收集Microsoft Defender防病毒诊断数据

适用于:

本文介绍如何收集Microsoft支持和工程团队在帮助排查Microsoft Defender防病毒问题时使用的诊断数据。

注意

作为调查或响应过程的一部分,可以从设备收集调查包。 方法如下: 从设备收集调查包

有关与Microsoft Defender防病毒相关的特定于性能的问题,请参阅:适用于 Microsoft Defender 防病毒的性能分析器

获取诊断文件

在至少两个遇到相同问题的设备上,通过执行以下步骤获取 .cab 诊断文件:

  1. 按照以下步骤以管理员身份打开命令提示符:

    a. 打开“ 开始 ”菜单。

    b. 键入 cmd。 右键单击“ 命令提示符 ”,然后选择“ 以管理员身份运行”。

    c. 指定管理员凭据或批准提示。

  2. 导航到Microsoft Defender防病毒的目录:

    cd C:\ProgramData\Microsoft\Windows Defender\Platform\<version>

    其中 <version> 是以 开头的实际版本 4.18.2xxxx.x

    注意

    C:\ProgramData 是隐藏文件夹。 如果在 中没有以 4.18.2xxxx.x 开头的文件夹,则需要转到 C:\Program Files\Windows Defender\C:\ProgramData\Microsoft\Windows Defender\Platform\

  3. 键入以下命令,然后按 Enter

    mpcmdrun.exe -GetFiles
    
  4. 将生成一个 .cab 包含各种诊断日志的文件。 文件的位置在命令提示符的输出中指定。 默认情况下,位置为 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab

    注意

    若要将 cab 文件重定向到其他路径或 UNC 共享,请使用以下命令:

    mpcmdrun.exe -GetFiles -SupportLogLocation <path>

    有关详细信息,请参阅 将诊断数据重定向到 UNC 共享

  5. 将这些 .cab 文件复制到可由Microsoft支持人员访问的位置。 例如,可以与我们共享的受密码保护的 OneDrive 文件夹。

将诊断数据重定向到 UNC 共享

若要收集中央存储库上的诊断数据,可以指定 SupportLogLocation 参数。

mpcmdrun.exe -GetFiles -SupportLogLocation <path>

将诊断数据复制到指定路径。 如果未指定路径,诊断数据将复制到支持日志位置配置中指定的位置。

SupportLogLocation使用 参数时,将在目标路径中创建如下所示的文件夹结构:

<path>\<MMDD>\MpSupport-<hostname>-<HHMM>.cab
字段 说明
path 命令行中指定的路径或从配置中检索的路径
MMDD 收集诊断数据的月份和日期 (例如 0530)
hostname 收集诊断数据的设备的主机名
HHMM 收集诊断数据的小时和分钟数 (例如 1422)

注意

使用文件共享时,请确保用于收集诊断包的帐户对共享具有写入访问权限。

指定创建诊断数据的位置

还可以使用 组策略 对象 (GPO) 指定创建诊断.cab文件的位置。

  1. 打开本地组策略 编辑器,并在 以下位置找到 SupportLogLocation GPO: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SupportLogLocation

  2. 选择“ 定义目录路径”以复制支持日志文件

    本地组策略编辑器

    日志文件的定义路径设置

    本地组策略编辑器

    用于配置日志文件设置的定义路径

  3. 在策略编辑器中,选择“ 已启用”。

  4. “选项” 字段中指定要在其中复制支持日志文件的目录路径。

    显示已启用的目录路径自定义设置的屏幕截图。

  5. 选择 “确定”“应用”。

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区