Aracılığıyla paylaş


Windows'da gelişmiş sorun giderme için veri toplama

Şunlar için geçerlidir:

Microsoft destek uzmanlarıyla işbirliği yaparken, daha karmaşık senaryolarda sorun giderme amacıyla veri toplamak için istemci çözümleyicisini kullanmanız istenebilir. Çözümleyici betiği bu amaç için diğer parametreleri destekler ve araştırılması gereken gözlemlenen belirtilere göre belirli bir günlük kümesini toplayabilir.

Kullanılabilir parametrelerin listesini ve açıklamalarını görmek için komutunu çalıştırın MDEClientAnalyzer.cmd /? :

MDEClientAnalyzer.cmd parametreleri

Anahtarı Açıklama Ne zaman kullanılır? Sorun giderme işlemi.
-h Standart günlük kümesine ek olarak ayrıntılı bir genel performans izlemesi toplamak için Windows Performans Kaydedicisi'ne çağrılar. Yavaş uygulama başlatma/başlatma. Uygulamadaki bir düğmeye tıklandığında x saniye daha uzun sürer. Aşağıdakilerden biri:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Basit bir perfmon izlemesi toplamak için yerleşik Windows Performans İzleyicisi çağrıları. Bu senaryo, zaman içinde ortaya çıkan ancak isteğe bağlı olarak yeniden üretilmesi zor olan yavaş performans düşüşü sorunlarını tanılarken yararlı olabilir. Yeniden oluşturma (bildirim) yavaş olabilecek uygulama performansı sorunlarını giderme. Veri kümeniz çok büyük olabileceği için en fazla üç dakika (en fazla beş dakika) yakalamanızı öneririz. Aşağıdakilerden biri:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Gerçek zamanlı dosya sistemi, kayıt defteri ve işlem/iş parçacığı etkinliğinin gelişmiş izlenmesi için işlem izleyicisine çağrılar. Bu, özellikle çeşitli uygulama uyumluluk senaryolarında sorun giderme sırasında kullanışlıdır. Sürücü veya hizmet veya uygulama başlatma gecikmesi ile ilgili sorunu araştırırken önyükleme izlemesi başlatmak için İşlem İzleyicisi (ProcMon). Veya SMB Fırsatçı Kilitleme (Oplock) kullanmayan bir ağ paylaşımında barındırılan uygulamalar uygulama uyumluluk sorunlarına neden olur. Aşağıdakilerden biri:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Ağ ile ilgili çeşitli sorunları giderirken yararlı olan bir ağ ve Windows Güvenlik Duvarı izlemesi başlatmak için yerleşik netsh.exe komutuna çağrılar. Uç Nokta EDR telemetrisi için Defender veya CnC veri gönderme sorunları gibi ağ ile ilgili sorunları giderirken. Virüsten Koruma Bulut Koruması (MAPS) raporlama sorunlarını Microsoft Defender. Ağ korumasıyla ilgili sorunlar vb. Aşağıdaki işlemlerden biri:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b -c Ancak işlem izleyicisi izlemesi sonraki önyükleme sırasında başlatılır ve yalnızca -b yeniden kullanıldığında durdurulur. Sürücü veya hizmet veya uygulama başlatma gecikmesi ile ilgili sorunu araştırırken önyükleme izlemesi başlatmak için İşlem İzleyicisi (ProcMon). Bu senaryo, yavaş önyükleme veya yavaş oturum açmayı araştırmak için de kullanılabilir. Aşağıdaki işlemlerden biri:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Virüsten Koruma bulut bağlantısı sorunlarının analizi için Defender AV İstemcisi izlemesini (AM-Engine ve AM-Service) toplamak için Windows Performans Kaydedicisi'ne çağrılar. Bulut Koruması (MAPS) raporlama hatalarını giderirken. MsMpEng.exe
-a Virüsten koruma işlemiyle ilgili yüksek CPU sorunlarının (MsMpEng.exe) analizine özgü ayrıntılı bir performans izlemesi toplamak için Windows Performans Kaydedicisi'ne çağrılar. Microsoft Defender Virüsten Koruma (Kötü Amaçlı Yazılımdan Koruma Hizmeti Yürütülebilir veya MsMpEng.exe) ile yüksek cpu kullanımı sorunlarını giderirken, yüksek cpu kullanımına katkıda bulunan /path/process veya /path veya dosya uzantısını daraltmak için Microsoft Defender Virüsten Koruma Performans Analizi kullandıysanız. Bu senaryo, yüksek cpu kullanımına katkıda bulunmak için uygulamanın veya hizmetin ne yaptığını daha fazla araştırmanıza olanak tanır. MsMpEng.exe
-v Çoğu ayrıntılı -trace bayrağıyla virüsten koruma MpCmdRun.exe komut satırı bağımsız değişkenlerini kullanır. Gelişmiş bir sorun giderme gerektiğinde. Bulut Koruması (MAPS) raporlama hataları, Platform Güncelleştirmesi hataları, Altyapı güncelleştirme hataları, Güvenlik Zekası Güncelleştirme hataları, Hatalı negatifler vb. sorunlarını giderirken olduğu gibi. , , -c-hveya -lile -bde kullanılabilir. MsMpEng.exe
-t Dosyalar için DLP eylemlerinin beklendiği gibi gerçekleşmediği senaryolar için yararlı olan Uç Nokta DLP ile ilgili tüm istemci tarafı bileşenlerinin ayrıntılı izlemesini başlatır. Beklenen Microsoft Endpoint Data Loss Prevention (DLP) eylemlerinin gerçekleşmediği sorunlarla karşılaşılırken. MpDlpService.exe
-q Çözümleyici Tools dizininden Uç Nokta DLP'sinin temel yapılandırmasını ve gereksinimlerini doğrulayan DLPDiagnose.ps1 betiğine çağrır. Microsoft Endpoint DLP için temel yapılandırmayı ve gereksinimleri denetler MpDlpService.exe
-d Bellek dökümünü MsSenseS.exe (Windows Server 2016 veya daha eski işletim sistemindeki algılayıcı işlemi) ve ilgili işlemleri toplar. - * Bu bayrak yukarıda belirtilen bayraklarla kullanılabilir. - ** Şu anda çözümleyici tarafından desteklenmeyen veya MsMpEng.exe gibi MsSense.exePPL korumalı işlemlerin bellek dökümünü yakalama. Windows 7 SP1'de, Windows 8.1, Windows Server 2008 R2, R2 veya Windows Server 2016 MMA aracısını çalıştırıp performans (yüksek cpu veya yüksek bellek kullanımı) veya uygulama uyumluluğu sorunlarına sahip Windows Server 2012 R2 veya Windows Server 2016. MsSenseS.exe
-z CrashOnCtrlScroll aracılığıyla tam makine bellek dökümü toplamaya hazırlamak için makinedeki kayıt defteri anahtarlarını yapılandırır. Bu, bilgisayar donması sorunlarının analizi için yararlı olabilir. * En sağdaki CTRL tuşunu basılı tutun, ardından SCROLL LOCK tuşuna iki kez basın. Makine askıda veya yanıt vermiyor ya da yavaş. Yüksek bellek kullanımı (Bellek sızıntısı): a) Kullanıcı modu: Özel bayt b) Çekirdek modu: disk belleği havuzu veya disk belleği olmayan havuz belleği, sızıntıları işleme. MSSense.exe Veya MsMpEng.exe
-k Sistemi kilitlenmeye zorlamak ve bir makine bellek dökümü oluşturmak için NotMyFault aracını kullanır. Bu, çeşitli işletim sistemi kararlılığı sorunlarının analizi için yararlı olabilir. Yukarıdakiyle aynı. MSSense.exe Veya MsMpEng.exe

