當您適用於端點的 Microsoft Defender 故障排除時,收集診斷資料對於問題解決至關重要。 不同問題如效能、連線性及偵測相關問題,需要不同的遙測方式。 作為調查這些問題的安全專家,你可以使用 客戶分析 工具收集貴組織 Defender for Endpoint 問題的資料。 有了這些資料,你可以排除組織中 Defender for Endpoint 的問題,必要時 與 Microsoft 支援團隊合作 解決
本文列出不同類型的問題,以及如何使用客戶分析工具收集相關資料。 該工具的旗標在 Data collection 中列出 ,方便在 Windows 上進行進階故障排除。
請將你的問題分類
請利用表格中列出的分類來辨識你遇到的問題類型。 在收集資料時,請使用帶有適當標誌的客戶分析工具。
| 問題 | 描述與範例 | Flags |
|---|---|---|
| 無法重現的問題 | 問題偶爾發生或由自動化流程觸發且無法重現。 這包括與排程任務相關的問題,例如自動更新與掃描,以及攻擊面減少 (ASR) 規則不可預測觸發。 | 無旗行動 |
| 可重現的效能問題 | 包含高 CPU 使用率、記憶體消耗問題及反應緩慢。 |
-a 和 -v |
| 一般 | 按需掃描、手動更新、Sense 入口網站與警示問題、攻擊面減少 (ASR) 可隨時觸發的問題,以及應用程式相容性問題。 |
-e 和 -v |
| 懸掛系統 | 系統無法回應,還會當機。 需要進階的除錯技術,包括記憶體傾印與當機分析。 | -z |
| 相容性 | 第三方應用程式、其他安全解決方案、系統軟體、效能問題及功能性問題。 |
-c, 以及 -e-v |
| CFA) (受控資料夾存取 | 包含被封鎖的應用程式、意外存取權限,以及與受保護資料夾設定相關的問題。 | 可重現: -cfa, -e 以及 -v不可重現: -cfa |
| 資料外洩防護 (DLP) | 包含政策執行問題、內容偵測誤判與誤報,以及 DLP 用戶端健康與連線問題。 | 可重現: -e, -t 以及 -v不可重現: -t |
| 指標 | 包含網址、網域、IP 位址、檔案和憑證等未如預期執行的問題。 | 網址、IP、第一方瀏覽器中的網域: -a, -i 以及 -v檔案指示器: -v |
| WCF (網頁內容過濾) | 使用第一方及第三方瀏覽器存取網頁內容時,WCF 政策未被強制執行。 |
-a, 以及 -i-v |
| 網路保護 | 當 URL 、網域和 IP 透過第三方瀏覽器存取時,網路保護不會觸發已設定的政策。 |
-i 和 -v |
執行 Client 分析工具
請依照本節步驟收集您已識別問題的資料。 必要時使用適當的旗幟。 如果你有同時涉及工作與非工作條件的情境,請為每個情境收集獨立的日誌包,並清楚標示每個集合。 比較有助於找出導致效能問題的差異。
開始收集日誌:
MDEClientAnalyzer.cmd如果你使用包含時間跨度的旗標,例如
-a、-e、 或-v,系統會要求你指定日誌收集的持續時間。日誌收集開始後,重現問題,讓問題資料在日誌收集時被擷取。
要停止記錄收集,請
q按 。