Del via

Foretag fejlfinding af problemer med ydeevnen for Microsoft Defender Antivirus med WPRUI

  • Artikel

Tip

Først skal du gennemse almindelige årsager til problemer med ydeevnen, f.eks. højt CPU-forbrug, i Fejlfinding af problemer med ydeevnen, der er relateret til Microsoft Defender Antivirus RTP (real-time protection) eller scanninger (planlagt eller on-demand). Kør derefter Microsoft Defender Antivirus-Effektivitetsanalyse for at analysere årsagen til et højt CPU-forbrug i Microsoft Defender Antivirus (Antimalware Service Executable, Microsoft Defender Antivirus-tjenesten eller MsMpEng.exe). Hvis Microsoft Defender Antivirus-Effektivitetsanalyse ikke identificerer den egentlige årsag til høj CPU-udnyttelse, skal du køre Processorovervågning for at indsnævre eller fastslå den egentlige årsag til den høje CPU-udnyttelse i Microsoft Defender Antivirus. Det sidste værktøj i din værktøjskasse er at køre Windows Performance Recorder UI (WPRUI) eller kommandolinjen Windows Performance Recorder (WPR), som beskrevet i denne artikel.

Registrer ydeevnelogge ved hjælp af Windows Performance Recorder

Windows Performance Recorder (WPR) er et effektivt optagelsesværktøj, der opretter Event Tracing til Windows-optagelser og giver dig mulighed for at inkludere yderligere oplysninger i din indsendelse til Microsoft support.

WPR er en del af Windows Assessment and Deployment Kit (Windows ADK) og kan downloades fra Download og installér Windows ADK. Du kan også downloade den som en del af Windows 10 Software Development Kit på Windows 10 SDK.

Du kan også følge trinnene i Registrer ydeevnelogge ved hjælp af brugergrænsefladen i WPR eller bruge kommandolinjeværktøjet wpr.exeRegistrer ydeevnelogge ved hjælp af kommandolinjegrænsefladen for WPR. Begge er tilgængelige i Windows 8 og nyere versioner.

Der er to måder at hente WPRUI-sporingen (Windows Performance Recorder):

  1. Brug af MDE-klientanalyse

  2. Manuelt

Brug af MDE-klientanalyse

  1. Download MDE-klientanalysen.

  2. Kør MDE Klientanalyse ved hjælp af Live Response eller lokalt.

    Tip

    Før du starter sporingen, skal du kontrollere, at problemet kan reproduceres. Derudover skal du lukke alle programmer, der ikke bidrager til genskabelsen af problemet.

  3. Kør MDE-klientanalysen med parametrene -a og -v .

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v

Manuelt

Hent ydelseslogge ved hjælp af WPR-brugergrænsefladen

Tip

Hvis der er flere enheder, der oplever dette problem, skal du bruge den med mest RAM.

  1. Download og installér WPR.

  2. Højreklik på Windows Performance Recorder under Windows Kits.

    Skærmbillede, der viser menuen Start

  3. Vælg Mere. Vælg Kør som administrator.

  4. Højreklik på Ja , når dialogboksen Brugerkontokontrol vises.

    Skærmbillede, der viser UAC-siden.

  5. Download derefter Microsoft Defender for Endpoint analyseprofilen, og gem som MDAV.wprp i en mappe, f.eksC:\temp. .

  6. Vælg Flere indstillinger i dialogboksen WPR.

    Skærmbillede, der viser den side, hvor du kan vælge flere indstillinger

  7. Vælg Tilføj profiler... , og gå til stien MDAV.wprp til filen.

  8. Der vises en ny profil med navnet Microsoft Defender for Endpoint analyse under Brugerdefinerede målinger.

    Skærmbillede, der viser filen i filen.

    Advarsel

    Hvis din Windows Server har 64 GB RAM eller mere, skal du bruge den brugerdefinerede måling Microsoft Defender for Endpoint analysis for large servers i stedet for Microsoft Defender for Endpoint analysis. Ellers kan dit system forbruge en stor mængde hukommelse eller buffere, der ikke er sideinddelt, hvilket medfører ustabile systemer. Du kan løse dette ved at udforske Ressourceanalyse for at vælge profiler, der skal tilføjes. Denne brugerdefinerede profil giver den nødvendige kontekst til dybdegående ydeevneanalyse.

