Сбор данных для усовершенствованного устранения неполадок в Windows

Область применения:

• Microsoft Defender для конечной точки (план 1)

• Microsoft Defender для конечной точки (план 2)

• Microsoft Defender для бизнеса

• Антивирусная программа в Microsoft Defender

При совместной работе со специалистами службы поддержки Майкрософт может потребоваться использовать клиентский анализатор для сбора данных для устранения неполадок в более сложных сценариях. Скрипт анализатора поддерживает другие параметры для этой цели и может собирать определенный набор журналов на основе наблюдаемых симптомов, которые необходимо исследовать.

Запустите MDEClientAnalyzer.cmd /? , чтобы просмотреть список доступных параметров и их описание:

Параметр	Описание	Когда использовать	Процесс устранения неполадок.
-h	Вызывает средство записи производительности Windows для сбора подробной общей трассировки производительности в дополнение к стандартному набору журналов.	Медленный запуск и запуск приложения. При нажатии кнопки в приложении занимает x секунд дольше.	Один из следующих продуктов: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-l	Вызовы во встроенные Монитор производительности Windows для сбора упрощенной трассировки пермона. Этот сценарий может быть полезен при диагностике проблем с медленным снижением производительности, которые возникают с течением времени, но трудно воспроизвести по запросу.	Устранение неполадок с производительностью приложения, которое может быть медленным при воспроизведении (манифесте). Рекомендуется записывать до трех минут (не более пяти минут), так как набор данных может стать слишком большим.	Один из следующих продуктов: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-c	Вызывает монитор процессов для расширенного мониторинга файловой системы, реестра, а также процессов и потоков в режиме реального времени. Это особенно полезно при устранении неполадок в различных сценариях совместимости приложений.	Монитор процессов (ProcMon) для запуска трассировки загрузки при исследовании проблемы, связанной с задержкой запуска драйвера, службы или приложения. Или приложения, размещенные в общей сетевой папке, которые не используют SMB Opportunistic Lock (Oplock) должным образом, что вызывает проблемы совместимости приложений.	Один из следующих продуктов: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-i	Вызывает встроенную командуnetsh.exe для запуска трассировки сети и брандмауэра Windows, которая полезна при устранении различных проблем, связанных с сетью.	При устранении неполадок, связанных с сетью, таких как телеметрия EDR в Defender для конечной точки или проблемы с отправкой данных CnC. Microsoft Defender о проблемах с антивирусной облачной защитой (MAPS). Проблемы, связанные с защитой сети, и т. д.	Один из следующих процессов: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-b	То же самое, что и -c трассировка монитора процесса будет инициирована во время следующей загрузки и остановлена только при повторном использовании -b.	Монитор процессов (ProcMon) для запуска трассировки загрузки при исследовании проблемы, связанной с задержкой запуска драйвера, службы или приложения. Этот сценарий также можно использовать для изучения медленной загрузки или медленного входа.	Один из следующих процессов: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-e	Вызывает средство записи производительности Windows для сбора данных трассировки клиента АНТИВИРУСной программы Defender (AM-Engine и AM-Service) для анализа проблем с подключением антивирусной программы к облаку.	При устранении неполадок, связанных со сбоем в облачной защите (MAPS).	MsMpEng.exe
-a	Вызывает средство записи производительности Windows для сбора подробной трассировки производительности, специфичной для анализа проблем с высоким уровнем ЦП, связанных с антивирусным процессом (MsMpEng.exe).	При устранении неполадок с высокой загрузкой ЦП с помощью антивирусной программы Microsoft Defender (исполняемый файл службы защиты от вредоносных программ или MsMpEng.exe), если вы уже использовали Анализатор производительности антивирусной Microsoft Defender, чтобы сузить /path/process или расширение /path или файл, что способствует высокой загрузке ЦП. Этот сценарий позволяет дополнительно исследовать, что делает приложение или служба, чтобы способствовать высокой загрузке ЦП.	MsMpEng.exe
-v	Использует антивирусную программуMpCmdRun.exe аргумент командной строки с наиболее подробными флагами трассировки.	В любое время требуется расширенное устранение неполадок. Например, при устранении неполадок, связанных со сбоями в отчетах cloud Protection (MAPS), сбоями обновления платформы, сбоями обновления ядра, сбоями обновления аналитики безопасности, ложными отрицательными данными и т. д. Также можно использовать с -b, -c, -hили -l.	MsMpEng.exe
-t	Запускает подробную трассировку всех клиентских компонентов, относящихся к защите от потери данных в конечной точке, что полезно для сценариев, в которых действия защиты от потери данных выполняются не так, как ожидалось для файлов.	При возникновении проблем, из-за которых ожидаемые действия защиты от потери данных (DLP) microsoft endpoint не выполняются.	MpDlpService.exe
-q	Вызывает скрипт DLPDiagnose.ps1 из каталога анализатора Tools , который проверяет базовую конфигурацию и требования к DLP конечной точки.	Проверяет базовую конфигурацию и требования к защите от потери данных в конечной точке Майкрософт.	MpDlpService.exe
-d	Собирает дамп памяти (процесс датчика MsSenseS.exe в Windows Server 2016 или более старой ОС) и связанные процессы. - * Этот флаг можно использовать с указанными выше флагами. — ** Запись дампа памяти защищенных PPL процессов , таких как MsSense.exe или MsMpEng.exe не поддерживается анализатором в настоящее время.	В Windows 7 с пакетом обновления 1 (SP1), Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 или Windows Server 2016 работает с агентом MMA и имеет проблемы с производительностью (высокой загрузкой ЦП или большим объемом памяти) или проблемами совместимости приложений.	MsSenseS.exe
-z	Настраивает разделы реестра на компьютере, чтобы подготовить его к сбору полного дампа памяти компьютера с помощью CrashOnCtrlScroll. Это было бы полезно для анализа проблем с зависанием компьютера. * Удерживайте нажатой верхнюю правую клавишу CTRL, а затем дважды нажмите клавишу SCROLL LOCK.	Компьютер висит, не отвечает или медленно. Использование большого объема памяти (утечка памяти): a) Режим пользователя: частные байты b) Режим ядра: выгружаемый пул или не погашенная память пула, обработка утечек.	MSSense.exe или MsMpEng.exe
-k	Использует средство NotMyFault для принудительного сбоя системы и создания дампа памяти компьютера. Это было бы полезно для анализа различных проблем со стабильностью ОС.	То же самое, что и выше.	MSSense.exe или MsMpEng.exe

