Сбор данных для усовершенствованного устранения неполадок в Windows

Область применения:

При совместной работе со специалистами службы поддержки Майкрософт может потребоваться использовать клиентский анализатор для сбора данных для устранения неполадок в более сложных сценариях. Скрипт анализатора поддерживает другие параметры для этой цели и может собирать определенный набор журналов на основе наблюдаемых симптомов, которые необходимо исследовать.

Запустите MDEClientAnalyzer.cmd /? , чтобы просмотреть список доступных параметров и их описание:

Параметры для MDEClientAnalyzer.cmd

Параметр Описание Когда использовать Процесс устранения неполадок.
-h Вызывает средство записи производительности Windows для сбора подробной общей трассировки производительности в дополнение к стандартному набору журналов. Медленный запуск и запуск приложения. При нажатии кнопки в приложении занимает x секунд дольше. Один из следующих продуктов:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Вызовы во встроенные Монитор производительности Windows для сбора упрощенной трассировки пермона. Этот сценарий может быть полезен при диагностике проблем с медленным снижением производительности, которые возникают с течением времени, но трудно воспроизвести по запросу. Устранение неполадок с производительностью приложения, которое может быть медленным при воспроизведении (манифесте). Рекомендуется записывать до трех минут (не более пяти минут), так как набор данных может стать слишком большим. Один из следующих продуктов:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Вызывает монитор процессов для расширенного мониторинга файловой системы, реестра, а также процессов и потоков в режиме реального времени. Это особенно полезно при устранении неполадок в различных сценариях совместимости приложений. Монитор процессов (ProcMon) для запуска трассировки загрузки при исследовании проблемы, связанной с задержкой запуска драйвера, службы или приложения. Или приложения, размещенные в общей сетевой папке, которые не используют SMB Opportunistic Lock (Oplock) должным образом, что вызывает проблемы совместимости приложений. Один из следующих продуктов:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Вызывает встроенную командуnetsh.exe для запуска трассировки сети и брандмауэра Windows, которая полезна при устранении различных проблем, связанных с сетью. При устранении неполадок, связанных с сетью, таких как телеметрия EDR в Defender для конечной точки или проблемы с отправкой данных CnC. Microsoft Defender о проблемах с антивирусной облачной защитой (MAPS). Проблемы, связанные с защитой сети, и т. д. Один из следующих процессов:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b То же самое, что и -c трассировка монитора процесса будет инициирована во время следующей загрузки и остановлена только при повторном использовании -b. Монитор процессов (ProcMon) для запуска трассировки загрузки при исследовании проблемы, связанной с задержкой запуска драйвера, службы или приложения. Этот сценарий также можно использовать для изучения медленной загрузки или медленного входа. Один из следующих процессов:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Вызывает средство записи производительности Windows для сбора данных трассировки клиента АНТИВИРУСной программы Defender (AM-Engine и AM-Service) для анализа проблем с подключением антивирусной программы к облаку. При устранении неполадок, связанных со сбоем в облачной защите (MAPS). MsMpEng.exe
-a Вызывает средство записи производительности Windows для сбора подробной трассировки производительности, специфичной для анализа проблем с высоким уровнем ЦП, связанных с антивирусным процессом (MsMpEng.exe). При устранении неполадок с высокой загрузкой ЦП с помощью антивирусной программы Microsoft Defender (исполняемый файл службы защиты от вредоносных программ или MsMpEng.exe), если вы уже использовали Анализатор производительности антивирусной Microsoft Defender, чтобы сузить /path/process или расширение /path или файл, что способствует высокой загрузке ЦП. Этот сценарий позволяет дополнительно исследовать, что делает приложение или служба, чтобы способствовать высокой загрузке ЦП. MsMpEng.exe
-v Использует антивирусную программуMpCmdRun.exe аргумент командной строки с наиболее подробными флагами трассировки. В любое время требуется расширенное устранение неполадок. Например, при устранении неполадок, связанных со сбоями в отчетах cloud Protection (MAPS), сбоями обновления платформы, сбоями обновления ядра, сбоями обновления аналитики безопасности, ложными отрицательными данными и т. д. Также можно использовать с -b, -c, -hили -l. MsMpEng.exe
-t Запускает подробную трассировку всех клиентских компонентов, относящихся к защите от потери данных в конечной точке, что полезно для сценариев, в которых действия защиты от потери данных выполняются не так, как ожидалось для файлов. При возникновении проблем, из-за которых ожидаемые действия защиты от потери данных (DLP) microsoft endpoint не выполняются. MpDlpService.exe
-q Вызывает скрипт DLPDiagnose.ps1 из каталога анализатора Tools , который проверяет базовую конфигурацию и требования к DLP конечной точки. Проверяет базовую конфигурацию и требования к защите от потери данных в конечной точке Майкрософт. MpDlpService.exe
-d Собирает дамп памяти (процесс датчика MsSenseS.exe в Windows Server 2016 или более старой ОС) и связанные процессы. - * Этот флаг можно использовать с указанными выше флагами. — ** Запись дампа памяти защищенных PPL процессов , таких как MsSense.exe или MsMpEng.exe не поддерживается анализатором в настоящее время. В Windows 7 с пакетом обновления 1 (SP1), Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 или Windows Server 2016 работает с агентом MMA и имеет проблемы с производительностью (высокой загрузкой ЦП или большим объемом памяти) или проблемами совместимости приложений. MsSenseS.exe
-z Настраивает разделы реестра на компьютере, чтобы подготовить его к сбору полного дампа памяти компьютера с помощью CrashOnCtrlScroll. Это было бы полезно для анализа проблем с зависанием компьютера. * Удерживайте нажатой верхнюю правую клавишу CTRL, а затем дважды нажмите клавишу SCROLL LOCK. Компьютер висит, не отвечает или медленно. Использование большого объема памяти (утечка памяти): a) Режим пользователя: частные байты b) Режим ядра: выгружаемый пул или не погашенная память пула, обработка утечек. MSSense.exe или MsMpEng.exe
-k Использует средство NotMyFault для принудительного сбоя системы и создания дампа памяти компьютера. Это было бы полезно для анализа различных проблем со стабильностью ОС. То же самое, что и выше. MSSense.exe или MsMpEng.exe

