Dela via


Data-samling för avancerad felsökning i Windows

Gäller för:

När du samarbetar med Microsofts supportpersonal kan du bli ombedd att använda klientanalyseraren för att samla in data för felsökning av mer komplexa scenarier. Analyzer-skriptet stöder andra parametrar för detta ändamål och kan samla in en specifik logguppsättning baserat på de observerade symptom som behöver undersökas.

Kör MDEClientAnalyzer.cmd /? för att se listan över tillgängliga parametrar och deras beskrivning:

Parametrarna för MDEClientAnalyzer.cmd

Växla Beskrivning När du ska använda Process som du felsöker.
-h Anropar Windows Performance Recorder för att samla in en utförlig allmän prestandaspårning utöver standardlogguppsättningen. Långsam start/start av program. När du klickar på en knapp i appen tar det x sekunder längre tid. Något av följande:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Anropar inbyggda Windows Performance Monitor för att samla in en enkel perfmonspårning. Det här scenariot kan vara användbart när du diagnostiserar problem med långsam prestandaförsämring som inträffar över tid men som är svåra att återskapa på begäran. Felsöka programprestanda som kan ta lång tid att återskapa (manifestet). Vi rekommenderar att du samlar in upp till tre minuter (högst fem minuter), eftersom datamängden kan bli för stor. Något av följande:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Anrop till processövervakaren för avancerad övervakning av filsystem, register och process-/trådaktivitet i realtid. Detta är särskilt användbart när du felsöker olika programkompatibilitetsscenarier. Process Monitor (ProcMon) för att initiera en startspårning när du undersöker ett problem som rör drivrutins- eller tjänst- eller programstartsfördröjning. Eller program som finns på en nätverksresurs som inte använder SMB Opportunistic Locking (Oplock) som orsakar programkompatibilitetsproblem korrekt. Något av följande:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Anropar inbyggt netsh.exe kommando för att starta ett nätverks- och Windows-brandväggsspårning som är användbart när du felsöker olika nätverksrelaterade problem. När du felsöker nätverksproblem som t.ex. defender för Endpoint EDR-telemetri eller cnc-dataöverföringsproblem. Microsoft Defender Problem med rapporteraring av antivirusmolnskydd (MAPS). Nätverksskyddsrelaterade problem och så vidare. En av följande processer:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b Samma som -c men processövervakarens spårning initieras under nästa start och stoppas endast när -b används igen. Process Monitor (ProcMon) för att initiera en startspårning när du undersöker ett problem som rör drivrutins- eller tjänst- eller programstartsfördröjning. Det här scenariot kan också användas för att undersöka långsam start eller långsam inloggning. En av följande processer:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Anropar Windows Performance Recorder för att samla in Defender AV-klientspårning (AM-Engine och AM-Service) för analys av problem med anslutning till antivirusmoln. Vid felsökning av fel vid rapportering av molnskydd (MAPS). MsMpEng.exe
-a Anropar Windows Performance Recorder för att samla in en utförlig prestandaspårning som är specifik för analys av problem med hög CPU-användning som rör antivirusprocessen (MsMpEng.exe). När du felsöker hög cpu-användning med Microsoft Defender Antivirus (Körbar eller MsMpEng.exe för programtjänsten) om du redan har använt Microsoft Defender Antivirus-Prestandaanalys för att begränsa den /path/process eller /path eller filtillägg som bidrar till den höga cpu-användningen. Med det här scenariot kan du undersöka vad programmet eller tjänsten gör för att bidra till den höga cpu-användningen. MsMpEng.exe
-v Använder antivirus MpCmdRun.exe kommandoradsargument med de flesta utförliga spårningsflaggor. När som helst en avancerad felsökning behövs. Till exempel vid felsökning av felrapportering i Cloud Protection (MAPS), plattformsuppdateringsfel, motoruppdateringsfel, säkerhetsinformationsuppdateringsfel, falska negativa identifieringar osv. Kan också användas med -b, -c, -heller -l. MsMpEng.exe
-t Startar utförlig spårning av alla komponenter på klientsidan som är relevanta för slutpunkts-DLP, vilket är användbart för scenarier där DLP-åtgärder inte sker som förväntat för filer. När du stöter på problem där de förväntade åtgärderna för dataförlustskydd i Microsoft Endpoint (DLP) inte inträffar. MpDlpService.exe
-q Anropar till DLPDiagnose.ps1 skript från katalogen analyzer Tools som validerar den grundläggande konfigurationen och kraven för slutpunkts-DLP. Kontrollerar den grundläggande konfigurationen och kraven för Microsoft Endpoint DLP MpDlpService.exe
-d Samlar in en minnesdump av MsSenseS.exe (sensorprocessen på Windows Server 2016 eller äldre operativsystem) och relaterade processer. - * Den här flaggan kan användas med ovan nämnda flaggor. - ** Samla in en minnesdump med PPL-skyddade processer , MsSense.exe till exempel eller MsMpEng.exe stöds inte av analysatorn just nu. På Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 eller Windows Server 2016 som kör w/ MMA-agenten och har prestanda (hög cpu- eller hög minnesanvändning) eller programkompatibilitetsproblem. MsSenseS.exe
-z Konfigurerar registernycklar på datorn för att förbereda den för fullständig insamling av minnesdump via CrashOnCtrlScroll. Detta skulle vara användbart för analys av problem med datorfrysning. * Håll ned ctrl-tangenten längst till höger och tryck sedan på RULLNINGSLÅS två gånger. Datorn hänger sig eller svarar inte eller är långsam. Hög minnesanvändning (minnesläcka): a) Användarläge: Privata byte b) Kernelläge: växlingspool eller icke-växlingsbart poolminne, hantera läckor. MSSense.exe eller MsMpEng.exe
-k Använder NotMyFault-verktyget för att tvinga systemet att krascha och generera en minnesdump för datorn. Detta skulle vara användbart för analys av olika problem med os-stabilitet. Samma som ovan. MSSense.exe eller MsMpEng.exe