Анализатор и все флаги сценария, перечисленные в этой статье, можно инициировать удаленно, запустив RemoteMDEClientAnalyzer.cmd, который также входит в набор инструментов анализатора:

Примечание.

При использовании любого расширенного параметра устранения неполадок анализатор также вызывает MpCmdRun.exe для сбора журналов поддержки Microsoft Defender антивирусной программы. Вы можете использовать -g флаг для проверки URL-адресов для определенного региона центра обработки данных даже без подключения к такому региону.
Например, MDEClientAnalyzer.cmd -g EU заставляет анализатор тестировать URL-адреса облака в регионе Европы.

Несколько моментов, которые следует помнить

При использовании RemoteMDEClientAnalyzer.cmdон вызывает psexec в , чтобы скачать средство из настроенного файлового ресурса, а затем запустить его локально через PsExec.exe.

Скрипт CMD использует -r флаг, чтобы указать, что он выполняется удаленно в контексте SYSTEM, поэтому пользователю не будет предложено.

Этот же флаг можно использовать с MDEClientAnalyzer.cmd , чтобы избежать запроса на указание количества минут для сбора данных. Например, рассмотрим MDEClientAnalyzer.cmd -r -i -m 5.

• -r указывает, что средство запускается из удаленного (или неинтерактивного контекста).
• -i — это флаг сценария для сбора трассировки сети вместе с другими связанными журналами.
• -m # обозначает количество минут для выполнения (в нашем примере мы использовали 5 минут).

При использовании MDEClientAnalyzer.cmdскрипт проверяет наличие привилегий с помощью net session, что требует выполнения службы Server . Если это не так, появится сообщение об ошибке Скрипт выполняется с недостаточными привилегиями. Запустите его с правами администратора, если echo отключен.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.