疑難排解即時保護相關的效能問題

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender 防毒軟體

平台

• Windows

如果您的系統在 適用於端點的 Microsoft Defender 中遇到與即時保護服務相關的高 CPU 使用量或效能問題，您可以提交票證給 Microsoft 支援服務。 請遵循收集 Microsoft Defender 防病毒軟體診斷數據中的步驟。

身為系統管理員，您也可以自行針對這些問題進行疑難解答。

首先，您可能想要檢查問題是否由另一個軟體所造成。 如 需防病毒軟體排除專案，請參閱向廠商檢查。

否則，您可以依照 分析 Microsoft 保護記錄檔中的步驟，識別與所識別效能問題相關的軟體。

您也可以遵循下列步驟，將其他記錄檔提供給 Microsoft 支援服務：

• 使用行程監視器擷取進程記錄
• 使用 Windows Performance Recorder 擷取效能記錄

如需與 Microsoft Defender 防病毒軟體相關的效能特定問題，請參閱：Microsoft Defender 防病毒軟體的效能分析器

請洽詢廠商是否有防病毒軟體排除專案

如果您可以立即識別影響系統效能的軟體，請移至軟體廠商的 知識庫 或支援中心。 搜尋 是否有防病毒軟體排除的建議。 如果廠商的網站沒有支援票證，您可以與他們開啟支援票證，並要求他們發佈票證。

建議軟體廠商遵循與業界合作中的各種指導方針 ，將誤判降至最低。 廠商可以透過 Microsoft 安全情報 入口網站提交其軟體。

分析 Microsoft 保護記錄

您可以在 C：\ProgramData\Microsoft\Windows Defender\Support 中找到 Microsoft 保護記錄檔。

在 MPLog-xxxxxxxx-xxxxxx.log中，您可以將執行軟體的預估效能影響資訊視為 EstimatedImpact：

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

---

欄位名稱	描述
ProcessImageName	進程映像名稱
TotalTime	此程式存取的檔案掃描所花費的累計持續時間，以毫秒為單位
計數	此程式存取的掃描檔案數目
MaxTime	此程式存取之檔案的最長單一掃描期間，以毫秒為單位
MaxTimeFile	此程式所存取的檔案路徑，其中已記錄最長持續時間掃描MaxTime
EstimatedImpact	在這個程式經歷掃描活動的期間內，針對此進程存取的檔案所花費的時間百分比

如果效能影響很高，請遵循設定和驗證 Microsoft Defender 防病毒軟體掃描的排除專案中的步驟，嘗試將程式新增至路徑/進程排除專案。

如果上一個步驟無法解決問題，您可以在下列各節中透過 進程監視器 或 Windows Performance Recorder 收集詳細資訊。

使用行程監視器擷取進程記錄

進程監視 (ProcMon) 是可顯示即時程式的進階監視工具。 您可以使用此值來擷取發生效能問題。

1. 將 行程監視器 v3.89 下載至資料夾，例如 C:\temp。

2. 若要移除檔案的 Web 標記：

   1. 以滑鼠右鍵按兩下 [ProcessMonitor.zip ]，然後選取 [ 屬性]。
   2. 在 [ 一般] 索引標籤下，尋找 [安全性]。
   3. 核取 [ 解除封鎖] 旁邊的方塊。
   4. 選取 [套用]。

   

3. 將中的檔案 C:\temp 解壓縮，使資料夾路徑為 C:\temp\ProcessMonitor。

4. 將 ProcMon.exe 複製到您要進行疑難解答的 Windows 用戶端或 Windows 伺服器。

5. 執行 ProcMon 之前，請確定已關閉與高 CPU 使用量問題無關的所有其他應用程式。 這樣做會將要檢查的進程數目降到最低。

6. 您可以透過兩種方式啟動 ProcMon。

   1. 以滑鼠右鍵按兩下 [ProcMon.exe ]，然後選取 [ 以系統管理員身分執行]。

      由於記錄會自動啟動，請選取放大鏡圖示來停止目前的擷取，或使用鍵盤快捷方式 Ctrl+E。

      

      若要確認您已停止擷取，請檢查放大鏡圖示現在是否以紅色 X 顯示。

      

      接下來，若要清除先前的擷取，請選取橡皮擦圖示。

      

      或使用鍵盤快捷方式 Ctrl+X。

   2. 第二種方式是以系統管理員身分執行 命令行 ，然後從行程監視器路徑執行：

      