  9. Sådan bruger du den brugerdefinerede måling Microsoft Defender for Endpoint detaljeret analyseprofil i brugergrænsefladen i WPR:

    1. Sørg for, at der ikke er valgt nogen profiler under grupperne Første niveau, Ressourceanalyse og Scenarieanalyse .

    2. Vælg Brugerdefinerede målinger.

    3. Vælg Microsoft Defender for Endpoint analyse.

    4. Vælg Detaljeret under detaljeniveau .

    5. Vælg Fil eller hukommelse under Logføringstilstand.

    Vigtigt!

    Vælg Fil for at bruge fillogføringstilstanden, hvis du kan genskabe problemet med ydeevnen direkte. De fleste problemer falder ind under denne kategori. Men hvis du ikke kan genskabe problemet direkte, skal du vælge Hukommelse for at bruge logføringstilstanden for hukommelsen. Dette forhindrer sporingsloggen i at oppuste overdrevent på grund af lange kørselstider.

  10. Nu er du klar til at indsamle data. Luk alle unødvendige programmer. Vælg Skjul indstillinger for at holde pladsen optaget af WPR-vinduet.

    Skærmbillede, der viser indstillingerne Skjul.

  11. Vælg Start.

    Skærmbillede, der viser siden Optag systemoplysninger.

  12. Genskab problemet.

    Tip

    Begræns dataindsamlingen til højst fem minutter. Ideelt set skal du sigte efter to til tre minutter, da der indsamles en betydelig mængde data.

  13. Vælg Gem.

    Skærmbillede, der viser indstillingen Gem.

  14. Udfyld Skriv en detaljeret beskrivelse af problemet: med oplysninger om problemet, og hvordan du genskabede problemet.

    Skærmbillede, der viser den rude, du udfylder.

  15. Vælg Filnavn: for at bestemme, hvor sporingsfilen skal gemmes. Som standard gemmes den i %user%\Documents\WPR Files\.

  16. Vælg Gem.

    Skærmbillede, der viser den generelle sporing af WPR-indsamling.

  17. Når sporingen er flettet og gemt, skal du højreklikke på Åbn mappe.

    Skærmbillede, der viser meddelelsen om, at WPR-sporing er blevet gemt.

  18. Medtag både filen og mappen i din indsendelse til Microsoft Support.

    Skærmbillede, der viser detaljerne for filen og mappen.

Hent ydelseslogge ved hjælp af kommandolinjegrænsefladen for WPR

Sådan indsamler du en WPR-sporing ved hjælp af kommandolinjeværktøjet wpr.exe:

  1. Download Microsoft Defender for Endpoint ydeevnesporingsprofil som MDAV.wprp i en lokal mappe, f.eksC:\traces. .

  2. Højreklik på ikonet Menuen Start, og vælg Windows PowerShell (Administration) eller kommandoprompt (Administration) for at åbne et Administration kommandopromptvindue.

  3. Vælg Ja i dialogboksen Brugerkontokontrol.

  4. Kør følgende kommando ved kommandoprompten (Administration) for at starte en Microsoft Defender for Endpoint sporing af ydeevnen:

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Advarsel

    Hvis din Windows Server har 64 GB RAM eller mere, skal du bruge henholdsvis profiler WDForLargeServers.Light og WDForLargeServers.Verbose i stedet for profiler WD.Light og WD.Verbose. Ellers bruger systemet en stor mængde hukommelse eller buffere, der ikke er sideinddelte, hvilket medfører ustabile systemer.

  5. Genskab problemet.

    Tip

    Begræns dataindsamlingen til højst fem minutter. Ideelt set skal du sigte efter to til tre minutter, da der indsamles en betydelig mængde data.

  6. Kør følgende kommando ved kommandoprompten (Administration) for at starte en Microsoft Defender for Endpoint sporing af ydeevnen:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Vent, indtil sporingen er flettet.

  8. Medtag både filen og mappen i din indsendelse til Microsoft Support.

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.