Сбор диагностических данных антивирусной программы Microsoft Defender

Область применения:

• Microsoft Defender для конечной точки (план 2)

• Microsoft Defender для бизнеса

• Microsoft Defender для конечной точки (план 1)

• Антивирусная программа в Microsoft Defender

• Microsoft Defender для физических лиц

В этой статье описывается сбор диагностических данных, используемых специалистами службы поддержки и инженеров Майкрософт при устранении неполадок с Microsoft Defender антивирусной программой.

Примечание.

В рамках процесса исследования или ответа можно собрать пакет исследования с устройства. Вот как: Собрать пакет исследования с устройств.

Проблемы с производительностью, связанные с антивирусной программой Microsoft Defender, см. в статье Анализатор производительности для антивирусной Microsoft Defender.

Получение файлов диагностики

По крайней мере на двух устройствах с одной и той же проблемой получите .cab файл диагностики, выполнив следующие действия.

1. Откройте командную строку от имени администратора, выполнив следующие действия.

   А. Откройте меню Пуск .

   Б. Введите cmd. Щелкните правой кнопкой мыши командную строку и выберите Запуск от имени администратора.

   c. Укажите учетные данные администратора или подтвердите запрос.

2. Перейдите в каталог для антивирусной программы Microsoft Defender:

   cd C:\ProgramData\Microsoft\Windows Defender\Platform\<version>

   Где <version> — фактическая версия, которая начинается с 4.18.2xxxx.x

3. Введите следующую команду и нажмите клавишу ВВОД.

   mpcmdrun.exe -GetFiles
   

4. Создается .cab файл, содержащий различные журналы диагностики. Расположение файла указывается в выходных данных в командной строке. По умолчанию расположение — C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

   Примечание.

   Чтобы перенаправить CAB-файл по другому пути или UNC-ресурсу, используйте следующую команду:

   mpcmdrun.exe -GetFiles -SupportLogLocation <path>

   Дополнительные сведения см. в статье Перенаправление диагностических данных в общую папку UNC.

5. Скопируйте эти .cab файлы в расположение, к которому может получить доступ служба поддержки Майкрософт. Примером может служить защищенная паролем папка OneDrive, которую вы можете предоставить нам.

Перенаправление диагностических данных в общую папку UNC

Для сбора диагностических данных в центральном репозитории можно указать параметр SupportLogLocation.

mpcmdrun.exe -GetFiles -SupportLogLocation <path>

Копирует диагностические данные по указанному пути. Если путь не указан, диагностические данные копируются в расположение, указанное в конфигурации расположения журнала поддержки.

При использовании параметра SupportLogLocation в целевом пути будет создана структура папок, как показано ниже.

<path>\<MMDD>\MpSupport-<hostname>-<HHMM>.cab

поле	Описание
path	Путь, указанный в командной строке или полученный из конфигурации
MMDD	Месяц и день сбора диагностических данных (например, 0530)
Узла	Имя узла устройства, на котором были собраны диагностические данные.
HHMM	Часы и минуты сбора диагностических данных (например, 1422)

Примечание.

При использовании общей папки убедитесь, что учетная запись, используемая для сбора диагностического пакета, имеет доступ на запись в общую папку.

Указание расположения, в котором создаются диагностические данные

Вы также можете указать, где создается файл диагностики .cab с помощью объекта групповая политика (GPO).

1. Откройте локальный групповая политика Редактор и найдите объект групповой политики SupportLogLocation по адресу : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SupportLogLocation.

2. Выберите Определить путь к каталогу для копирования файлов журнала поддержки.

   

   

   

   

3. В редакторе политик выберите Включено.

4. Укажите путь к каталогу, куда нужно скопировать файлы журнала поддержки, в поле Параметры .

5. Нажмите кнопку ОК или Применить.

Совет

Совет по производительности Из-за различных факторов (примеры приведены ниже) Microsoft Defender антивирусная программа, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:

• Основные пути, влияющие на время сканирования
• Основные файлы, влияющие на время сканирования
• Основные процессы, влияющие на время сканирования
• Основные расширения файлов, влияющие на время сканирования
• Сочетания— например:
  • top files per extension
  • верхние пути на расширение
  • top процессов на путь
  • большее число сканирований на файл
  • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.

См. также

• Устранение неполадок Microsoft Defender отчетов антивирусной программы
• Анализатор производительности для антивирусной Microsoft Defender

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.