Анализатор и все флаги сценария, перечисленные в этой статье, можно инициировать удаленно, запустив RemoteMDEClientAnalyzer.cmd, который также входит в набор инструментов анализатора:

Параметры для RemoteMDEClientAnalyzer.cmd

Примечание.

При использовании любого расширенного параметра устранения неполадок анализатор также вызывает MpCmdRun.exe для сбора журналов поддержки Microsoft Defender антивирусной программы. Вы можете использовать -g флаг для проверки URL-адресов для определенного региона центра обработки данных даже без подключения к такому региону.
Например, MDEClientAnalyzer.cmd -g EU заставляет анализатор тестировать URL-адреса облака в регионе Европы.

Несколько моментов, которые следует помнить

При использовании RemoteMDEClientAnalyzer.cmdон вызывает psexec в , чтобы скачать средство из настроенного файлового ресурса, а затем запустить его локально через PsExec.exe.

Скрипт CMD использует -r флаг, чтобы указать, что он выполняется удаленно в контексте SYSTEM, поэтому пользователю не будет предложено.

Этот же флаг можно использовать с MDEClientAnalyzer.cmd , чтобы избежать запроса на указание количества минут для сбора данных. Например, рассмотрим MDEClientAnalyzer.cmd -r -i -m 5.

  • -r указывает, что средство запускается из удаленного (или неинтерактивного контекста).
  • -i — это флаг сценария для сбора трассировки сети вместе с другими связанными журналами.
  • -m # обозначает количество минут для выполнения (в нашем примере мы использовали 5 минут).

При использовании MDEClientAnalyzer.cmdскрипт проверяет наличие привилегий с помощью net session, что требует выполнения службы Server . Если это не так, появится сообщение об ошибке Скрипт выполняется с недостаточными привилегиями. Запустите его с правами администратора, если echo отключен.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.