Foretag fejlfinding af problemer med ydeevnen Microsoft Defender Antivirus med Procesovervågning

Artikel
01/11/2025

Tip

Først skal du gennemse almindelige årsager til problemer med ydeevnen, f.eks. højt CPU-forbrug. Se Fejlfinding af problemer med ydeevnen, der er relateret til Microsoft Defender Antivirus beskyttelse i realtid (rtp) eller scanninger (planlagt eller on-demand. Kør derefter **Microsoft Defender Antivirus-Effektivitetsanalyse**Dette værktøj hjælper med at identificere årsagen til et højt CPU-forbrug i Microsoft Defender Antivirus, uanset om det er den eksekverbare antimalwaretjeneste, tjenesten Microsoft Defender Antivirus eller MsMpEng.exe. Hvis Microsoft Defender Antivirus-Effektivitetsanalyse ikke identificerer hovedårsagen til den høje CPU-udnyttelse, skal du fortsætte med at køre Processorovervågning. Det sidste værktøj i din værktøjskasse, der skal køres, er Windows Performance Recorder UI (WPRUI) eller Windows Performance Recorded (WPR-kommandolinjen).

Hent proceslogge ved hjælp af Procesovervågning

Procesovervågning (ProcMon) er et avanceret overvågningsværktøj, der leverer data i realtid om processer. Den kan bruges til at registrere problemer med ydeevnen, f.eks. højt CPU-forbrug, og til at overvåge scenarier med programkompatibilitet, efterhånden som de opstår.

Der er to måder at registrere en procesovervågning (ProcMon)-sporing på:

Brug af MDE-klientanalyse
Manuelt

Brug af MDE-klientanalyse

Download MDE-klientanalysen.
Kør MDE Klientanalyse ved hjælp af Live Response eller lokalt.

Tip

Før du starter sporingen, skal du sørge for, at problemet kan gengives. Derudover skal du lukke alle programmer, der ikke bidrager til gengivelsen af problemet.

Kør MDE-klientanalysen med parametrene -c og -v

C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Manuelt

Download Process Monitor v3.89 til en mappe som C:\temp.
Sådan fjernes filens webmærke:
1. Højreklik ProcessMonitor.zip , og vælg Egenskaber.
2. Søg efter Sikkerhed under fanen Generelt.
3. Markér afkrydsningsfeltet ud for Fjern blokering.
4. Vælg Anvend.
Pak filen ud, C:\temp så mappestien er C:\temp\ProcessMonitor.
Kopiér ProcMon.exe til den Windows-klient eller Windows-server, du foretager fejlfinding af.

Tip

Før du kører ProcMon, skal du kontrollere, at alle andre programmer, der ikke er relateret til problemet med højt CPU-forbrug, er lukket. Hvis du tager dette trin, hjælper det med at minimere antallet af processer, der skal kontrolleres.
Du kan starte ProcMon på to måder.
1. Højreklik på ProcMon.exe , og vælg Kør som administrator.
- Da logføring starter automatisk, skal du stoppe hentningen ved at vælge ikonet med forstørrelsesglasset eller trykke på Ctrl+E.
1. Hvis du vil bekræfte, at hentningen er stoppet, skal du søge efter et rødt X på forstørrelsesglasikonet.
2. Kør kommandolinjen som administrator, og kør derefter fra stien Procesovervågning:
Tip

Gør vinduet ProcMon så lille som muligt, når du henter data, så du nemt kan starte og stoppe sporingen.
Når du har fuldført trin 6, skal du angive filtre ved at vælge OK. Du kan filtrere resultaterne, når hentningen er fuldført.
Hvis du vil starte hentningen, skal du vælge forstørrelsesglasikonet igen.
Genskab problemet.

Tip

Vent på, at problemet genskabes, og bemærk derefter tidsstemplet, når sporingen starter.
Når du har fanget to til fire minutters procesaktivitet under et højt CPU-forbrug, skal du stoppe hentningen ved at klikke på ikonet med forstørrelsesglasset.
Hvis du vil gemme hentningen med et entydigt navn i .pml formatet, skal du gå til Filer og derefter klikke på Gem.... Sørg for at vælge alternativknapperne Alle hændelser og PML (Native Process Monitor Format).
Hvis du vil have bedre sporing, skal du ændre standardstien fra C:\temp\ProcessMonitor\LogFile.PML til C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML hvor: