Resolução de problemas de desempenho relacionados com a proteção em tempo real

  • Artigo

Aplica-se a:

Plataformas

  • Windows

Se o seu sistema estiver a ter problemas de utilização elevada da CPU ou de desempenho relacionados com o serviço de proteção em tempo real no Microsoft Defender para Endpoint, pode submeter um pedido de suporte à Microsoft. Siga os passos em Recolher Microsoft Defender dados de diagnóstico do Antivírus.

Enquanto administrador, também pode resolver estes problemas por conta própria.

Primeiro, poderá querer verificar se o problema está a ser causado por outro software. Leia Verificar se existem exclusões antivírus com o fornecedor.

Caso contrário, pode identificar que software está relacionado com o problema de desempenho identificado ao seguir os passos em Analisar o Registo de Proteção da Microsoft.

Também pode fornecer registos adicionais à submissão ao suporte da Microsoft ao seguir os passos em:

Para problemas específicos de desempenho relacionados com o Antivírus do Microsoft Defender, veja: Analisador de desempenho do Antivírus do Microsoft Defender

Verificar se existem exclusões antivírus com o fornecedor

Se conseguir identificar facilmente o software que afeta o desempenho do sistema, aceda ao centro de suporte ou base de dados de conhecimento do fornecedor de software. Pesquisa se tiverem recomendações sobre exclusões antivírus. Se o site do fornecedor não os tiver, pode abrir um pedido de suporte com eles e pedir-lhe para publicar um.

Recomendamos que os fornecedores de software sigam as várias diretrizes em Parceria com a indústria para minimizar os falsos positivos. O fornecedor pode submeter o software através do portal Informações de Segurança da Microsoft.

Analisar o Registo de Proteção da Microsoft

Pode encontrar o ficheiro de registo de proteção da Microsoft em C:\ProgramData\Microsoft\Windows Defender\Support.

No MPLog-xxxxxxxx-xxxxxx.log, pode encontrar as informações de impacto estimado no desempenho da execução do software como EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Nome do campo Descrição
ProcessImageName Nome da imagem do processo
TotalTime A duração cumulativa em milissegundos despendida em análises de ficheiros acedidos por este processo
Contagem O número de ficheiros analisados acedidos por este processo
MaxTime A duração em milissegundos na análise única mais longa de um ficheiro acedido por este processo
MaxTimeFile O caminho do ficheiro acedido por este processo para o qual foi registada a análise mais longa da MaxTime duração
EstimatedImpact A percentagem de tempo despendido nas análises de ficheiros acedidos por este processo fora do período em que este processo experimentou a atividade de análise

Se o impacto no desempenho for elevado, experimente adicionar o processo às exclusões caminho/processo ao seguir os passos em Configurar e validar exclusões para Microsoft Defender análises de Antivírus.

Se o passo anterior não resolver o problema, pode recolher mais informações através do Monitor de Processos ou do Gravador de Desempenho do Windows nas secções seguintes.

Capturar registos de processos com o Monitor de Processos

O Monitor de Processos (ProcMon) é uma ferramenta de monitorização avançada que pode mostrar processos em tempo real. Pode utilizá-lo para capturar o problema de desempenho à medida que está a ocorrer.

  1. Transfira o Monitor de Processos v3.89 para uma pasta como C:\temp.

  2. Para remover a marca do ficheiro da Web:

    1. Clique com o botão direito do ratoProcessMonitor.zip e selecione Propriedades.
    2. No separador Geral , procure Segurança.
    3. Selecione a caixa junto a Desbloquear.
    4. Selecione Aplicar.

    A página Remover MOTW

  3. Deszipe o ficheiro no C:\temp para que o caminho da pasta seja C:\temp\ProcessMonitor.

  4. Copie ProcMon.exe para o cliente Windows ou para o servidor Windows que está a resolver.

  5. Antes de executar o ProcMon, certifique-se de que todas as outras aplicações não relacionadas com o problema de utilização elevada da CPU estão fechadas. Ao fazê-lo, minimizará o número de processos a verificar.

  6. Pode iniciar o ProcMon de duas formas.

    1. Clique com o botão direito do ratoProcMon.exe e selecione Executar como administrador.

      Uma vez que o registo é iniciado automaticamente, selecione o ícone de lupa para parar a captura atual ou utilize o atalho de teclado Ctrl+E.

      O ícone de lupa

      Para verificar se parou a captura, verifique se o ícone de lupa aparece agora com um X vermelho.

      A barra vermelha

      Em seguida, para limpar a captura anterior, selecione o ícone de borracha.

      O ícone limpar

      Em alternativa, utilize o atalho de teclado Ctrl+X.

    2. A segunda forma é executar a linha de comandos como administrador e, em seguida, a partir do caminho do Monitor de Processos, execute:

      O cmd procmon 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Sugestão

      Torne a janela ProcMon o mais pequena possível ao capturar dados para que possa iniciar e parar facilmente o rastreio.

