Felsök prestandaproblem gällande skydd i realtid
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Plattformar
- Windows
Om systemet har problem med hög CPU-användning eller prestanda som rör realtidsskyddstjänsten i Microsoft Defender för Endpoint kan du skicka ett ärende till Microsofts support. Följ stegen i Samla in diagnostikdata för Microsoft Defender Antivirus.
Som administratör kan du också felsöka dessa problem på egen hand.
Först kanske du vill kontrollera om problemet orsakas av en annan programvara. Läs Kontrollera med leverantören om det finns antivirusundantag.
Annars kan du identifiera vilken programvara som är relaterad till det identifierade prestandaproblemet genom att följa stegen i Analysera Microsoft Protection-loggen.
Du kan också ange ytterligare loggar för din insändning till Microsofts support genom att följa stegen i:
- Avbilda processloggar med processövervakaren
- Avbilda prestandaloggar med Windows Performance Recorder
Prestandaspecifika problem som rör Microsoft Defender Antivirus finns i: Prestandaanalys för Microsoft Defender Antivirus
Kontrollera med leverantören om det finns antivirusundantag
Om du enkelt kan identifiera programvaran som påverkar systemprestanda går du till programvaruleverantörens kunskapsbas eller supportcenter. Search om de har rekommendationer om antivirusundantag. Om leverantörens webbplats inte har dem kan du öppna ett supportärende med dem och be dem att publicera en.
Vi rekommenderar att programvaruleverantörer följer de olika riktlinjerna i Partnering med branschen för att minimera falska positiva identifieringar. Leverantören kan skicka in sin programvara via Microsoft Säkerhetsinsikter-portalen.
Analysera Microsoft Protection-loggen
Du hittar Microsofts skyddsloggfil i C:\ProgramData\Microsoft\Windows Defender\Support.
I MPLog-xxxxxxxx-xxxxxx.log kan du hitta information om den uppskattade prestandapåverkan för programvara som körs som EstimatedImpact:
Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%
Fältnamn | Beskrivning |
---|---|
ProcessImageName | Namn på processbild |
TotalTime | Den kumulativa varaktigheten i millisekunder som spenderas i genomsökningar av filer som används av den här processen |
Räkna | Antalet genomsökda filer som används av den här processen |
MaxTime | Varaktigheten i millisekunder i den längsta enskilda genomsökningen av en fil som används av den här processen |
MaxTimeFile | Sökvägen till filen som används av den här processen för vilken den längsta genomsökningen MaxTime spelades in |
EstimatedImpact | Den procentandel av tiden som ägnas åt genomsökningar av filer som används av den här processen under den period då den här processen upplevde genomsökningsaktivitet |
Om prestandapåverkan är hög kan du prova att lägga till processen i sökvägs-/processundantag genom att följa stegen i Konfigurera och validera undantag för Microsoft Defender Antivirus-genomsökningar.
Om det föregående steget inte löser problemet kan du samla in mer information via Process Monitor eller Windows Performance Recorder i följande avsnitt.
Avbilda processloggar med processövervakaren
Process Monitor (ProcMon) är ett avancerat övervakningsverktyg som kan visa realtidsprocesser. Du kan använda detta för att samla in prestandaproblemet när det inträffar.
Ladda ned Process Monitor v3.89 till en mapp som
C:\temp
.Så här tar du bort filens webbmärke:
- Högerklicka på ProcessMonitor.zip och välj Egenskaper.
- Under fliken Allmänt letar du efter Säkerhet.
- Markera kryssrutan bredvid Avblockera.
- Välj Använd.
Packa upp filen i
C:\temp
så att mappsökvägen blirC:\temp\ProcessMonitor
.Kopiera ProcMon.exe till Windows-klienten eller Windows-servern som du felsöker.
Innan du kör ProcMon kontrollerar du att alla andra program som inte är relaterade till problemet med hög CPU-användning är stängda. Om du gör det minimeras antalet processer som ska kontrolleras.
Du kan starta ProcMon på två sätt.
Högerklicka på ProcMon.exe och välj Kör som administratör.
Eftersom loggningen startar automatiskt väljer du förstoringsglasikonen för att stoppa den aktuella avbildningen eller använder kortkommandot Ctrl+E.
