Aracılığıyla paylaş


Gerçek zamanlı korumayla ilgili performans sorunlarını giderin

Şunlar için geçerlidir:

Platform

  • Windows

Sisteminizde Uç Nokta için Microsoft Defender'da gerçek zamanlı koruma hizmetiyle ilgili yüksek CPU kullanımı veya performans sorunları varsa Microsoft desteğine bir bilet gönderebilirsiniz. virüsten koruma tanılama verilerini Microsoft Defender toplama başlığındaki adımları izleyin.

Yönetici olarak, bu sorunları kendi başınıza da giderebilirsiniz.

İlk olarak, sorunun başka bir yazılımdan kaynaklenip kaynaklanmadığını denetlemek isteyebilirsiniz. Virüsten koruma dışlamaları için satıcıya danışın.

Aksi takdirde, Microsoft Koruma Günlüğünü Analiz Etme'deki adımları izleyerek tanımlanan performans sorunuyla hangi yazılımın ilişkili olduğunu belirleyebilirsiniz.

Ayrıca, aşağıdaki adımları izleyerek Microsoft desteğine gönderiminize ek günlükler de sağlayabilirsiniz:

Microsoft Defender Virüsten Koruma ile ilgili performansa özgü sorunlar için bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi

Virüsten koruma dışlamaları için satıcıya başvurun

Sistem performansını etkileyen yazılımı kolayca belirleyebiliyorsanız yazılım satıcısının bilgi bankası veya destek merkezine gidin. Virüsten koruma dışlamaları hakkında önerileri olup olmadığını Arama. Satıcının web sitesinde yoksa, onlarla birlikte bir destek bileti açabilir ve onlardan bir destek bileti yayımlamasını isteyebilirsiniz.

Yazılım satıcılarının hatalı pozitif sonuçları en aza indirmek için sektörle iş ortaklığındaki çeşitli yönergeleri izlemelerini öneririz. Satıcı, yazılımlarını Microsoft Güvenlik Zekası portalı üzerinden gönderebilir.

Microsoft Koruma Günlüğünü Analiz Etme

Microsoft koruma günlük dosyasını C:\ProgramData\Microsoft\Windows Defender\Support konumunda bulabilirsiniz.

MPLog-xxxxxxxx-xxxxxx.log'da, EstimatedImpact olarak çalışan yazılımların tahmini performans etkisi bilgilerini bulabilirsiniz:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%



Alan adı Açıklama
ProcessImageName İşlem görüntüsü adı
TotalTime Bu işlem tarafından erişilen dosyaların taranmalarında harcanan milisaniye cinsinden kümülatif süre
Sayısı Bu işlem tarafından erişilen taranan dosyaların sayısı
MaxTime Bu işlem tarafından erişilen bir dosyanın en uzun tek taramasında milisaniye cinsinden süre
MaxTimeFile Sürenin en uzun taramasının MaxTime kaydedildiği bu işlem tarafından erişilen dosyanın yolu
EstimatedImpact Bu işlemin tarama etkinliği yaşadığı sürenin dışında, bu işlem tarafından erişilen dosyalar için taramalarda harcanan zaman yüzdesi

Performans etkisi yüksekse, Microsoft Defender Virüsten Koruma taramaları için dışlamaları yapılandırma ve doğrulama makalesindeki adımları izleyerek işlemi Yol/İşlem dışlamalarına eklemeyi deneyin.

Önceki adım sorunu çözmezse, aşağıdaki bölümlerde İşlem İzleyicisi veya Windows Performans Kaydedicisi aracılığıyla daha fazla bilgi toplayabilirsiniz.

İşlem İzleyicisi'yi kullanarak işlem günlüklerini yakalama

İşlem İzleyicisi (ProcMon), gerçek zamanlı işlemleri gösterebilen gelişmiş bir izleme aracıdır. Performans sorununu oluşurken yakalamak için bunu kullanabilirsiniz.

  1. İşlem İzleyicisi v3.89'ı gibi C:\tempbir klasöre indirin.

  2. Dosyanın web işaretini kaldırmak için:

    1. ProcessMonitor.zip sağ tıklayın ve Özellikler'i seçin.
    2. Genel sekmesinin altında Güvenlik'i arayın.
    3. Engellemeyi Kaldır'ın yanındaki kutuyu işaretleyin.
    4. Uygula'yı seçin.

    MOTW'yi Kaldır sayfası

  3. Klasör yolunun olması C:\temp\ProcessMonitoriçin dosyasının C:\temp sıkıştırmasını açın.

  4. ProcMon.exe windows istemcisine veya sorun giderdiğiniz Windows sunucusuna kopyalayın.

  5. ProcMon'ı çalıştırmadan önce, yüksek CPU kullanımı sorunuyla ilgili olmayan diğer tüm uygulamaların kapatıldığından emin olun. Bunu yaptığınızda denetlenecek işlem sayısı en aza indirgenecektir.

  6. ProcMon'ı iki şekilde başlatabilirsiniz.

    1. ProcMon.exe sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.

      Günlük otomatik olarak başladığından, geçerli yakalamayı durdurmak için büyüteç simgesini seçin veya Ctrl+E klavye kısayolunu kullanın.

      Büyüteç simgesi

      Yakalamayı durdurduğunuz doğrulamak için büyüteç simgesinin artık kırmızı X ile görünüp görünmediğini denetleyin.

      Kırmızı eğik çizgi

      Ardından, önceki yakalamayı temizlemek için silgi simgesini seçin.

      Temizle simgesi

      Alternatif olarak Ctrl+X klavye kısayolunu da kullanabilirsiniz.

    2. İkinci yol, komut satırını yönetici olarak çalıştırmak ve ardından İşlem İzleyicisi yolundan çalıştırmaktır:

      Cmd procmon

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      İpucu

      İzlemeyi kolayca başlatıp durdurabilmeniz için verileri yakalarken ProcMon penceresini mümkün olduğunca küçük hale getirin.

      Simge durumuna küçült Procmon'un görüntülendiği sayfa

  7. 6. adımdaki yordamlardan birini takip ettikten sonra filtre ayarlama seçeneğini görürsünüz. Tamam'ı seçin. Yakalama tamamlandıktan sonra sonuçları istediğiniz zaman filtreleyebilirsiniz.

    Filtre Uygulama İşlem Adı olarak Sistem Dışlama'nın seçildiği sayfa

  8. Yakalamayı başlatmak için büyüteç simgesini yeniden seçin.

  9. Sorunu yeniden oluşturun.

    İpucu

    Sorunun tamamen yeniden üretilmesi için bekleyin, ardından izlemenin başladığı zaman damgasını not alın.

  10. Yüksek CPU kullanım koşulu sırasında iki-dört dakikalık işlem etkinliğine sahip olduğunuzda büyüteç simgesini seçerek yakalamayı durdurun.

  11. Yakalamayı benzersiz bir adla ve .pml biçiminde kaydetmek için Dosya'yı ve ardından Kaydet...'i seçin. Tüm olaylar ve Yerel İşlem İzleyicisi Biçimi (PML) radyo düğmelerini seçtiğinizden emin olun.

    Ayarları kaydet sayfası

  12. Daha iyi izleme için varsayılan yolu şu şekilde C:\temp\ProcessMonitor\LogFile.PMLC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML değiştirin:

    • %ComputerName% cihaz adıdır
    • MMDDYEAR ay, gün ve yıldır
    • Repro_of_issue yeniden oluşturmaya çalıştığınız sorunun adıdır

    İpucu

    Çalışma sisteminiz varsa karşılaştırmak için örnek bir günlük almak isteyebilirsiniz.

  13. .pml dosyasını sıkıştırın ve Microsoft desteğine gönderin.

Windows Performans Kaydedicisi'yi kullanarak performans günlüklerini yakalama

Microsoft desteğine göndermenize ek bilgiler eklemek için Windows Performans Kaydedicisi'ni (WPR) kullanabilirsiniz. WPR, Windows kayıtları için Olay İzleme oluşturan güçlü bir kayıt aracıdır.

WPR, Windows Değerlendirme ve Dağıtım Seti'nin (Windows ADK) bir parçasıdır ve Windows ADK'yi indirip yükleyebilir. Ayrıca Windows 10 SDK'da Windows 10 Yazılım Geliştirme Seti'nin bir parçası olarak indirebilirsiniz.

WPR kullanıcı arabirimini, WPR kullanıcı arabirimini kullanarak performans günlüklerini yakalama makalesindeki adımları izleyerek kullanabilirsiniz.

