Dela via


Felsök prestandaproblem gällande skydd i realtid

Gäller för:

Plattformar

  • Windows

Om systemet har problem med hög CPU-användning eller prestanda som rör realtidsskyddstjänsten i Microsoft Defender för Endpoint kan du skicka ett ärende till Microsofts support. Följ stegen i Samla in diagnostikdata för Microsoft Defender Antivirus.

Som administratör kan du också felsöka dessa problem på egen hand.

Först kanske du vill kontrollera om problemet orsakas av en annan programvara. Läs Kontrollera med leverantören om det finns antivirusundantag.

Annars kan du identifiera vilken programvara som är relaterad till det identifierade prestandaproblemet genom att följa stegen i Analysera Microsoft Protection-loggen.

Du kan också ange ytterligare loggar för din insändning till Microsofts support genom att följa stegen i:

Prestandaspecifika problem som rör Microsoft Defender Antivirus finns i: Prestandaanalys för Microsoft Defender Antivirus

Kontrollera med leverantören om det finns antivirusundantag

Om du enkelt kan identifiera programvaran som påverkar systemprestanda går du till programvaruleverantörens kunskapsbas eller supportcenter. Search om de har rekommendationer om antivirusundantag. Om leverantörens webbplats inte har dem kan du öppna ett supportärende med dem och be dem att publicera en.

Vi rekommenderar att programvaruleverantörer följer de olika riktlinjerna i Partnering med branschen för att minimera falska positiva identifieringar. Leverantören kan skicka in sin programvara via Microsoft Säkerhetsinsikter-portalen.

Analysera Microsoft Protection-loggen

Du hittar Microsofts skyddsloggfil i C:\ProgramData\Microsoft\Windows Defender\Support.

I MPLog-xxxxxxxx-xxxxxx.log kan du hitta information om den uppskattade prestandapåverkan för programvara som körs som EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%



Fältnamn Beskrivning
ProcessImageName Namn på processbild
TotalTime Den kumulativa varaktigheten i millisekunder som spenderas i genomsökningar av filer som används av den här processen
Räkna Antalet genomsökda filer som används av den här processen
MaxTime Varaktigheten i millisekunder i den längsta enskilda genomsökningen av en fil som används av den här processen
MaxTimeFile Sökvägen till filen som används av den här processen för vilken den längsta genomsökningen MaxTime spelades in
EstimatedImpact Den procentandel av tiden som ägnas åt genomsökningar av filer som används av den här processen under den period då den här processen upplevde genomsökningsaktivitet

Om prestandapåverkan är hög kan du prova att lägga till processen i sökvägs-/processundantag genom att följa stegen i Konfigurera och validera undantag för Microsoft Defender Antivirus-genomsökningar.

Om det föregående steget inte löser problemet kan du samla in mer information via Process Monitor eller Windows Performance Recorder i följande avsnitt.

Avbilda processloggar med processövervakaren

Process Monitor (ProcMon) är ett avancerat övervakningsverktyg som kan visa realtidsprocesser. Du kan använda detta för att samla in prestandaproblemet när det inträffar.

  1. Ladda ned Process Monitor v3.89 till en mapp som C:\temp.

  2. Så här tar du bort filens webbmärke:

    1. Högerklicka på ProcessMonitor.zip och välj Egenskaper.
    2. Under fliken Allmänt letar du efter Säkerhet.
    3. Markera kryssrutan bredvid Avblockera.
    4. Välj Använd.

    Sidan Ta bort MOTW

  3. Packa upp filen i C:\temp så att mappsökvägen blir C:\temp\ProcessMonitor.

  4. Kopiera ProcMon.exe till Windows-klienten eller Windows-servern som du felsöker.

  5. Innan du kör ProcMon kontrollerar du att alla andra program som inte är relaterade till problemet med hög CPU-användning är stängda. Om du gör det minimeras antalet processer som ska kontrolleras.

  6. Du kan starta ProcMon på två sätt.

    1. Högerklicka på ProcMon.exe och välj Kör som administratör.

      Eftersom loggningen startar automatiskt väljer du förstoringsglasikonen för att stoppa den aktuella avbildningen eller använder kortkommandot Ctrl+E.

      Förstoringsglasikonen

      Kontrollera att du har stoppat avbildningen genom att kontrollera om förstoringsglasikonen nu visas med ett rött X.