Kontrollera att du har stoppat avbildningen genom att kontrollera om förstoringsglasikonen nu visas med ett rött X.
Välj sedan raderingsikonen för att rensa den tidigare avbildningen.
Eller använd kortkommandot Ctrl+X.
Det andra sättet är att köra kommandoraden som administratör och sedan köra från sökvägen För processövervakaren:
Procmon.exe /AcceptEula /Noconnect /Profiling
När du har följt en av procedurerna i steg 6 visas sedan ett alternativ för att ange filter. Välj OK. Du kan alltid filtrera resultaten när avbildningen har slutförts.
Starta avbildningen genom att välja förstoringsglasikonen igen.
Återskapa problemet.
Tips
Vänta tills problemet har återskapats helt och notera sedan tidsstämpeln när spårningen startade.
När du har två till fyra minuters processaktivitet under det höga CPU-användningstillståndet stoppar du avbildningen genom att välja förstoringsglasikonen.
Om du vill spara avbildningen med ett unikt namn och med formatet .pml väljer du Arkiv och sedan Spara.... Se till att välja alternativknapparna Alla händelser och PML (Native Process Monitor Format).
För bättre spårning ändrar du standardsökvägen från
C:\temp\ProcessMonitor\LogFile.PML
tillC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML
där:-
%ComputerName%
är enhetsnamnet -
MMDDYEAR
är månad, dag och år -
Repro_of_issue
är namnet på problemet som du försöker återskapa
Tips
Om du har ett fungerande system kanske du vill ha en exempellogg att jämföra.
-
Zippa .pml-filen och skicka den till Microsoft-supporten.
Avbilda prestandaloggar med Windows Performance Recorder
Du kan använda Windows Performance Recorder (WPR) för att inkludera ytterligare information i din överföring till Microsoft-supporten. WPR är ett kraftfullt inspelningsverktyg som skapar händelsespårning för Windows-inspelningar.
WPR är en del av Windows Assessment and Deployment Kit (Windows ADK) och kan laddas ned från Ladda ned och installera Windows ADK. Du kan också ladda ned det som en del av Windows 10 Software Development Kit på Windows 10 SDK.
Du kan använda WPR-användargränssnittet genom att följa stegen i Avbilda prestandaloggar med hjälp av WPR-användargränssnittet.
Du kan också använda kommandoradsverktyget wpr.exe, som finns i Windows 8 och senare versioner genom att följa stegen i Avbilda prestandaloggar med WPR CLI.
Samla in prestandaloggar med WPR-användargränssnittet
Tips
Om det är flera enheter som har det här problemet använder du det som har mest RAM-minne.
Ladda ned och installera WPR.
Under Windows Kits högerklickar du på Windows Performance Recorder.
Välj Mer. Välj Kör som administratör.
När dialogrutan User Account Control (Kontroll av användarkonto) visas väljer du Ja.
Ladda sedan ned Microsoft Defender för Endpoint-analysprofilen och spara som
MDAV.wprp
i en mapp somC:\temp
.I dialogrutan WPR väljer du Fler alternativ.
Välj Lägg till profiler... och bläddra till sökvägen
MDAV.wprp
till filen.Därefter bör du se en ny profiluppsättning under Anpassade mått med namnet Microsoft Defender för Endpoint analys under den.
Varning
Om Windows Server har 64 GB RAM-minne eller mer använder du den anpassade mätningen
Microsoft Defender for Endpoint analysis for large servers
i stället förMicrosoft Defender for Endpoint analysis
. Annars kan systemet förbruka en stor mängd icke-sidiga poolminnen eller buffertar, vilket kan leda till systeminstabilitet. Du kan välja vilka profiler som ska läggas till genom att expandera Resursanalys. Den här anpassade profilen ger den nödvändiga kontexten för djupgående prestandaanalys.Så här använder du den anpassade mätningen Microsoft Defender för Endpoint utförlig analysprofil i WPR-användargränssnittet:
- Se till att inga profiler har valts under grupperna Prioritering på första nivån, Resursanalys och Scenarioanalys .
- Välj Anpassade mått.
- Välj Microsoft Defender för Endpoint analys.
- Välj Utförlig under Detaljnivå .
- Välj Fil eller minne under Loggningsläge.