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      提示

      在擷取數據時，盡可能讓 ProcMon 視窗越小，您就可以輕鬆地啟動和停止追蹤。

      

7. 遵循步驟 6 中的其中一個程式之後，您接下來會看到設定篩選的選項。 選取 [確定]。 您一律可以在擷取完成後篩選結果。

   

8. 若要開始擷取，請再次選取放大鏡圖示。

9. 重現問題。

   提示

   等候問題完全重現，然後記下追蹤開始時的時間戳。

10. 當您在高 CPU 使用量條件期間有兩到四分鐘的處理活動之後，請選取放大鏡圖示來停止擷取。

11. 若要以唯一名稱和 .pml 格式儲存擷取，請選取 [檔案 ]，然後選取 [ 儲存...]。請務必選取 [ 所有事件 ] 和 [ 原生進程監視器格式] (PML) 單選按鈕。

    

12. 如需更好的追蹤，請將預設路徑從 C:\temp\ProcessMonitor\LogFile.PML 變更為 C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML 位置：

    • %ComputerName% 是裝置名稱
    • MMDDYEAR 是月份、日期和年份
    • Repro_of_issue 是您嘗試重現的問題名稱

    提示

    如果您有運作中的系統，您可能會想要取得要比較的範例記錄檔。

13. 將 .pml 檔案壓縮並提交給 Microsoft 支持服務。

使用 Windows Performance Recorder 擷取效能記錄

您可以使用 Windows Performance Recorder (WPR) ，在提交給 Microsoft 支援服務時包含其他資訊。 WPR 是一種功能強大的錄製工具，可建立 Windows 錄製的事件追蹤。

WPR 是 Windows ADK (Windows ADK) Windows 評定及部署套件的一部分，可從 下載並安裝 Windows ADK 下載。 您也可以在 Windows 10 SDK 下載 Windows 10 軟體開發工具包。

您可以遵循 使用 WPR UI 擷取效能記錄中的步驟，使用 WPR 使用者介面。

或者，您也可以依照使用 WPR CLI 擷取效能記錄中的步驟，在 Windows 8 和更新版本中使用命令行工具 wpr.exe。

使用 WPR UI 擷取效能記錄

提示

如果有多個裝置遇到此問題，請使用 RAM 最多的裝置。

1. 下載並安裝 WPR。

2. 在 [Windows 套件] 底下，以滑鼠右鍵按兩下 [Windows 效能錄製器]。

   

   選 取 [更多]。 選 取 [以系統管理員身分執行]。

3. 當 [用戶帳戶控制] 對話框出現時，選取 [ 是]。

   

4. 接下來，下載 適用於端點的 Microsoft Defender 分析配置檔，並另MDAV.wprp存為 之類的C:\temp資料夾。

5. 在 [WPR] 對話框中，選取 [ 更多選項]。

   

6. 選取 [新增配置檔... ]，然後瀏覽至檔案的 MDAV.wprp 路徑。

7. 之後，您應該會在 [自定義度量] 底下看到名為 適用於端點的 Microsoft Defender 分析] 下的新配置檔集。

   

   警告

   如果您的 Windows Server 有 64 GB 的 RAM 或更多 RAM，請使用自定義度量 Microsoft Defender for Endpoint analysis for large servers ，而不是 Microsoft Defender for Endpoint analysis。 否則，您的系統可能會耗用大量的非分頁集區內存或緩衝區，而導致系統不穩定。 您可以展開 [ 資源分析] 來選擇要新增的設定檔。 此自訂配置檔提供深入效能分析的必要內容。

8. 若要使用自訂度量 適用於端點的 Microsoft Defender WPR UI 中的詳細資訊分析設定檔：

   1. 請確定未選取 [第一層級分級]、[ 資源分析 ] 和 [ 案例分析 ] 群組底下的配置檔。
   2. 選 取 [自定義度量]。
   3. 選取 [適用於端點的 Microsoft Defender 分析]。
   4. 選取詳細數據層級下的 [詳細資訊]。
   5. 在記錄模式下選取 [檔案 ] 或 [ 記憶體 ]。

   重要事項

   如果使用者可以直接重現效能問題，您應該選取 [ 檔案 ] 以使用檔案記錄模式。 大部分的問題都屬於此類別。 不過，如果使用者無法直接重現問題，但問題發生時可以輕鬆地注意到，使用者應該選取 [記憶體 ] 以使用記憶體記錄模式。 這可確保追蹤記錄檔不會因為運行時間過長而過度增加。

