Устранение проблем производительности, связанных с защитой в реальном времени

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Антивирусная программа в Microsoft Defender

Платформы

• Windows

Если в вашей системе возникают проблемы с высокой загрузкой ЦП или производительностью, связанными со службой защиты в режиме реального времени в Microsoft Defender для конечной точки, вы можете отправить запрос в службу поддержки Майкрософт. Выполните действия, описанные в разделе Сбор диагностических данных Microsoft Defender антивирусной программы.

Администратор также может устранить эти проблемы самостоятельно.

Во-первых, может потребоваться проверка, если проблема вызвана другим программным обеспечением. См . статью Проверка у поставщика на наличие исключений антивирусной программы.

В противном случае вы можете определить, какое программное обеспечение связано с обнаруженной проблемой производительности, выполнив действия, описанные в разделе Анализ журнала защиты Майкрософт.

Вы также можете предоставить дополнительные журналы для отправки в службу поддержки Майкрософт, выполнив следующие действия:

• Сбор журналов процессов с помощью монитора процессов
• Запись журналов производительности с помощью средства записи производительности Windows

Проблемы с производительностью, связанные с антивирусной программой Microsoft Defender, см. в статье Анализатор производительности для Microsoft Defender антивирусной программы.

Обратитесь к поставщику за исключениями антивирусной программы

Если вы можете легко определить программное обеспечение, влияющее на производительность системы, перейдите в база знаний или центр поддержки поставщика программного обеспечения. Поиск, если у них есть рекомендации по исключениям антивирусной программы. Если на веб-сайте поставщика их нет, вы можете открыть запрос в службу поддержки и попросить их опубликовать его.

Мы рекомендуем поставщикам программного обеспечения следовать различным рекомендациям в статье Партнерство с отраслью, чтобы свести к минимуму ложные срабатывания. Поставщик может отправить свое программное обеспечение через портал портал для обнаружения угроз (Microsoft).

Анализ журнала защиты Майкрософт

Файл журнала защиты Майкрософт можно найти в папке C:\ProgramData\Microsoft\Защитник Windows\Support.

В MPLog-xxxxxxxx-xxxxxx.log можно найти предполагаемые сведения о влиянии на производительность запущенного программного обеспечения в виде EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

---

Имя поля	Описание
ProcessImageName	Имя образа процесса
TotalTime	Совокупная длительность в миллисекундах, затраченная на сканирование файлов, к которым обращается этот процесс
Count	Количество отсканированных файлов, к которым обращается этот процесс
MaxTime	Длительность в миллисекундах в самом длинном сканировании файла, к которым обращается этот процесс
MaxTimeFile	Путь к файлу, к которому обращается этот процесс, для которого была записана самая длинная проверка длительности MaxTime
EstimatedImpact	Процент времени, затраченного на сканирование файлов, к которым обращается этот процесс, за период, в течение которого этот процесс испытывал действия сканирования

Если производительность влияет на высокую производительность, попробуйте добавить процесс в исключения пути или процесса, выполнив действия, описанные в разделе Настройка и проверка исключений для проверки Microsoft Defender антивирусной программы.

Если предыдущий шаг не решает проблему, можно собрать дополнительные сведения с помощью монитора процессов или средства записи производительности Windows в следующих разделах.

Сбор журналов процессов с помощью монитора процессов

Монитор процессов (ProcMon) — это расширенное средство мониторинга, которое может отображать процессы в режиме реального времени. Его можно использовать для отслеживания проблемы с производительностью при ее возникновении.

1. Скачайте монитор процессов версии 3.89 в папку, например C:\temp.

2. Чтобы удалить метку файла в Интернете, выполните следующие действия:

   1. Щелкните правой кнопкой мыши ProcessMonitor.zip и выберите Пункт Свойства.
   2. На вкладке Общие найдите Безопасность.
   3. Установите флажок рядом с разблокировать.
   4. Нажмите Применить.

   

3. Распакуть файл в C:\temp , чтобы путь к папке был C:\temp\ProcessMonitor.

4. Скопируйте ProcMon.exe на клиент Windows или windows server, на который вы пытаетесь устранить неполадки.

5. Перед запуском ProcMon убедитесь, что все другие приложения, не связанные с высокой загрузкой ЦП, закрыты. Это позволит свести к минимуму количество процессов для проверка.

6. ProcMon можно запустить двумя способами.

   1. Щелкните правой кнопкой мышиProcMon.exeи выберите Запуск от имени администратора.

      Так как ведение журнала запускается автоматически, щелкните значок лупы, чтобы остановить текущий захват, или используйте сочетание клавиш CTRL+E.

      

      Чтобы убедиться, что запись остановлена, проверка, если значок лупы теперь отображается с красным X.

      

      Затем, чтобы очистить предыдущий захват, щелкните значок ластика.

      

      Или используйте сочетание клавиш CTRL+X.

   2. Второй способ — запустить командную строку от имени администратора, а затем выполнить по пути монитора процессов:

      

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Совет

      Сделайте окно ProcMon как можно меньше при сборе данных, чтобы можно было легко запускать и останавливать трассировку.

      

7. После выполнения одной из процедур на шаге 6 вы увидите параметр для настройки фильтров. Нажмите OK. Вы всегда можете отфильтровать результаты после завершения записи.

   

8. Чтобы начать запись, снова щелкните значок лупы.

9. Воспроизведите проблему.

   Совет

   Дождитесь полного воспроизведения проблемы, а затем запишите метку времени при запуске трассировки.

10. После двух-четырех минут активности процесса при условии высокой загрузки ЦП остановите запись, щелкнув значок лупы.

11. Чтобы сохранить запись с уникальным именем и в формате .pml, выберите Файл, а затем нажмите кнопку Сохранить.... Установите переключатели Все события и собственный формат монитора процессов (PML).

    

12. Для лучшего отслеживания измените путь по умолчанию на C:\temp\ProcessMonitor\LogFile.PMLC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML :

    • %ComputerName% — это имя устройства.
    • MMDDYEAR — месяц, день и год.
    • Repro_of_issue — это имя проблемы, которую вы пытаетесь воспроизвести.

    Совет

    Если у вас есть рабочая система, может потребоваться получить пример журнала для сравнения.

13. Запакуйте ФАЙЛ .PML и отправьте его в службу поддержки Майкрософт.

Запись журналов производительности с помощью средства записи производительности Windows

Вы можете использовать средство записи производительности Windows (WPR), чтобы включить дополнительные сведения в отправку в службу поддержки Майкрософт. WPR — это мощное средство записи, которое создает трассировку событий для записей Windows.

WPR входит в состав комплекта средств оценки и развертывания Windows (Windows ADK) и его можно скачать в разделе Скачивание и установка Windows ADK. Вы также можете скачать его как часть пакета средств разработки программного обеспечения Windows 10 на Windows 10 SDK.

Пользовательский интерфейс WPR можно использовать, выполнив действия, описанные в разделе Сбор журналов производительности с помощью пользовательского интерфейса WPR.

Кроме того, можно также использовать программу командной строки wpr.exe, которая доступна в Windows 8 и более поздних версиях, выполнив действия, описанные в разделе Запись журналов производительности с помощью интерфейса командной строки WPR.

Сбор журналов производительности с помощью пользовательского интерфейса WPR

Совет

Если эта проблема возникает на нескольких устройствах, используйте одно устройство с наибольшим объемом ОЗУ.

1. Скачайте и установите WPR.

2. В разделе Комплекты Windows щелкните правой кнопкой мыши Средство записи производительности Windows.

   

   Выберите Дополнительно. Выберите Запуск от имени администратора.

3. Когда откроется диалоговое окно Контроль учетных записей пользователей, нажмите кнопку Да.

   

4. Затем скачайте профиль анализа Microsoft Defender для конечной точки и сохраните MDAV.wprp его в папку, например C:\temp.

5. В диалоговом окне WPR выберите Дополнительные параметры.

   

6. Выберите Добавить профили... и перейдите по пути к файлу MDAV.wprp .

7. После этого в разделе Пользовательские измерения появится новый набор профилей с именем Microsoft Defender для конечной точки анализ под ним.

   

   Предупреждение

   Если windows Server имеет 64 ГБ ОЗУ или более, используйте настраиваемое измерение Microsoft Defender for Endpoint analysis for large servers вместо Microsoft Defender for Endpoint analysis. В противном случае система может потреблять большой объем памяти или буферов нестраничного пула, что может привести к нестабильности системы. Вы можете выбрать, какие профили добавить, разверните раздел Анализ ресурсов. Этот пользовательский профиль предоставляет необходимый контекст для глубокого анализа производительности.

8. Чтобы использовать настраиваемый Microsoft Defender для конечной точки профиль подробного анализа в пользовательском интерфейсе WPR, выполните следующие действия.

   1. Убедитесь, что профили не выбраны в группах Анализ ресурсов первого уровня, Анализ ресурсов и Анализ сценариев .
   2. Выберите Пользовательские измерения.
   3. Выберите Microsoft Defender для конечной точки анализ.
   4. Выберите Подробный в разделе Уровень сведений .
   5. Выберите Файл или Память в разделе Режим ведения журнала.