Çözümleyici ve bu makalede listelenen tüm senaryo bayrakları, çözümleyici araç kümesine de paketlenmiş olan çalıştırılarak RemoteMDEClientAnalyzer.cmduzaktan başlatılabilir:

RemoteMDEClientAnalyzer.cmd parametreleri

Not

Gelişmiş sorun giderme parametreleri kullanıldığında çözümleyici, Virüsten Koruma ile ilgili Microsoft Defender destek günlüklerini toplamak içinMpCmdRun.exeda çağırır. Belirli bir veri merkezi bölgesinin URL'lerini o bölgeye eklenmeden bile doğrulamak için bayrağını kullanabilirsiniz -g
Örneğin çözümleyiciyi MDEClientAnalyzer.cmd -g EU Avrupa bölgesindeki bulut URL'lerini test etmeye zorlar.

Akılda tutulması gereken birkaç nokta

kullandığınızda RemoteMDEClientAnalyzer.cmd, psexec aracı yapılandırılmış dosya paylaşımından indirmek ve ardından aracılığıyla PsExec.exeyerel olarak çalıştırmak için çağrısında bulunur.

CMD betiği, bayrağını -r kullanarak SISTEM bağlamı içinde uzaktan çalıştığını belirtir ve bu nedenle kullanıcıya bir istem sunulmaz.

Aynı bayrak, kullanıcıya veri toplama için dakika sayısını belirtme istemini önlemek için ile MDEClientAnalyzer.cmd birlikte kullanılabilir. Örneğin, göz önünde bulundurun MDEClientAnalyzer.cmd -r -i -m 5.

  • -r , aracın uzak (veya etkileşimli olmayan bağlamdan) çalıştırıldığını gösterir.
  • -i , diğer ilgili günlüklerle birlikte ağ izlemesinin toplanmasına yönelik senaryo bayrağıdır.
  • -m # çalıştırılacak dakika sayısını belirtir (örneğimizde 5 dakika kullandık).

kullanılırken MDEClientAnalyzer.cmdbetik, hizmetinin Server çalıştırılmasını gerektiren kullanarak ayrıcalıkları net sessiondenetler. Çalışmıyorsa , Betik yetersiz ayrıcalıklarla çalışıyor hata iletisini alırsınız. ECHO kapalıysa yönetici ayrıcalıklarıyla çalıştırın.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.