Analysverktyget och alla scenarioflaggor som anges i den här artikeln kan initieras via fjärranslutning genom att köra RemoteMDEClientAnalyzer.cmd, som också paketeras i verktygsuppsättningen för analysverktyg:

Parametrarna för RemoteMDEClientAnalyzer.cmd

Obs!

När en avancerad felsökningsparameter används anropar analysatorn även MpCmdRun.exe för att samla in Microsoft Defender Antivirus-relaterade supportloggar. Du kan använda -g flaggan för att verifiera URL:er för en specifik datacenterregion även utan att registreras i den regionen
Till exempel MDEClientAnalyzer.cmd -g EU tvingar analysatorn att testa moln-URL:er i Regionen Europa.

Några saker att tänka på

När du använder RemoteMDEClientAnalyzer.cmdanropas psexec det för att ladda ned verktyget från den konfigurerade filresursen och sedan köra det lokalt via PsExec.exe.

CMD-skriptet -r använder flaggan för att ange att den körs via fjärranslutning i SYSTEM-kontexten, så ingen uppmaning visas för användaren.

Samma flagga kan användas med MDEClientAnalyzer.cmd för att undvika att användaren uppmanas att ange antalet minuter för datainsamling. Överväg MDEClientAnalyzer.cmd -r -i -m 5till exempel .

  • -r anger att verktyget körs från en fjärransluten (eller icke-interaktiv kontext).
  • -i är scenarioflaggan för insamling av nätverksspårning tillsammans med andra relaterade loggar.
  • -m # anger antalet minuter som ska köras (vi använde 5 minuter i vårt exempel).

När du använder MDEClientAnalyzer.cmdsöker skriptet efter behörigheter med , net sessionvilket kräver att tjänsten Server körs. Om det inte är det får du felmeddelandet Skriptet körs med otillräcklig behörighet. Kör den med administratörsbehörighet om ECHO är inaktiverat.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.