排查进程监视器Microsoft Defender防病毒性能问题
提示
首先,查看性能问题的常见原因,例如 CPU 使用率过高。 请参阅排查与Microsoft Defender防病毒实时保护相关的性能问题 (rtp) 或扫描 (计划或按需扫描。 然后,运行Microsoft Defender防病毒性能分析器。 此工具将帮助确定Microsoft Defender防病毒中 CPU 使用率过高的原因,无论是反恶意软件服务可执行文件、Microsoft Defender防病毒服务还是 MsMpEng.exe。 如果Microsoft Defender防病毒性能分析器无法确定 CPU 使用率过高的根本原因,请继续运行处理器监视器。 工具包中要运行的最后一个工具是 Windows Performance Recorder UI (WPRUI) 或 Windows Performance Recorded (WPR 命令行) 。
使用进程监视器捕获进程日志
进程监视器 (ProcMon) 是一种高级监视工具,可提供进程的实时数据。 它可用于捕获性能问题(例如 CPU 使用率过高),以及监视应用程序兼容性方案的发生。
可以使用 MDE 客户端分析器或使用手动进程捕获进程监视器 (ProcMon) 跟踪。
使用 MDE 客户端分析器
下载MDE客户端分析器。
使用实时响应或本地运行MDE客户端分析器。
提示
在开始跟踪之前,请确保问题可重现。 此外,请关闭任何不有助于重现问题的应用程序。
使用
-c和-v开关运行MDE客户端分析器:C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v
手动流程
将 进程监视器 v4.01 下载到文件夹,例如
C:\temp。若要删除文件的 Web 标记,请执行以下作:
右键单击 “ProcessMonitor.zip ”,然后选择“ 属性”。
在“ 常规 ”选项卡下,查找 “安全性”。
选中“ 取消阻止”旁边的框。
选择“应用”。
将文件解压缩到 中
C:\temp,使文件夹路径为C:\temp\ProcessMonitor。将 Procmon.exe 复制到要进行故障排除的 Windows 客户端或 Windows 服务器。
提示
在运行 ProcMon 之前,请确保关闭与 CPU 使用率过高问题无关的所有其他应用程序。 执行此步骤有助于最大程度地减少要检查的进程数。
可以通过两种方式启动 ProcMon:使用 Procmon.exe 或命令行。
若要使用 Procmon.exe,请下载它,然后以管理员身份打开它。
如果这是你第一次使用 ProcMon,请单击“ 同意 ”以接受进程监视器许可协议。
由于日志记录会自动启动,请通过选择“捕获”按钮或按 Ctrl+E 停止捕获。
.jpg)
若要确认捕获已停止,请在“ 捕获 ”按钮上查找暂停图标,然后通过选择“ 清除 ”按钮或按 Ctrl+X 删除记录的条目。
.jpg)
若要使用命令行,请以管理员身份打开命令提示符。 然后,运行以下命令:
提示
在捕获数据时尽可能缩小 ProcMon 窗口,以便可以轻松启动和停止跟踪
通过选择“筛选器”图标来设置 筛选器 。 默认情况下设置Standard筛选器。 还可以在捕获完成后筛选结果。 如果应用了任何筛选器,请单击“ 应用 ”,然后单击 “确定”。
若要开始捕获,请再次选择“ 捕获 ”按钮。
重现问题。
提示
等待问题重现,然后记下跟踪开始时的时间戳。
在 CPU 使用率过高期间捕获了 2 到 4 分钟的进程活动后,单击“捕获”按钮停止 捕获 。
若要以格式使用唯一名称
.pml保存捕获,请转到 “文件 ”,然后单击“ 保存...”。确保选择“ 所有事件 ”和 “本机进程监视器格式”单选按钮, (PML) 。
为了更好地跟踪,请将默认路径从
C:\temp\ProcessMonitor\LogFile.PML更改为C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML,其中:
-
%ComputerName%是设备名称 -
MMDDYEAR是月份、日和年 -
Repro_of_issue是你尝试重现的问题的名称
提示
如果你有一个工作系统,你可能想要获取一个示例日志进行比较。
- 压缩文件并将其
.pml提交到Microsoft 支持部门。