Alternatif olarak, WPR CLI kullanarak performans günlüklerini yakalama başlığı altında verilen adımları izleyerek Windows 8 ve sonraki sürümlerde kullanılabilenwpr.exekomut satırı aracını da kullanabilirsiniz.

WPR kullanıcı arabirimini kullanarak performans günlüklerini yakalama

İpucu

Bu sorunla birden çok cihazda karşılaşılıyorsa, en çok RAM'e sahip olanı kullanın.

  1. WPR'yi indirip yükleyin.

  2. Windows Setleri'nin altında Windows Performans Kaydedicisi'ne sağ tıklayın.

    Başlat menüsü

    Diğer'i seçin. Yönetici olarak çalıştır'ı seçin.

  3. Kullanıcı Hesabı Denetimi iletişim kutusu görüntülendiğinde Evet'i seçin.

    UAC sayfası

  4. Ardından, Uç Nokta için Microsoft Defender çözümleme profilini indirin ve gibi C:\tempbir klasöre kaydedinMDAV.wprp.

  5. WPR iletişim kutusunda Diğer seçenekler'i seçin.

    Daha fazla seçenek belirleyebileceğiniz sayfa

  6. Profil Ekle... öğesini seçin ve dosyanın yoluna MDAV.wprp gidin.

  7. Bundan sonra, Özel ölçümler altında altında Uç Nokta için Microsoft Defender analizi adlı yeni bir profil kümesi görmeniz gerekir.

    Dosya içi

    Uyarı

    Windows Server'ınızın 64 GB veya daha fazla RAM'i varsa yerine özel ölçümü Microsoft Defender for Endpoint analysis for large serversMicrosoft Defender for Endpoint analysiskullanın. Aksi takdirde, sisteminiz yüksek miktarda disk belleği olmayan havuz belleği veya arabellek tüketebilir ve bu da sistem kararlılığının oluşmasına neden olabilir. Kaynak Analizi'ni genişleterek hangi profillerin ekleneceğini seçebilirsiniz. Bu özel profil, ayrıntılı performans analizi için gerekli bağlamı sağlar.

  8. WPR kullanıcı arabiriminde özel ölçüm Uç Nokta için Microsoft Defender ayrıntılı analiz profilini kullanmak için:

    1. İlk düzey önceliklendirme, Kaynak Analizi ve Senaryo Analizi grupları altında hiçbir profilin seçilmediğinden emin olun.
    2. Özel ölçümler'i seçin.
    3. analiz Uç Nokta için Microsoft Defender'ı seçin.
    4. Ayrıntı düzeyi'nin altında Ayrıntılı'ya tıklayın.
    5. Günlük modu altında Dosya veya Bellek'i seçin.

    Önemli

    Performans sorunu doğrudan kullanıcı tarafından yeniden oluşturulabiliyorsa dosya günlüğü modunu kullanmak için Dosya'ya tıklayın. Sorunların çoğu bu kategoriye girer. Ancak, kullanıcı sorunu doğrudan yeniden oluşturamıyorsa ancak sorun oluştuğunda kolayca fark edebilirse, bellek günlüğü modunu kullanmak için Bellek'i seçmesi gerekir. Bu, izleme günlüğünün uzun çalışma süresi nedeniyle aşırı şişmemesini sağlar.

  9. Artık veri toplamaya hazırsınız. Performans sorununun yeniden üretilmesiyle ilgili olmayan tüm uygulamalardan çıkın. WPR penceresinin kapladığı alanı küçük tutmak için Seçenekleri gizle'yi seçebilirsiniz.

    Gizle seçenekleri

    İpucu

    İzlemeyi tam sayı saniye olarak başlatmayı deneyin. Örneğin, 01:30:00. Bu, verileri analiz etme işlemini kolaylaştırır. Ayrıca sorunun tam olarak ne zaman yeniden üretildiğinde zaman damgasını izlemeye çalışın.

  10. Başlat'ı seçin.

    Kayıt sistemi bilgileri sayfası

  11. Sorunu yeniden oluşturun.

    İpucu

    Veri toplamayı en fazla beş dakika tutun. Çok fazla veri toplandığı için iki ila üç dakika iyi bir aralıktır.

