收集Microsoft Defender防病毒诊断数据

适用于：

• Microsoft Defender for Endpoint 计划 2

• Microsoft Defender 商业版

• Microsoft Defender for Endpoint 计划 1

• Microsoft Defender 防病毒

• 个人Microsoft Defender

本文介绍如何收集 Microsoft 支持和工程团队在帮助排查Microsoft Defender防病毒问题时使用的诊断数据。

注意

作为调查或响应过程的一部分，可以从设备收集调查包。 方法如下： 从设备收集调查包。

有关与Microsoft Defender防病毒相关的特定于性能的问题，请参阅：适用于 Microsoft Defender 防病毒的性能分析器。

获取诊断文件

在至少两个遇到相同问题的设备上，通过执行以下步骤获取 .cab 诊断文件：

1. 按照以下步骤以管理员身份打开命令提示符：

   a. 打开“ 开始 ”菜单。

   b. 键入 cmd。 右键单击“ 命令提示符 ”，然后选择“ 以管理员身份运行”。

   c. 指定管理员凭据或批准提示。

2. 导航到Microsoft Defender防病毒的目录：

   cd C:\ProgramData\Microsoft\Windows Defender\Platform\<version>

   其中 <version> 是以 开头的实际版本 4.18.2xxxx.x

3. 键入以下命令，然后按 Enter

   mpcmdrun.exe -GetFiles
   

4. 将生成一个 .cab 包含各种诊断日志的文件。 文件的位置在命令提示符的输出中指定。 默认情况下，位置为 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab。

   注意

   若要将 cab 文件重定向到其他路径或 UNC 共享，请使用以下命令：

   mpcmdrun.exe -GetFiles -SupportLogLocation <path>

   有关详细信息，请参阅 将诊断数据重定向到 UNC 共享。

5. 将这些 .cab 文件复制到 Microsoft 支持人员可以访问的位置。 例如，可以与我们共享的受密码保护的 OneDrive 文件夹。

将诊断数据重定向到 UNC 共享

若要收集中央存储库上的诊断数据，可以指定 SupportLogLocation 参数。

mpcmdrun.exe -GetFiles -SupportLogLocation <path>

将诊断数据复制到指定路径。 如果未指定路径，诊断数据将复制到支持日志位置配置中指定的位置。

使用 SupportLogLocation 参数时，将在目标路径中创建如下所示的文件夹结构：

<path>\<MMDD>\MpSupport-<hostname>-<HHMM>.cab

字段	说明
path	命令行中指定的路径或从配置中检索的路径
MMDD	收集诊断数据的月份和日期 (例如 0530)
主机 名	收集诊断数据的设备的主机名
HHMM	收集诊断数据的小时和分钟数 (例如 1422)

注意

使用文件共享时，请确保用于收集诊断包的帐户对共享具有写入访问权限。

指定创建诊断数据的位置

还可以使用 组策略 对象 (GPO) 指定创建诊断.cab文件的位置。

1. 打开本地组策略 编辑器，并在 以下位置找到 SupportLogLocation GPO： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SupportLogLocation。

2. 选择“ 定义目录路径”以复制支持日志文件。

   

   

   

   

3. 在策略编辑器中，选择“ 已启用”。

4. 在 “选项” 字段中指定要在其中复制支持日志文件的目录路径。

5. 选择 “确定” 或 “应用”。

提示

性能提示由于多种因素 (下面列出的示例) Microsoft Defender 防病毒和其他防病毒软件一样，可能会导致终结点设备上的性能问题。 在某些情况下，可能需要优化Microsoft Defender防病毒的性能，以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具，可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括：

• 影响扫描时间的首要路径
• 影响扫描时间的热门文件
• 影响扫描时间的顶级进程
• 影响扫描时间的热门文件扩展名
• 组合 - 例如：
  • 每个扩展名的排名靠前的文件数
  • 每个扩展的顶部路径
  • 每个路径的顶级进程数
  • 每个文件的顶级扫描数
  • 每个进程的每个文件扫描数

可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅：Microsoft Defender防病毒的性能分析器。

另请参阅

• 排查Microsoft Defender防病毒报告问题
• 用于Microsoft Defender防病毒的性能分析器

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。