New-MpPerformanceRecording

A secção seguinte descreve a referência para o novo cmdlet do PowerShell New-MpPerformanceRecording. Este cmdlet Recolhe uma gravação de desempenho de Microsoft Defender análises antivírus.

Sintaxe: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Descrição: New-MpPerformanceRecording

O New-MpPerformanceRecording cmdlet recolhe uma gravação de desempenho de Microsoft Defender análises antivírus. Estas gravações de desempenho contêm eventos de processo de kernel Microsoft-Antimalware-Engine e NT e podem ser analisadas após a recolha com o cmdlet Get-MpPerformanceReport .

Este New-MpPerformanceRecording cmdlet fornece informações sobre ficheiros problemáticos que podem causar uma degradação no desempenho do Antivírus do Microsoft Defender. Esta ferramenta é fornecida como "TAL COMO ESTÁ" e não se destina a fornecer sugestões sobre exclusões. As exclusões podem reduzir o nível de proteção nos pontos finais. As exclusões, se existirem, devem ser definidas com cuidado.

Para obter mais informações sobre o analisador de desempenho, veja Analisador de Desempenho documentos.

Importante

Este cmdlet requer privilégios de administrador elevados.

Exemplos: New-MpPerformanceRecording

Exemplo 1: Recolher uma gravação de desempenho e guardá-la
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

O comando acima recolhe uma gravação de desempenho e guarda-a no caminho especificado: .\Defender-scans.etl.

Exemplo 2: Recolher uma gravação de desempenho para a sessão remota do PowerShell
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

O comando acima recolhe uma gravação de desempenho em Server02 (conforme especificado pelo argumento $s do parâmetro Sessão) e guarda-a no caminho especificado: C:\LocalPathOnServer02\trace.etl no Server02.

Parâmetros: New-MpPerformanceRecording

-RecordTo

Especifica a localização na qual guardar o Microsoft Defender gravação de desempenho antimalware.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Sessão

Especifica o objeto PSSession no qual criar e guardar a gravação de desempenho do Antivírus do Microsoft Defender. Quando utiliza este parâmetro, o parâmetro RecordTo refere-se ao caminho local no computador remoto. Disponível com a versão 4.18.2201.10 da plataforma Defender.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

A secção seguinte descreve a Get-MpPerformanceReport cmdlet do PowerShell. Analisa e reporta a gravação do desempenho do Antivírus do Microsoft Defender.

Sintaxe: Get-MpPerformanceReport

Get-MpPerformanceReport [-Path] <String>
    [-TopScans [<Int32>]]
    [-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
            [-TopScansPerPath [<Int32>]]
            [-TopFilesPerPath [<Int32>]
                    [-TopScansPerFilePerPath [<Int32>]]
                    ]
            [-TopExtensionsPerPath [<Int32>]
                    [-TopScansPerExtensionPerPath [<Int32>]]
                    ]
            [-TopProcessesPerPath [<Int32>]
                    [-TopScansPerProcessPerPath [<Int32>]]
                    ]
            ]
    [-TopFiles [<Int32>]
            [-TopScansPerFile [<Int32>]]
            [-TopProcessesPerFile [<Int32>]
                    [-TopScansPerProcessPerFile [<Int32>]]
                    ]
            ]
    [-TopExtensions [<Int32>]
            [-TopScansPerExtension [<Int32>]
            [-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerExtension [<Int32>]]
                    ]
            [-TopProcessesPerExtension [<Int32>]
                    [-TopScansPerProcessPerExtension [<Int32>]]
                    ]
            [-TopFilesPerExtension [<Int32>]
                    [-TopScansPerFilePerExtension [<Int32>]]
                    ]
            ]
    [-TopProcesses [<Int32>]
            [-TopScansPerProcess [<Int32>]]
            [-TopExtensionsPerProcess [<Int32>]
                    [-TopScansPerExtensionPerProcess [<Int32>]]
                    ]
            [-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerProcess [<Int32>]]
                    ]
            [-TopFilesPerProcess [<Int32>]
                    [-TopScansPerFilePerProcess [<Int32>]]
                    ]
            ]
    [-MinDuration <String>]
    [-Raw]

Descrição: Get-MpPerformanceReport

O Get-MpPerformanceReport cmdlet analisa uma gravação de desempenho Microsoft Defender do Antivírus (New-MpPerformanceRecording) previamente recolhida e comunica os caminhos de ficheiro, extensões de ficheiro e processos que causam o maior impacto nas análises do Antivírus Microsoft Defender.

O analisador de desempenho fornece informações sobre ficheiros problemáticos que podem causar uma degradação no desempenho do Antivírus Microsoft Defender. Esta ferramenta é fornecida como "TAL COMO ESTÁ" e não se destina a fornecer sugestões sobre exclusões. As exclusões podem reduzir o nível de proteção nos pontos finais. As exclusões, se existirem, devem ser definidas com cuidado.