  12. Kaydet'i seçin.

    Kaydet seçeneği

  13. Sorunun ayrıntılı açıklamasını yazın: sorun hakkında bilgi ve sorunu nasıl yeniden oluşturduğunuzu belirtin.

    Doldurduğunuz bölme

    1. İzleme dosyanızın kaydedileceği yeri belirlemek için Dosya Adı: öğesini seçin. Varsayılan olarak, öğesine %user%\Documents\WPR Files\kaydedilir.
    2. Kaydet'i seçin.
  14. İzleme birleştirilirken bekleyin.

    WPR genel izleme toplama

  15. İzleme kaydedildikten sonra Klasörü aç'ı seçin.

    WPR izlemesinin kaydedildiği bildirimini görüntüleyen sayfa

    Hem dosyayı hem de klasörü Microsoft Desteği göndermenize ekleyin.

    Dosyanın ve klasörün ayrıntıları

WPR CLI kullanarak performans günlüklerini yakalama

komut satırı aracı wpr.exe, Windows 8 ile başlayan işletim sisteminin bir parçasıdır. Komut satırı aracını kullanarak WPR izlemesini toplamak için wpr.exe:

  1. gibi C:\tracesbir yerel dizinde adlı MDAV.wprp dosyaya performans izlemeleri için Uç Nokta için Microsoft Defender analiz profilini indirin.

  2. Başlat Menüsü simgesine sağ tıklayın ve Yönetici komut istemi penceresini açmak için Windows PowerShell (Yönetici) veya Komut İstemi 'ni (Yönetici) seçin.

  3. Kullanıcı Hesabı Denetimi iletişim kutusu görüntülendiğinde Evet'i seçin.

  4. Yükseltilmiş komut isteminde aşağıdaki komutu çalıştırarak Uç Nokta için Microsoft Defender performans izlemesini başlatın:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    

    Uyarı

    Windows Server'ınızın 64 GB veya RAM veya daha fazla rami varsa, sırasıyla ve yerine profilleri WD.LightWD.Verbosekullanın WDForLargeServers.LightWDForLargeServers.Verbose. Aksi takdirde, sisteminiz yüksek miktarda disk belleği olmayan havuz belleği veya arabellek tüketebilir ve bu da sistem kararlılığının oluşmasına neden olabilir.

  5. Sorunu yeniden oluşturun.

    İpucu

    Veri toplamayı en fazla beş dakika tutun. Senaryoya bağlı olarak, çok fazla veri toplandığı için iki ila üç dakika iyi bir aralıktır.

  6. Yükseltilmiş istemde, performans izlemesini durdurmak için aşağıdaki komutu çalıştırın ve sorun ve sorunu nasıl yeniden oluşturduğunuz hakkında bilgi sağladığından emin olun:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. İzleme birleştirilene kadar bekleyin.

  8. Hem dosyayı hem de klasörü Microsoft desteğine gönderin.

İpucu

Performans ipucu Diğer virüsten koruma yazılımları gibi Virüsten Koruma Microsoft Defender çeşitli faktörlerden (aşağıda listelenen örnekler) dolayı uç nokta cihazlarında performans sorunlarına neden olabilir. Bazı durumlarda, bu performans sorunlarını gidermek için Microsoft Defender Virüsten Koruma'nın performansını ayarlamanız gerekebilir. Microsoft'un Performans çözümleyicisi hangi dosyaların, dosya yollarının, işlemlerin ve dosya uzantılarının performans sorunlarına neden olabileceğini belirlemeye yardımcı olan bir PowerShell komut satırı aracıdır; bazı örnekler şunlardır:

  • Tarama süresini etkileyen en iyi yollar
  • Tarama süresini etkileyen en önemli dosyalar
  • Tarama süresini etkileyen en önemli işlemler
  • Tarama süresini etkileyen en iyi dosya uzantıları
  • Kombinasyonlar – örneğin:
    • uzantı başına en çok kullanılan dosyalar
    • uzantı başına en iyi yollar
    • yol başına en üstteki işlemler
    • dosya başına en çok tarama
    • işlem başına dosya başına en çok tarama

Performans sorunlarını daha iyi değerlendirmek ve düzeltme eylemleri uygulamak için Performans çözümleyicisi kullanılarak toplanan bilgileri kullanabilirsiniz. Bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.