      Det röda snedstrecket

      Välj sedan raderingsikonen för att rensa den tidigare avbildningen.

      Ikonen Rensa

      Eller använd kortkommandot Ctrl+X.

    2. Det andra sättet är att köra kommandoraden som administratör och sedan köra från sökvägen För processövervakaren:

      Cmd procmon

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Tips

      Gör ProcMon-fönstret så litet som möjligt när du samlar in data så att du enkelt kan starta och stoppa spårningen.

      Sidan som visar en minimera Procmon

  7. När du har följt en av procedurerna i steg 6 visas sedan ett alternativ för att ange filter. Välj OK. Du kan alltid filtrera resultaten när avbildningen har slutförts.

    Sidan där Systemexkludering väljs som Filter out Process Name (Filtrera bort processnamn)

  8. Starta avbildningen genom att välja förstoringsglasikonen igen.

  9. Återskapa problemet.

    Tips

    Vänta tills problemet har återskapats helt och notera sedan tidsstämpeln när spårningen startade.

  10. När du har två till fyra minuters processaktivitet under det höga CPU-användningstillståndet stoppar du avbildningen genom att välja förstoringsglasikonen.

  11. Om du vill spara avbildningen med ett unikt namn och med formatet .pml väljer du Arkiv och sedan Spara.... Se till att välja alternativknapparna Alla händelser och PML (Native Process Monitor Format).

    Sidan Spara inställningar

  12. För bättre spårning ändrar du standardsökvägen från C:\temp\ProcessMonitor\LogFile.PML till C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML där:

    • %ComputerName% är enhetsnamnet
    • MMDDYEAR är månad, dag och år
    • Repro_of_issue är namnet på problemet som du försöker återskapa

    Tips

    Om du har ett fungerande system kanske du vill ha en exempellogg att jämföra.

  13. Zippa .pml-filen och skicka den till Microsoft-supporten.

Avbilda prestandaloggar med Windows Performance Recorder

Du kan använda Windows Performance Recorder (WPR) för att inkludera ytterligare information i din överföring till Microsoft-supporten. WPR är ett kraftfullt inspelningsverktyg som skapar händelsespårning för Windows-inspelningar.

WPR är en del av Windows Assessment and Deployment Kit (Windows ADK) och kan laddas ned från Ladda ned och installera Windows ADK. Du kan också ladda ned det som en del av Windows 10 Software Development Kit på Windows 10 SDK.

Du kan använda WPR-användargränssnittet genom att följa stegen i Avbilda prestandaloggar med hjälp av WPR-användargränssnittet.

Du kan också använda kommandoradsverktyget wpr.exe, som finns i Windows 8 och senare versioner genom att följa stegen i Avbilda prestandaloggar med WPR CLI.

Samla in prestandaloggar med WPR-användargränssnittet

Tips

Om det är flera enheter som har det här problemet använder du det som har mest RAM-minne.

  1. Ladda ned och installera WPR.

  2. Under Windows Kits högerklickar du på Windows Performance Recorder.

    Start-menyn

    Välj Mer. Välj Kör som administratör.

  3. När dialogrutan User Account Control (Kontroll av användarkonto) visas väljer du Ja.

    UAC-sidan

  4. Ladda sedan ned Microsoft Defender för Endpoint-analysprofilen och spara som MDAV.wprp i en mapp som C:\temp.

  5. I dialogrutan WPR väljer du Fler alternativ.

    Sidan där du kan välja fler alternativ

  6. Välj Lägg till profiler... och bläddra till sökvägen MDAV.wprp till filen.

  7. Därefter bör du se en ny profiluppsättning under Anpassade mått med namnet Microsoft Defender för Endpoint analys under den.

    In-file

    Varning

    Om Windows Server har 64 GB RAM-minne eller mer använder du den anpassade mätningen Microsoft Defender for Endpoint analysis for large servers i stället för Microsoft Defender for Endpoint analysis. Annars kan systemet förbruka en stor mängd icke-sidiga poolminnen eller buffertar, vilket kan leda till systeminstabilitet. Du kan välja vilka profiler som ska läggas till genom att expandera Resursanalys. Den här anpassade profilen ger den nödvändiga kontexten för djupgående prestandaanalys.