Para obter mais informações sobre o analisador de desempenho, veja Analisador de Desempenho documentos.

Versões suportadas do SO:

Windows Versão 10 e posterior.

Nota

Esta funcionalidade está disponível a partir da versão 4.18.2108.X e posterior da plataforma.

Exemplos: Get-MpPerformanceReport

Exemplo 1: consulta única
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
Exemplo 2: Múltiplas consultas
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
Exemplo 3: Consultas aninhadas
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
Exemplo 4: Utilizar o parâmetro -MinDuration
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
Exemplo 5: Utilizar o parâmetro -Raw
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

Utilizar -Raw no comando acima especifica que a saída deve ser legível por computador e prontamente convertível para formatos de serialização como JSON.

Parâmetros: Get-MpPerformanceReport

-TopPaths

Pede um relatório de caminhos superiores e especifica quantos caminhos principais para a saída, ordenados por Duração. Agrega as análises com base no respetivo caminho e diretório. O utilizador pode especificar quantos diretórios devem ser apresentados em cada nível e a profundidade da seleção.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth

Especifica a profundidade recursiva utilizada para agrupar e apresentar resultados de caminho agregado. Por exemplo, "C:" corresponde a uma profundidade de 1, "C:\Utilizadores\Foo" corresponde a uma profundidade de 3.

Este sinalizador pode acompanhar todas as outras opções de Caminho Superior. Se estiver em falta, é assumido um valor predefinido de 3. O valor não pode ser 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
sinalizador definição
-TopScansPerPath Especifica o número de análises principais a especificar para cada caminho superior.
-TopFilesPerPath Especifica o número de ficheiros principais a especificar para cada caminho superior.
-TopScansPerFilePerPath Especifica o número de análises principais a exportar para cada ficheiro superior para cada caminho superior, ordenado por "Duração"
-TopExtensionsPerPath Especifica o número de extensões principais a exportar para cada caminho superior
-TopScansPerExtensionPerPath Especifica o número de análises principais a exportar para cada extensão superior para cada caminho superior
-TopProcessesPerPath Especifica o número de processos principais a exportar para cada caminho superior
-TopScansPerProcessPerPath Especifica o número de análises principais a exportar para cada processo superior para cada caminho superior
-TopPathsPerExtension Especifica o número de caminhos principais a exportar para cada extensão superior
-TopScansPerPathPerExtension Especifica o número de análises principais a exportar para cada caminho superior para cada extensão superior
-TopPathsPerProcess Especifica o número de caminhos principais a exportar para cada processo superior
-TopScansPerPathPerProcess Especifica o número de análises principais a exportar para cada caminho superior para cada processo superior
-MinDuration

Especifica a duração mínima de qualquer análise ou durações totais de análise de ficheiros, extensões e processos incluídos no relatório; aceita valores como 0,1234567sec, 0,1234ms, 0,1us ou um TimeSpan válido.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Caminho

Especifica o caminho ou caminhos para uma ou mais localizações.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-Não processado

Especifica que a saída da gravação de desempenho deve ser legível por computador e prontamente convertível para formatos de serialização como JSON (por exemplo, através do comando Converter para JSON). Esta configuração é recomendada para os utilizadores interessados no processamento em lotes com outros sistemas de processamento de dados.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensions

Especifica o número de extensões principais a exportar, ordenadas por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess

Especifica quantas extensões principais exportar para cada processo superior, ordenadas por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiles

Pede um relatório de ficheiros principais e especifica quantos ficheiros principais podem ser exportados, ordenados por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension

Especifica o número de ficheiros principais a exportar para cada extensão superior, ordenada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess

Especifica o número de ficheiros principais a exportar para cada processo superior, ordenado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcesses

Pede um relatório de principais processos e especifica quantos dos principais processos são exportados, ordenados por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension

Especifica o número de processos principais a exportar para cada extensão superior, ordenada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile

Especifica o número de processos principais a exportar para cada ficheiro superior, ordenado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans

Pede um relatório de análise superior e especifica quantas análises principais são efetuadas à saída, ordenadas por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension

Especifica o número de análises principais a exportar para cada extensão superior, ordenada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess

Especifica o número de análises principais a exportar para cada extensão superior para cada processo superior, ordenada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile

Especifica o número de análises principais a exportar para cada ficheiro superior, ordenado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension

Especifica o número de análises principais a exportar para cada ficheiro superior para cada extensão superior, ordenada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess

Especifica o número de análises principais de saída para cada ficheiro superior para cada processo superior, ordenado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess

Especifica o número de análises principais a exportar para cada processo superior no relatório Processos Principais, ordenado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension

Especifica o número de análises principais de saída para cada processo superior para cada extensão superior, ordenada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile

Especifica o número de análises principais de saída para cada processo superior para cada ficheiro superior, ordenado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Recursos adicionais

Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.