用于在 Windows 上进行高级故障排除的数据收集
适用于:
Microsoft Defender 商业版
Microsoft Defender 防病毒
与 Microsoft 支持专业人员协作时,系统可能会要求你使用客户端分析器收集数据,以便对更复杂的方案进行故障排除。 分析器脚本支持用于此目的的其他参数,并且可以根据观察到需要调查的症状收集特定的日志集。
运行 MDEClientAnalyzer.cmd /? 以查看可用参数的列表及其说明:
| 开关 | 说明 | 何时使用 | 正在排查的进程。 |
|---|---|---|---|
-h |
调用 Windows 性能记录器 以收集除标准日志集外的详细常规性能跟踪。 | 应用程序启动/启动速度缓慢。 单击应用上的按钮时,需要花费 x 秒的时间。 | 以下各项之一: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-l |
调用内置 Windows 性能监视器,以收集轻型 perfmon 跟踪。 在诊断随时间推移而发生但难以按需重现的缓慢性能下降问题时,此方案非常有用。 | 排查应用程序性能可能较慢,无法) 自身重现 (清单。 建议) 最多捕获 3 分钟 (5 分钟,因为数据集可能会变得太大。 | 以下各项之一: - MSSense.exe - MsSenseS.exe - SenseIR.exe- SenseNdr.exe - SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-c |
调用 进程监视器 ,以高级监视实时文件系统、注册表和进程/线程活动。 这在排查各种应用程序兼容性方案时特别有用。 | 进程监视器 (ProcMon) ,用于在调查驱动程序或服务或应用程序启动延迟相关问题时启动启动跟踪。 或者未使用 SMB 机会锁定 (Oplock 的网络共享上托管的应用程序) 正确导致应用程序兼容性问题。 | 以下各项之一: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-i |
调用内置 netsh.exe 命令以启动网络和 Windows 防火墙跟踪,在排查各种网络相关问题时很有用。 | 排查网络相关问题时,例如 Defender for Endpoint EDR 遥测或 CnC 数据提交问题。 Microsoft Defender防病毒云保护 (MAPS) 报告问题。 与网络保护相关的问题等。 | 以下过程之一: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-b |
与 相同 -c ,但进程监视器跟踪将在下次启动期间启动,并且仅在再次使用 -b 时停止。 |
进程监视器 (ProcMon) ,用于在调查驱动程序或服务或应用程序启动延迟相关问题时启动启动跟踪。 此方案还可用于调查启动缓慢或登录缓慢的情况。 | 以下过程之一: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe - SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-e |
调用 Windows 性能记录器 , (AM-Engine 和 AM-Service) 收集 Defender AV 客户端跟踪,以分析防病毒云连接问题。 | 排查 Cloud Protection (MAPS 时) 报告失败。 | MsMpEng.exe |
-a |
调用 Windows 性能记录器 以收集特定于与防病毒进程 (MsMpEng.exe) 相关的高 CPU 问题分析的详细性能跟踪。 | 使用 Microsoft Defender 防病毒 (反恶意软件服务可执行文件进行故障排除时,如果已使用 Microsoft Defender 防病毒性能分析器来缩小导致 CPU 使用率过高的 /path/process 或 /path 或文件扩展名,则 MsMpEng.exe) 。 此方案允许进一步调查应用程序或服务为导致 CPU 使用率过高而执行的操作。 | MsMpEng.exe |
-v |
使用防病毒 MpCmdRun.exe 命令行参数 和最详细的 -trace 标志。 | 随时需要高级故障排除。 例如,在对 Cloud Protection (MAPS 进行故障排除时,) 报告失败、平台更新失败、引擎更新失败、安全智能更新失败、误报等。还可以与 、-c、 -h或 -l一起使用-b。 |
MsMpEng.exe |
-t |
启动与终结点 DLP 相关的所有客户端组件的详细跟踪,这对于 DLP 操作 在文件中未按预期发生的情况非常有用。 | 遇到 Microsoft Endpoint 数据丢失防护 (DLP) 预期不会发生操作的问题。 | MpDlpService.exe |
-q |
从分析器 Tools 目录调用 DLPDiagnose.ps1 脚本,用于验证终结点 DLP 的基本配置和要求。 |
检查 Microsoft Endpoint DLP 的基本配置和要求 | MpDlpService.exe |
-d |
收集 (Windows Server 2016或较旧操作系统) 和相关进程的传感器进程的内存转储MsSenseS.exe。 - * 此标志可与上述标志一起使用。 - ** 分析器目前不支持捕获 受 PPL 保护的进程 (例如 MsSense.exe 或 MsMpEng.exe )的内存转储。 |
在 Windows 7 SP1、Windows 8.1、Windows Server 2008 R2 上,Windows Server 2012 R2 或运行 MMA 代理的Windows Server 2016,并且性能 (CPU 使用率高或内存使用率) 或应用程序兼容性问题。 | MsSenseS.exe |
-z |
在计算机上配置注册表项,以便通过 CrashOnCtrlScroll 为完整计算机内存转储收集做好准备。 这对于分析计算机冻结问题非常有用。 * 按住最右侧的 Ctrl 键,然后按两次 SCROLL LOCK 键。 | 计算机挂起或无响应或速度缓慢。 内存使用率 (内存泄漏) :) 用户模式:专用字节 b) 内核模式:分页池或非分页池内存,处理泄漏。 |
MSSense.exe 或 MsMpEng.exe |
-k |
使用 NotMyFault 工具强制系统崩溃并生成计算机内存转储。 这对于分析各种 OS 稳定性问题非常有用。 | 与上述相同。 |
MSSense.exe 或 MsMpEng.exe |
分析器和本文中列出的所有方案标志都可以通过运行 RemoteMDEClientAnalyzer.cmd远程启动,后者也捆绑到分析器工具集中:
注意
使用任何高级故障排除参数时,分析器还会调用 MpCmdRun.exe 来收集与防病毒相关的Microsoft Defender支持日志。
即使 -g 未载入该区域,也可以使用标志来验证特定数据中心区域的 URL
例如, MDEClientAnalyzer.cmd -g EU 强制分析器测试欧洲区域中的云 URL。
需要记住的几点
使用 RemoteMDEClientAnalyzer.cmd时,它会调用 以 psexec 从配置的文件共享下载该工具,然后通过 PsExec.exe在本地运行该工具。
CMD 脚本使用 标志 -r 指定它在 SYSTEM 上下文中远程运行,因此不会向用户显示任何提示。
同一标志可用于 MDEClientAnalyzer.cmd 避免提示用户指定数据收集的分钟数。 例如,请考虑 MDEClientAnalyzer.cmd -r -i -m 5。
-
-r指示工具正在从远程 (或非交互式上下文) 运行。 -
-i是用于收集网络跟踪以及其他相关日志的方案标志。 -
-m #表示在示例) 中使用了 5 分钟的运行 (分钟数。
使用 MDEClientAnalyzer.cmd时,脚本使用 net session检查权限,这要求服务 Server 正在运行。 否则,将收到错误消息 “脚本正在运行,权限不足”。 如果 ECHO 处于关闭状态,请使用管理员权限运行它。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。