  8. Så här använder du den anpassade mätningen Microsoft Defender för Endpoint utförlig analysprofil i WPR-användargränssnittet:

    1. Se till att inga profiler har valts under grupperna Prioritering på första nivån, Resursanalys och Scenarioanalys .
    2. Välj Anpassade mått.
    3. Välj Microsoft Defender för Endpoint analys.
    4. Välj Utförlig under Detaljnivå .
    5. Välj Fil eller minne under Loggningsläge.

    Viktigt

    Du bör välja Fil för att använda filloggningsläget om prestandaproblemet kan återskapas direkt av användaren. De flesta problem hör till den här kategorin. Men om användaren inte kan återskapa problemet direkt, men enkelt kan se det när problemet uppstår, bör användaren välja Minne för att använda minnesloggningsläget. Detta säkerställer att spårningsloggen inte blåser upp alltför mycket på grund av den långa körningstiden.

  9. Nu är du redo att samla in data. Avsluta alla program som inte är relevanta för att återskapa prestandaproblemet. Du kan välja Dölj alternativ för att hålla utrymmet upptaget av WPR-fönstret litet.

    Dölj alternativ

    Tips

    Försök att starta spårningen med heltalssekunder. Till exempel 01:30:00. Detta gör det enklare att analysera data. Försök också att hålla reda på tidsstämpeln för exakt när problemet återskapas.

  10. Välj Start.

    Informationssidan för postsystem

  11. Återskapa problemet.

    Tips

    Behåll datainsamlingen på högst fem minuter. Två till tre minuter är ett bra intervall eftersom mycket data samlas in.

  12. Välj Spara.

    Alternativet Spara

  13. Fyll i Typ i en detaljerad beskrivning av problemet: med information om problemet och hur du återskapade problemet.

    Fönstret som du fyller i

    1. Välj Filnamn: för att avgöra var spårningsfilen ska sparas. Som standard sparas den i %user%\Documents\WPR Files\.
    2. Välj Spara.
  14. Vänta medan spårningen slås samman.

    WPR samlar in allmän spårning

  15. När spårningen har sparats väljer du Öppna mapp.

    Sidan som visar meddelandet om att WPR-spårning har sparats

    Inkludera både filen och mappen i din överföring till Microsoft Support.

    Information om filen och mappen

Samla in prestandaloggar med WPR CLI

Kommandoradsverktyget wpr.exe är en del av operativsystemet som börjar med Windows 8. Samla in en WPR-spårning med hjälp av kommandoradsverktyget wpr.exe:

  1. Ladda ned Microsoft Defender för Endpoint analysprofil för prestandaspårningar till en fil med namnet MDAV.wprp i en lokal katalog, till exempel C:\traces.

  2. Högerklicka på ikonen Startmeny och välj Windows PowerShell (Admin) eller Kommandotolken (Admin) för att öppna ett Admin kommandotolksfönster.

  3. När dialogrutan User Account Control (Kontroll av användarkonto) visas väljer du Ja.

  4. Kör följande kommando i den upphöjda prompten för att starta en Microsoft Defender för Endpoint prestandaspårning:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    

    Varning

    Om din Windows Server har 64 GB eller RAM eller mer använder du profiler WDForLargeServers.Light och WDForLargeServers.Verbose i stället för profiler WD.Light respektive WD.Verbose. Annars kan systemet förbruka en stor mängd icke-sidiga poolminnen eller buffertar, vilket kan leda till systeminstabilitet.

  5. Återskapa problemet.

    Tips

    Behåll datainsamlingen högst fem minuter. Beroende på scenariot är två till tre minuter ett bra intervall eftersom mycket data samlas in.

  6. I den upphöjda prompten kör du följande kommando för att stoppa prestandaspårningen och se till att ange information om problemet och hur du återskapade problemet:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. Vänta tills spårningen har sammanfogats.

  8. Inkludera både filen och mappen i din överföring till Microsoft-supporten.

Tips

Prestandatips På grund av en mängd olika faktorer (exempel som anges nedan) kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalys är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:

  • De vanligaste sökvägarna som påverkar genomsökningstiden
  • De vanligaste filerna som påverkar genomsökningstiden
  • De vanligaste processerna som påverkar genomsökningstiden
  • De vanligaste filnamnstilläggen som påverkar genomsökningstiden
  • Kombinationer – till exempel:
    • de vanligaste filerna per tillägg
    • de översta sökvägarna per tillägg
    • de vanligaste processerna per sökväg
    • de vanligaste genomsökningarna per fil
    • de vanligaste genomsökningarna per fil per process

Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.