9. 現在您已準備好收集數據。 結束與重現效能問題無關的所有應用程式。 您可以選取 [隱藏] 選項 ，讓 WPR 視窗佔用的空間變小。

   

   提示

   請嘗試以整數秒啟動追蹤。 例如，01：30：00。 這可讓您更輕鬆地分析數據。 也請嘗試追蹤問題重現時的時間戳。

10. 選取 [開始]。

    

11. 重現問題。

    提示

    將數據收集保留不超過五分鐘。 2 到 3 分鐘是不錯的範圍，因為會收集大量數據。

12. 選取 [儲存]。

    

13. 在 問題的詳細描述中填入類型： 問題相關信息，以及您重現問題的方式。

    

    1. 選 取 [檔名： ]，以判斷追蹤檔案的儲存位置。 根據預設，它會儲存至 %user%\Documents\WPR Files\。
    2. 選取 [儲存]。

14. 在合併追蹤時等候。

    

15. 儲存追蹤之後，選取 [ 開啟資料夾]。

    

    將檔案和資料夾包含在提交中，以 Microsoft 支援服務。

    

使用 WPR CLI 擷取效能記錄

從 Windows 8 開始，命令行工具 wpr.exe 是操作系統的一部分。 若要使用命令列工具收集 WPR 追蹤 wpr.exe：

1. 將效能追蹤的 適用於端點的 Microsoft Defender 分析設定檔案下載到本機目錄中名為 的MDAV.wprp檔案，例如 C:\traces。

2. 以滑鼠右鍵按兩下 [開始功能表] 圖示，然後選取 [Windows PowerShell (管理員) ] 或 [命令提示字元] (管理員) 以開啟 管理員 命令提示字元視窗。

3. 當 [用戶帳戶控制] 對話框出現時，選取 [ 是]。

4. 在提升許可權的提示字元中，執行下列命令以啟動 適用於端點的 Microsoft Defender 效能追蹤：

   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   

   警告

   如果您的 Windows Server 有 64 GB 或 RAM 或更多，請分別使用設定檔 WDForLargeServers.Light 和 WDForLargeServers.Verbose ，而不是設定檔 WD.Light 和 WD.Verbose。 否則，您的系統可能會耗用大量的非分頁集區內存或緩衝區，而導致系統不穩定。

5. 重現問題。

   提示

   將數據收集保留不超過五分鐘。 視案例而定，2 到 3 分鐘是不錯的範圍，因為會收集大量數據。

6. 在提升許可權的提示字元中，執行下列命令來停止效能追蹤，並務必提供問題的相關信息，以及您重現問題的方式：

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. 等候追蹤合併。

8. 在提交給 Microsoft 支援服務時同時包含 檔案和資料夾。

提示

如果您在尋找其他平台適用的防毒軟體相關資訊，請參閱：

• 設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定
• macOS 上適用於端點的 Microsoft Defender
• 適用於 Intune 版 Microsoft Defender 防毒軟體 的 macOS 防毒軟體原則設定
• 為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
• Linux 上適用於端點的 Microsoft Defender
• 設定 Android 上適用於端點的 Microsoft Defender 功能
• 設定 iOS 上適用於端點的 Microsoft Defender 功能

提示

效能提示由於各種因素 (下列範例) Microsoft Defender 防病毒軟體和其他防病毒軟體一樣，可能會在端點裝置上造成效能問題。 在某些情況下，您可能需要調整 Microsoft Defender 防病毒軟體的效能，以減輕這些效能問題。 Microsoft 的 效能分析器 是一種 PowerShell 命令行工具，可協助判斷哪些檔案、檔案路徑、程式和擴展名可能會造成效能問題;一些範例包括：

• 影響掃描時間的最上層路徑
• 影響掃描時間的熱門檔案
• 影響掃描時間的熱門程式
• 影響掃描時間的最上層擴展名
• 組合 - 例如：
  • 每個擴充功能的頂端檔案
  • 每個擴充功能的最上層路徑
  • 每個路徑的前置進程
  • 每個檔案的最上層掃描
  • 每個進程每個檔案的掃描數目最高

您可以使用效能分析器所收集的信息，進一步評估效能問題並套用補救動作。 請參閱：Microsoft Defender 防病毒軟體的效能分析器。

另請參閱

• 收集 Microsoft Defender 防病毒軟體診斷數據
• 設定及驗證 Microsoft Defender 防病毒軟體掃描的排除專案
• Microsoft Defender 防病毒軟體的效能分析器

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。