      A página que apresenta um Procmon minimiza

  7. Depois de seguir um dos procedimentos no passo 6, verá em seguida uma opção para definir filtros. Selecione OK. Pode sempre filtrar os resultados após a conclusão da captura.

    A página na qual a Exclusão do Sistema é escolhida como o Nome do Processo de Filtragem

  8. Para iniciar a captura, selecione novamente o ícone de lupa.

  9. Reproduza o problema.

    Sugestão

    Aguarde até que o problema seja totalmente reproduzido e, em seguida, tome nota do carimbo de data/hora quando o rastreio começou.

  10. Depois de ter dois a quatro minutos de atividade do processo durante a condição de utilização elevada da CPU, pare a captura ao selecionar o ícone de lupa.

  11. Para guardar a captura com um nome exclusivo e com o formato .pml, selecione Ficheiro e, em seguida, selecione Guardar.... Certifique-se de que seleciona os botões de opção Todos os eventos e Formato de Monitor de Processo Nativo (PML).

    A página guardar definições

  12. Para um melhor controlo, altere o caminho predefinido de C:\temp\ProcessMonitor\LogFile.PML para C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML onde:

    • %ComputerName% é o nome do dispositivo
    • MMDDYEAR é o mês, dia e ano
    • Repro_of_issue é o nome do problema que está a tentar reproduzir

    Sugestão

    Se tiver um sistema de trabalho, poderá querer obter um registo de exemplo para comparar.

  13. Zipe o ficheiro .pml e submeta-o ao suporte da Microsoft.

Capturar registos de desempenho com o Gravador de Desempenho do Windows

Pode utilizar o Gravador de Desempenho do Windows (WPR) para incluir informações adicionais na sua submissão ao suporte da Microsoft. O WPR é uma poderosa ferramenta de gravação que cria o Rastreio de Eventos para gravações do Windows.

O WPR faz parte do Windows Assessment and Deployment Kit (Windows ADK) e pode ser transferido a partir de Transferir e instalar o Windows ADK. Também pode transferi-lo como parte do Windows 10 Software Development Kit no Windows 10 SDK.

Pode utilizar a interface de utilizador WPR ao seguir os passos em Capturar registos de desempenho com a IU da WPR.

Em alternativa, também pode utilizar a ferramenta de linha de comandos wpr.exe, que está disponível em versões Windows 8 e posteriores ao seguir os passos em Capturar registos de desempenho com a CLI do WPR.

Capturar registos de desempenho com a IU da WPR

Sugestão

Se vários dispositivos estiverem a ter este problema, utilize aquele que tem mais RAM.

  1. Transfira e instale o WPR.

  2. Em Windows Kits, clique com o botão direito do rato em Gravador de Desempenho do Windows.

    O menu Iniciar

    Selecione Mais. Selecione Executar como administrador.

  3. Quando for apresentada a caixa de diálogo Controlo de Conta de Utilizador, selecione Sim.

    A página UAC

  4. Em seguida, transfira o perfil de análise de Microsoft Defender para Endpoint e guarde como MDAV.wprp numa pasta como C:\temp.

  5. Na caixa de diálogo WPR, selecione Mais opções.

    A página na qual pode selecionar mais opções

  6. Selecione Adicionar Perfis... e navegue para o caminho do MDAV.wprp ficheiro.

  7. Depois disso, deverá ver um novo conjunto de perfis em Medidas personalizadas com o nome Microsoft Defender para Endpoint análise abaixo.

    O ficheiro no ficheiro

    Aviso

    Se o Windows Server tiver 64 GB de RAM ou mais, utilize a medida Microsoft Defender for Endpoint analysis for large servers personalizada em vez de Microsoft Defender for Endpoint analysis. Caso contrário, o seu sistema pode consumir uma elevada quantidade de memória ou memória intermédia do conjunto não paginada, o que pode levar à instabilidade do sistema. Pode escolher os perfis a adicionar ao expandir a Análise de Recursos. Este perfil personalizado fornece o contexto necessário para uma análise de desempenho aprofundada.

  8. Para utilizar a medição personalizada Microsoft Defender para Endpoint perfil de análise verboso na IU da WPR:

    1. Certifique-se de que não estão selecionados perfis nos grupos de Triagem de primeiro nível, Análise de Recursos e Análise de Cenários .
    2. Selecione Medidas personalizadas.
    3. Selecione Microsoft Defender para Endpoint análise.
    4. Selecione Verboso em Nível de detalhe .
    5. Selecione Ficheiro ou Memória em Modo de registo.