Viktigt
Du bör välja Fil för att använda filloggningsläget om prestandaproblemet kan återskapas direkt av användaren. De flesta problem hör till den här kategorin. Men om användaren inte kan återskapa problemet direkt, men enkelt kan se det när problemet uppstår, bör användaren välja Minne för att använda minnesloggningsläget. Detta säkerställer att spårningsloggen inte blåser upp alltför mycket på grund av den långa körningstiden.
Nu är du redo att samla in data. Avsluta alla program som inte är relevanta för att återskapa prestandaproblemet. Du kan välja Dölj alternativ för att hålla utrymmet upptaget av WPR-fönstret litet.
Tips
Försök att starta spårningen med heltalssekunder. Till exempel 01:30:00. Detta gör det enklare att analysera data. Försök också att hålla reda på tidsstämpeln för exakt när problemet återskapas.
Välj Start.
Återskapa problemet.
Tips
Behåll datainsamlingen på högst fem minuter. Två till tre minuter är ett bra intervall eftersom mycket data samlas in.
Välj Spara.
Fyll i Typ i en detaljerad beskrivning av problemet: med information om problemet och hur du återskapade problemet.
- Välj Filnamn: för att avgöra var spårningsfilen ska sparas. Som standard sparas den i
%user%\Documents\WPR Files\
. - Välj Spara.
- Välj Filnamn: för att avgöra var spårningsfilen ska sparas. Som standard sparas den i
Vänta medan spårningen slås samman.
När spårningen har sparats väljer du Öppna mapp.
Inkludera både filen och mappen i din överföring till Microsoft Support.
Samla in prestandaloggar med WPR CLI
Kommandoradsverktyget wpr.exe är en del av operativsystemet som börjar med Windows 8. Samla in en WPR-spårning med hjälp av kommandoradsverktyget wpr.exe:
Ladda ned Microsoft Defender för Endpoint analysprofil för prestandaspårningar till en fil med namnet
MDAV.wprp
i en lokal katalog, till exempelC:\traces
.Högerklicka på ikonen Startmeny och välj Windows PowerShell (Admin) eller Kommandotolken (Admin) för att öppna ett Admin kommandotolksfönster.
När dialogrutan User Account Control (Kontroll av användarkonto) visas väljer du Ja.
Kör följande kommando i den upphöjda prompten för att starta en Microsoft Defender för Endpoint prestandaspårning:
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
Varning
Om din Windows Server har 64 GB eller RAM eller mer använder du profiler
WDForLargeServers.Light
ochWDForLargeServers.Verbose
i stället för profilerWD.Light
respektiveWD.Verbose
. Annars kan systemet förbruka en stor mängd icke-sidiga poolminnen eller buffertar, vilket kan leda till systeminstabilitet.Återskapa problemet.
Tips
Behåll datainsamlingen högst fem minuter. Beroende på scenariot är två till tre minuter ett bra intervall eftersom mycket data samlas in.
I den upphöjda prompten kör du följande kommando för att stoppa prestandaspårningen och se till att ange information om problemet och hur du återskapade problemet:
wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
Vänta tills spårningen har sammanfogats.
Inkludera både filen och mappen i din överföring till Microsoft-supporten.
Tips
Om du letar efter antivirusrelaterad information för andra plattformar läser du:
- Ange inställningar för Microsoft Defender för Endpoint på macOS
- Microsoft Defender för Endpoint för Mac
- macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
- Ange inställningar för Microsoft Defender för Endpoint i Linux
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
Tips
Prestandatips På grund av en mängd olika faktorer (exempel som anges nedan) kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalys är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:
- De vanligaste sökvägarna som påverkar genomsökningstiden
- De vanligaste filerna som påverkar genomsökningstiden
- De vanligaste processerna som påverkar genomsökningstiden
- De vanligaste filnamnstilläggen som påverkar genomsökningstiden
- Kombinationer – till exempel:
- de vanligaste filerna per tillägg
- de översta sökvägarna per tillägg
- de vanligaste processerna per sökväg
- de vanligaste genomsökningarna per fil
- de vanligaste genomsökningarna per fil per process
Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.
Se även
- Samla in diagnostikdata för Microsoft Defender antivirusprogram
- Konfigurera och validera undantag för Microsoft Defender Antivirus-genomsökningar
- Prestandaanalys för Microsoft Defender Antivirus
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.