Sdílet prostřednictvím

Řešení potíží s výkonem Microsoft Defender antivirové ochrany pomocí sledování procesů

  • Článek

Tip

Nejprve si projděte běžné důvody problémů s výkonem, jako je vysoké využití procesoru. Viz Řešení potíží s výkonem souvisejících s Microsoft Defender antivirovou ochranou v reálném čase (RTP) nebo kontrolami (naplánované nebo na vyžádání). Pak spusťte Analyzátor výkonu Microsoft Defender Antivirus. Tento nástroj vám pomůže identifikovat příčinu vysokého využití procesoru v Microsoft Defender Antivirovém programu, ať už se jedná o spustitelný soubor antimalwarové služby, Microsoft Defender antivirovou službu nebo MsMpEng.exe. Pokud Microsoft Defender Antivirus Analyzátor výkonu neidentifikuje původní příčinu vysokého využití procesoru, pokračujte spuštěním nástroje Processor Monitor. Posledním nástrojem v sadě nástrojů, který chcete spustit, je WPRUI (Windows Performance Recorder UI) nebo Windows Performance Recorded (příkazový řádek WPR).

Zachytávání protokolů procesů pomocí sledování procesů

Process Monitor (ProcMon) je pokročilý monitorovací nástroj, který poskytuje data o procesech v reálném čase. Dá se použít k zachycení problémů s výkonem, jako je vysoké využití procesoru, a k monitorování scénářů kompatibility aplikací, když k nim dochází.

Trasování sledování procesu (ProcMon) můžete zachytit pomocí nástroje MDE Client Analyzer nebo pomocí ručního procesu.

Použití nástroje MDE Client Analyzer

  1. Stáhněte MDE Client Analyzer.

  2. Spusťte nástroj MDE Client Analyzer pomocí živé odpovědi nebo místně.

    Tip

    Před zahájením trasování se ujistěte, že je problém reprodukovatelný. Kromě toho zavřete všechny aplikace, které nepřispívají k reprodukci problému.

  3. Spusťte nástroj MDE Client Analyzer s přepínači -c a-v:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Ruční proces

  1. Stáhněte si nástroj Process Monitor v4.01 do složky, jako je C:\temp.

  2. Odebrání značky souboru z webu:

    1. Klikněte pravým tlačítkem na ProcessMonitor.zip a vyberte Vlastnosti.

    2. Na kartě Obecné vyhledejte Zabezpečení.

    3. Zaškrtněte políčko vedle možnosti Odblokovat.

    4. Vyberte Použít.

    Snímek obrazovky, který ukazuje, jak odebrat značku webu ze souboru ProcessMonitor.zip

  3. Rozbalte soubor v C:\temp souboru tak, aby cesta ke složce byla C:\temp\ProcessMonitor.

  4. Zkopírujte Procmon.exe na klienta Windows nebo na server Windows, který řešíte.

    Tip

    Před spuštěním nástroje ProcMon se ujistěte, že všechny ostatní aplikace nesouvisejí s problémem s vysokým využitím procesoru jsou zavřené. Provedením tohoto kroku minimalizujete počet procesů, které se mají zkontrolovat.

  5. ProcMon můžete spustit dvěma způsoby: pomocí Procmon.exe nebo příkazového řádku.

    • Pokud chcete použítProcmon.exe, stáhněte si ho a otevřete ho jako správce.

      1. Pokud používáte ProcMon poprvé, klikněte na Souhlasím a přijměte licenční smlouvu pro sledování procesů.

        Snímek obrazovky znázorňující licenční smlouvu pro sledování procesů

      2. Vzhledem k tomu, že se protokolování spustí automaticky, zastavte zachycení tak, že vyberete tlačítko Zachytit nebo stisknete Ctrl+E.

        Snímek obrazovky znázorňující tlačítko pro zastavení záznamu ProcMon

      3. Pokud chcete potvrdit, že se zachycení zastavilo, vyhledejte na tlačítku Zachytit ikonu pozastavení a pak odstraňte zaprotokolované položky tak, že vyberete tlačítko Vymazat nebo stisknete kombinaci kláves Ctrl+X.

        Snímek obrazovky znázorňující tlačítko pro spuštění záznamu ProcMon

        Snímek obrazovky znázorňující tlačítko pro vymazání položek ProcMon

    • Pokud chcete použít příkazový řádek, otevřete příkazový řádek jako správce. Pak spusťte následující příkaz:

      Snímek obrazovky zobrazující okno příkazového řádku se zvýšenými oprávněními ke spuštění Procmon.exe

    Tip

    Při zachytávání dat udělejte okno ProcMon co nejmenší, abyste mohli snadno spustit a zastavit trasováníSnímek obrazovky zobrazující plochu s minimalizovaným prostředím Procmon.

  6. Filtry nastavíte tak, že vyberete ikonu Filtr . Standardní filtry jsou nastavené ve výchozím nastavení. Výsledky můžete filtrovat také po dokončení zachycení. Pokud jste použili nějaké filtry, klikněte na Použít a pak na OK.

    Snímek obrazovky, který ukazuje, jak otevřít okno Filtr

    Snímek obrazovky s oknem Filtr

  7. Pokud chcete záznam spustit, znovu vyberte tlačítko Capture (Zachytit ).

  8. Reprodukujte problém.

    Tip

    Počkejte, až se problém reprodukuje, a při zahájení trasování si poznamenejte časové razítko.

  9. Po zachycení dvou až čtyř minut aktivity procesu během vysokého využití procesoru zastavte zachycení kliknutím na tlačítko Capture (Zaznamenat ).

  10. Pokud chcete uložit záznam s jedinečným názvem ve .pml formátu, přejděte na Soubor a klikněte na Uložit.... Ujistěte se, že jste vybrali přepínače Všechny události a PmL (Native Process Monitor Format).

    Snímek obrazovky se stránkou nastavení uložení

  11. Pro lepší sledování změňte výchozí cestu z C:\temp\ProcessMonitor\LogFile.PML umístění na C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML :

  • %ComputerName% je název zařízení.
  • MMDDYEAR je měsíc, den a rok.
  • Repro_of_issue je název problému, který se pokoušíte reprodukovat.

Tip

Pokud máte funkční systém, můžete si pro porovnání pořídit ukázkový protokol.

  1. Zazipujte .pml soubor a odešlete ho do podpora Microsoftu.