    Importante

    Deve selecionar Ficheiro para utilizar o modo de registo de ficheiros se o problema de desempenho puder ser reproduzido diretamente pelo utilizador. A maioria dos problemas enquadra-se nesta categoria. No entanto, se o utilizador não conseguir reproduzir diretamente o problema, mas conseguir notá-lo facilmente assim que o problema ocorrer, o utilizador deve selecionar Memória para utilizar o modo de registo de memória. Isto garante que o registo de rastreio não irá inflacionar excessivamente devido ao tempo de execução prolongada.

  9. Agora, está pronto para recolher dados. Saia de todas as aplicações que não são relevantes para reproduzir o problema de desempenho. Pode selecionar Ocultar opções para manter o espaço ocupado pela janela WPR pequena.

    As opções Ocultar

    Sugestão

    Experimente iniciar o rastreio em segundos numéricos inteiros. Por exemplo, 01:30:00. Desta forma, será mais fácil analisar os dados. Tente também controlar o carimbo de data/hora exatamente quando o problema é reproduzido.

  10. Selecione Iniciar.

    A página Informações do sistema de registos

  11. Reproduza o problema.

    Sugestão

    Mantenha a recolha de dados num limite de cinco minutos. Dois a três minutos é um bom intervalo, uma vez que estão a ser recolhidos muitos dados.

  12. Seleccione Guardar.

    A opção Guardar

  13. Preencha Escreva uma descrição detalhada do problema: com informações sobre o problema e como reproduziu o problema.

    O painel no qual preenche

    1. Selecione Nome do Ficheiro: para determinar onde o ficheiro de rastreio será guardado. Por predefinição, é guardado em %user%\Documents\WPR Files\.
    2. Seleccione Guardar.

  14. Aguarde enquanto o rastreio está a ser intercalado.

    O rastreio geral de recolha de WPR

  15. Depois de guardar o rastreio, selecione Abrir pasta.

    A página que apresenta a notificação de que o rastreio WPR foi guardado

    Inclua o ficheiro e a pasta na sua submissão para Suporte da Microsoft.

    Os detalhes do ficheiro e da pasta

Capturar registos de desempenho com a CLI do WPR

A ferramenta de linha de comandos wpr.exe faz parte do sistema operativo que começa com Windows 8. Para recolher um rastreio WPR com a ferramenta de linha de comandos wpr.exe:

  1. Transfira Microsoft Defender para Endpoint perfil de análise para rastreios de desempenho para um ficheiro com o nome MDAV.wprp num diretório local, como C:\traces.

  2. Clique com o botão direito do rato no ícone Menu Iniciar e selecione Windows PowerShell (Administração) ou Linha de Comandos (Administração) para abrir uma janela da linha de comandos Administração.

  3. Quando for apresentada a caixa de diálogo Controlo de Conta de Utilizador, selecione Sim.

  4. Na linha de comandos elevada, execute o seguinte comando para iniciar um rastreio de desempenho Microsoft Defender para Endpoint:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Aviso

    Se o Windows Server tiver 64 GB ou RAM ou mais, utilize perfis WDForLargeServers.Light e WDForLargeServers.Verbose em vez de perfis WD.Light e WD.Verbose, respetivamente. Caso contrário, o seu sistema pode consumir uma elevada quantidade de memória ou memória intermédia do conjunto não paginada, o que pode levar à instabilidade do sistema.

  5. Reproduza o problema.

    Sugestão

    Mantenha a recolha de dados no até mais de cinco minutos. Consoante o cenário, dois a três minutos é um bom intervalo, uma vez que muitos dados estão a ser recolhidos.

  6. Na linha de comandos elevada, execute o seguinte comando para parar o rastreio de desempenho, certificando-se de que fornece informações sobre o problema e como reproduziu o problema:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Aguarde até que o rastreio seja intercalado.

  8. Inclua o ficheiro e a pasta na sua submissão ao suporte da Microsoft.

Sugestão

Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:

Sugestão

Sugestão de desempenho Devido a uma variedade de fatores (exemplos listados abaixo) Microsoft Defender o Antivírus, como outro software antivírus, pode causar problemas de desempenho em dispositivos de ponto final. Em alguns casos, poderá ter de ajustar o desempenho do Antivírus Microsoft Defender para aliviar esses problemas de desempenho. O Analisador de Desempenho da Microsoft é uma ferramenta de linha de comandos do PowerShell que ajuda a determinar que ficheiros, caminhos de ficheiros, processos e extensões de ficheiros podem estar a causar problemas de desempenho; alguns exemplos são:

  • Principais caminhos que afetam o tempo de análise
  • Ficheiros principais que afetam o tempo de análise
  • Principais processos que afetam o tempo de análise
  • Principais extensões de ficheiro que afetam o tempo de análise
  • Combinações – por exemplo:
    • ficheiros principais por extensão
    • principais caminhos por extensão
    • principais processos por caminho
    • análises principais por ficheiro
    • principais análises por ficheiro por processo

Pode utilizar as informações recolhidas através do Analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de remediação. Veja: Analisador de desempenho do Antivírus Microsoft Defender.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.