适用于:
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender 防病毒
- 个人Microsoft Defender
本文介绍如何收集Microsoft支持和工程团队在帮助排查Microsoft Defender防病毒问题时使用的诊断数据。
注意
作为调查或响应过程的一部分,可以从设备收集调查包。 方法如下: 从设备收集调查包。
有关与Microsoft Defender防病毒相关的特定于性能的问题,请参阅:适用于 Microsoft Defender 防病毒的性能分析器。
获取诊断文件
在至少两个遇到相同问题的设备上,通过执行以下步骤获取 .cab 诊断文件:
按照以下步骤以管理员身份打开命令提示符:
a. 打开“ 开始 ”菜单。
b. 键入 cmd。 右键单击“ 命令提示符 ”,然后选择“ 以管理员身份运行”。
c. 指定管理员凭据或批准提示。
导航到Microsoft Defender防病毒的目录:
cd C:\ProgramData\Microsoft\Windows Defender\Platform\<version>其中
<version>是以 开头的实际版本4.18.2xxxx.x注意
C:\ProgramData是隐藏文件夹。 如果在 中没有以4.18.2xxxx.x开头的文件夹,则需要转到C:\Program Files\Windows Defender\。C:\ProgramData\Microsoft\Windows Defender\Platform\键入以下命令,然后按 Enter
mpcmdrun.exe -GetFiles将生成一个
.cab包含各种诊断日志的文件。 文件的位置在命令提示符的输出中指定。 默认情况下,位置为C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab。注意
若要将 cab 文件重定向到其他路径或 UNC 共享,请使用以下命令:
mpcmdrun.exe -GetFiles -SupportLogLocation <path>有关详细信息,请参阅 将诊断数据重定向到 UNC 共享。
将这些 .cab 文件复制到可由Microsoft支持人员访问的位置。 例如,可以与我们共享的受密码保护的 OneDrive 文件夹。
将诊断数据重定向到 UNC 共享
若要收集中央存储库上的诊断数据,可以指定 SupportLogLocation 参数。
mpcmdrun.exe -GetFiles -SupportLogLocation <path>
将诊断数据复制到指定路径。 如果未指定路径,诊断数据将复制到支持日志位置配置中指定的位置。
SupportLogLocation使用 参数时,将在目标路径中创建如下所示的文件夹结构:
<path>\<MMDD>\MpSupport-<hostname>-<HHMM>.cab
| 字段 | 说明 |
|---|---|
| path | 命令行中指定的路径或从配置中检索的路径 |
| MMDD | 收集诊断数据的月份和日期 (例如 0530) |
| hostname | 收集诊断数据的设备的主机名 |
| HHMM | 收集诊断数据的小时和分钟数 (例如 1422) |
注意
使用文件共享时,请确保用于收集诊断包的帐户对共享具有写入访问权限。
指定创建诊断数据的位置
还可以使用 组策略 对象 (GPO) 指定创建诊断.cab文件的位置。
打开本地组策略 编辑器,并在 以下位置找到 SupportLogLocation GPO:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SupportLogLocation。选择“ 定义目录路径”以复制支持日志文件。
在策略编辑器中,选择“ 已启用”。
在 “选项” 字段中指定要在其中复制支持日志文件的目录路径。
选择 “确定” 或 “应用”。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。