分享方式:


在 Windows 進階疑難排解的資料收集

適用於:

與 Microsoft 支援專業人員共同作業時,系統可能會要求您使用用戶端分析器來收集數據,以針對更複雜的案例進行疑難解答。 分析器腳本支援該用途的其他參數,而且可以根據觀察到的徵兆收集特定的記錄集,而這些徵兆需要進行調查。

執行 MDEClientAnalyzer.cmd /? 以檢視可用參數清單及其描述:

MDEClientAnalyzer.cmd的參數

參數 描述 使用時機 您要進行疑難解答的程式。
-h 呼叫 Windows Performance Recorder ,以收集除了標準記錄集之外的詳細資訊一般效能追蹤。 應用程式啟動/啟動速度緩慢。 按兩下應用程式上的按鈕時,花費 x 秒的時間。 下列其中之一:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l 呼叫內建 Windows 效能監視器 以收集輕量型效能追蹤。 診斷隨著時間而發生但難以視需要重現的效能降低問題時,此案例非常有用。 針對 (指令清單本身重現速度可能很慢的應用程式效能進行疑難解答) 。 建議您最多擷取三分鐘 (最多五分鐘) ,因為您的數據集可能太大。 下列其中之一:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c 呼叫 行程監視器 以進階監視即時檔系統、登錄和進程/線程活動。 這在針對各種應用程式相容性案例進行疑難解答時特別有用。 進程監視 (ProcMon) 在調查驅動程式或服務或應用程式啟動延遲相關問題時起始開機追蹤。 或者,裝載在網路共用上但未使用SMB商機鎖定 (Oplock 的應用程式) 正確地造成應用程式相容性問題。 下列其中之一:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i 呼叫內建 netsh.exe 命令來啟動網路和 Windows 防火牆追蹤,在針對各種網路相關問題進行疑難解答時很有用。 針對網路相關問題進行疑難解答時,例如適用於端點的 Defender EDR 遙測或 CnC 數據提交問題。 Microsoft Defender 防病毒軟體雲端保護 (MAPS) 報告問題。 網路保護的相關問題等等。 下列其中一個程式:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b -c 相同,但進程監視追蹤會在下次開機期間起始,而且只有在再次使用 -b 時才會停止。 進程監視 (ProcMon) 在調查驅動程式或服務或應用程式啟動延遲相關問題時起始開機追蹤。 此案例也可用來調查慢速開機或緩慢登入。 下列其中一個程式:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e 呼叫 Windows Performance Recorder 以收集適用於AM-Engine和AM-Service) (Defender AV 客戶端追蹤,以分析防病毒軟體雲端連線問題。 針對雲端保護 (MAPS) 報告失敗進行疑難解答時。 MsMpEng.exe
-a 呼叫 Windows Performance Recorder ,以收集與防病毒軟體程式 (MsMpEng.exe) 相關之高 CPU 問題分析的詳細資訊效能追蹤。 使用 Microsoft Defender 防病毒軟體 (Antimalware 服務可執行檔進行高 cpu 使用率的疑難解答時,或 MsMpEng.exe) 如果您已使用 Microsoft Defender 防病毒軟體 效能分析器 來縮小 /path/process 或 /path 或擴展名以致致高 cpu 使用率。 此案例可讓您進一步調查應用程式或服務為高 cpu 使用率所執行的動作。 MsMpEng.exe
-v 使用防病毒 軟體MpCmdRun.exe 命令行自變數 搭配大部分的詳細資訊追蹤旗標。 每當需要進階疑難解答時。 例如,針對雲端保護進行疑難解答時 (MAPS) 報告失敗、平臺更新失敗、引擎更新失敗、安全情報更新失敗、誤判等。也可以搭配 -b-c-h-l使用。 MsMpEng.exe
-t 啟動與端點 DLP 相關之所有用戶端元件的詳細追蹤,這對於檔案未如預期般執行 DLP 動作 的情況很有用。 發生 Microsoft 端點數據外洩防護 (DLP) 未發生預期動作的問題時。 MpDlpService.exe
-q 從分析器 Tools 目錄呼叫 DLPDiagnose.ps1 腳本,以驗證端點 DLP 的基本設定和需求。 檢查 Microsoft 端點 DLP 的基本設定和需求 MpDlpService.exe
-d 收集 Windows Server 2016 或較舊OS) 和相關進程上感測器進程 (的記憶體轉MsSenseS.exe儲。 - * 此旗標可以與上述旗標搭配使用。 - ** 擷取 PPL受保護進程 的記憶體轉儲,例如 MsSense.exeMsMpEng.exe 目前分析器不支援。 在 Windows 7 SP1 上,Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2 或 Windows Server 2016 執行 w/ MMA 代理程式,且效能 (高 cpu 或高記憶體使用量) 或應用程式相容性問題。 MsSenseS.exe
-z 設定電腦上的登錄機碼,以透過 CrashOnCtrlScroll 準備進行完整機器記憶體轉儲收集。 這對於分析計算機凍結問題很有用。 * 按住最右邊的 CTRL 鍵,然後按兩次 SCROLL LOCK 鍵。 機器懸空或沒有回應或變慢。 記憶體流失 (記憶體流失) :) 使用者模式:私用位元節 b) 核心模式:分頁集區或非分頁集區內存、處理流失。 MSSense.exeMsMpEng.exe
-k 使用 NotMyFault 工具強制系統當機並產生機器記憶體轉儲。 這有助於分析各種操作系統穩定性問題。 與上述相同。 MSSense.exeMsMpEng.exe

分析器和本文所列的所有案例旗標,都可以藉由執行 RemoteMDEClientAnalyzer.cmd從遠端起始,它也會組合到分析器工具組中:

RemoteMDEClientAnalyzer.cmd的參數

注意事項

使用任何進階疑難解答參數時,分析器也會呼叫 MpCmdRun.exe,以收集 Microsoft Defender 防病毒軟體的相關支持記錄。 您可以使用 -g 旗標來驗證特定數據中心區域的 URL,即使未上線至該區域也一致
例如, MDEClientAnalyzer.cmd -g EU 會強制分析器測試歐洲區域中的雲端 URL。

請記住幾點

當您使用 RemoteMDEClientAnalyzer.cmd時,它會呼叫 , psexec 以從設定的檔案共享下載工具,然後透過 PsExec.exe在本機執行。

CMD 文稿會使用 -r 旗標來指定它在 SYSTEM 內容中遠端執行,因此不會向用戶顯示任何提示。

該相同的旗標可以與 MDEClientAnalyzer.cmd 搭配使用,以避免提示使用者指定數據收集的分鐘數。 例如,請考慮 MDEClientAnalyzer.cmd -r -i -m 5

  • -r 表示正在從遠端 (或非互動式內容) 執行工具。
  • -i 是收集網路追蹤和其他相關記錄的案例旗標。
  • -m # 表示在範例) 中使用 5 分鐘 (執行的分鐘數。

使用 MDEClientAnalyzer.cmd時,腳本會使用 net session檢查許可權,這需要服務 Server 執行。 如果不是,您會收到錯誤訊息 腳本正在執行,許可權不足。 如果 ECHO 已關閉,請以系統管理員許可權執行它。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。