   Важно!

   Выберите Файл, чтобы использовать режим ведения журнала файлов, если проблема с производительностью может быть воспроизведена непосредственно пользователем. Большинство проблем относятся к этой категории. Однако если пользователь не может напрямую воспроизвести проблему, но может легко заметить ее после возникновения проблемы, ему следует выбрать Память , чтобы использовать режим ведения журнала в памяти. Это гарантирует, что журнал трассировки не будет чрезмерно раздуваться из-за длительного времени выполнения.

9. Теперь вы готовы к сбору данных. Закройте все приложения, которые не относятся к воспроизведению проблемы с производительностью. Можно выбрать Скрыть параметры , чтобы сохранить пространство, занимаемое окном WPR, небольшим.

   

   Совет

   Попробуйте запустить трассировку с целым числом секунд. Например, 01:30:00. Это упростит анализ данных. Кроме того, старайтесь отслеживать метку времени точного воспроизведения проблемы.

10. Нажмите кнопку Пуск.

    

11. Воспроизведите проблему.

    Совет

    Сохраните сбор данных не более пяти минут. От двух до трех минут — хороший диапазон, так как собирается большое количество данных.

12. Выберите Сохранить.

    

13. Заполните введите подробное описание проблемы: со сведениями о проблеме и способом воспроизведения проблемы.

    

    1. Выберите Имя файла, чтобы определить, где будет сохранен файл трассировки. По умолчанию он сохраняется в %user%\Documents\WPR Files\.
    2. Выберите Сохранить.

14. Подождите, пока трассировка будет объединена.

    

15. После сохранения трассировки выберите Открыть папку.

    

    Включите файл и папку в отправку в служба поддержки Майкрософт.

    

Сбор журналов производительности с помощью интерфейса командной строки WPR

Программа командной строки wpr.exe является частью операционной системы, начиная с Windows 8. Чтобы собрать трассировку WPR с помощью средства командной строки wpr.exe:

1. Скачайте Microsoft Defender для конечной точки профиль анализа для трассировки производительности в файл с именем MDAV.wprp в локальном каталоге, C:\tracesнапример .

2. Щелкните правой кнопкой мыши значок меню "Пуск" и выберите Windows PowerShell (Администратор) или Командная строка (Администратор), чтобы открыть окно командной строки Администратор.

3. Когда откроется диалоговое окно Контроль учетных записей пользователей, нажмите кнопку Да.

4. В командной строке с повышенными привилегиями выполните следующую команду, чтобы запустить трассировку производительности Microsoft Defender для конечной точки:

   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   

   Предупреждение

   Если windows Server имеет 64 ГБ или больше ОЗУ, используйте профили WDForLargeServers.Light и вместо WDForLargeServers.Verbose профилей WD.Light и WD.Verboseсоответственно. В противном случае система может потреблять большой объем памяти или буферов нестраничного пула, что может привести к нестабильности системы.

5. Воспроизведите проблему.

   Совет

   Храните сбор данных не более пяти минут. В зависимости от сценария, от двух до трех минут является хорошим диапазоном, так как собирается много данных.

6. В командной строке с повышенными привилегиями выполните следующую команду, чтобы остановить трассировку производительности, предоставив сведения о проблеме и способах воспроизведения проблемы:

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. Подождите, пока трассировка не будет объединена.

8. Включите файл и папку в отправку в службу поддержки Майкрософт.

Совет

Если вам нужны сведения об антивирусной программе для других платформ, см.:

• Установка параметров Microsoft Defender для конечной точки в macOS
• Microsoft Defender для конечной точки на Mac
• Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
• Установите параметры Microsoft Defender для конечной точки в Linux.
• Microsoft Defender для конечной точки в Linux
• Настройка функций Defender для конечной точки на Android
• Настройка защитника Майкрософт для конечной точки на функциях iOS

Совет

Совет по производительности Из-за различных факторов (примеры приведены ниже) Microsoft Defender антивирусная программа, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:

• Основные пути, влияющие на время сканирования
• Основные файлы, влияющие на время сканирования
• Основные процессы, влияющие на время сканирования
• Основные расширения файлов, влияющие на время сканирования
• Сочетания— например:
  • top files per extension
  • верхние пути на расширение
  • top процессов на путь
  • большее число сканирований на файл
  • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.

См. также

• Сбор диагностических данных антивирусной программы Microsoft Defender
• Настройка и проверка исключений для проверок антивирусной программы Microsoft Defender
• Анализатор производительности для антивирусной Microsoft Defender

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.