Effektivitetsanalyse for Microsoft Defender Antivirus

Gælder for

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus

Platforme

• Windows

Forudsætninger

Microsoft Defender Effektivitetsanalyse for Antivirus har følgende forudsætninger:

• Understøttede Windows-versioner:
  • Windows 10
  • Windows 11
  • Windows Server 2016 og nyere
  • Windows Server 2012 R2 (når den onboardes ved hjælp af moderne, samlet løsning)
  • For Windows Server 2012 R2 er Windows ADK (Windows Performance Toolkit) nødvendig. Download og installér Windows ADK
• Platformversion: 4.18.2108.7 eller nyere
• PowerShell-version: PowerShell Version 5.1, PowerShell ISE, remote PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Hvad er effektivitetsanalysen Microsoft Defender Antivirus?

Hvis der er problemer med ydeevnen for enheder, der kører Microsoft Defender Antivirus, kan du bruge Effektivitetsanalyse til at forbedre ydeevnen af Microsoft Defender Antivirus. Effektivitetsanalyse er et PowerShell-kommandolinjeværktøj, der hjælper dig med at bestemme filer, filtypenavne og processer, der kan medføre problemer med ydeevnen på individuelle slutpunkter under antivirusscanninger. Du kan bruge de oplysninger, der indsamles af Effektivitetsanalyse, til at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger.

På samme måde som mekanikere udfører diagnosticering og service på et køretøj, der har problemer med ydeevnen, kan effektivitetsanalysen hjælpe dig med at forbedre ydeevnen Microsoft Defender Antivirus.

Nogle af de indstillinger, der skal analyseres, omfatter:

• Topstier, der påvirker scanningstiden
• De mest populære filer, der påvirker scanningstiden
• De vigtigste processer, der påvirker scanningstiden
• De mest populære filtypenavne, der påvirker scanningstiden
• Kombinationer – f.eks.:
  • topfiler pr. filtypenavn
  • øverste stier pr. udvidelse
  • topprocesser pr. sti
  • mest populære scanninger pr. fil
  • mest populære scanninger pr. fil pr. proces

Kørsel af Effektivitetsanalyse

Processen på højt niveau til kørsel af effektivitetsanalysen omfatter følgende trin:

1. Kør Effektivitetsanalyse for at indsamle en ydeevneoptagelse af Microsoft Defender Antivirus-hændelser på slutpunktet.

   Bemærk!

   Ydeevnen for Microsoft Defender Antivirus-hændelser af typen Microsoft-Antimalware-Engine registreres via effektivitetsanalysen.

2. Analysér scanningsresultaterne ved hjælp af forskellige optagelsesrapporter.

Brug af Effektivitetsanalyse

Hvis du vil starte optagelsen af systemhændelser, skal du åbne PowerShell i administratortilstand og udføre følgende trin:

1. Kør følgende kommando for at starte optagelsen:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   hvor -RecordTo parameteren angiver den fulde stiplacering, hvor sporingsfilen gemmes. Du kan få flere cmdlet-oplysninger under Microsoft Defender Antivirus-cmdlet'er.

2. Hvis processer eller tjenester menes at påvirke ydeevnen, skal situationen genskabes ved at udføre de relevante opgaver.

3. Tryk på ENTER for at stoppe og gemme optagelsen, eller tryk på Ctrl+C for at annullere optagelsen.

4. Analysér resultaterne ved hjælp af parameteren for effektivitetsanalysen Get-MpPerformanceReport . Ved udførelse af kommandoen Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10får brugeren f.eks. vist en liste over top-10-scanninger for de tre øverste filer, der påvirker ydeevnen.

   Du kan få flere oplysninger om kommandolinjeparametre og -indstillinger i New-MpPerformanceRecording and Get-MpPerformanceReport.

Bemærk!

Hvis du får vist fejlen "Ydelsesoptagelsen kan ikke startes, fordi Windows Performance Recorder allerede optager", når du kører en optagelse, skal du køre følgende kommando for at stoppe den eksisterende sporing med den nye kommando: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Justering af ydeevnedata og -oplysninger

Baseret på forespørgslen kan brugeren få vist data for antal scanninger, varighed (total/min/average/max/median), sti, proces og årsag til scanning. På følgende billede vises eksempeloutputtet for en enkel forespørgsel med de 10 øverste filer med henblik på scanningseffekt.

Eksportér og konvertering til CSV og JSON

Resultaterne af effektivitetsanalysen kan også eksporteres og konverteres til en CSV- eller JSON-fil. Denne artikel indeholder eksempler, der beskriver processen med at "eksportere" og "konvertere" via eksempelkode.

Fra og med Defender-versionen 4.18.2206.Xkan brugerne få vist oplysninger om årsagen til scanningen under SkipReason kolonnen . De mulige værdier er:

• Ikke sprunget over
• Optimering (typisk af hensyn til ydeevnen)
• Brugeren blev sprunget over (typisk pga. udeladelser fra brugersæt)

Til CSV

• Sådan eksporterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Sådan konverterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

For JSON

• Sådan konverterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Hvis du vil sikre, at maskinlæsbart output til eksport med andre databehandlingssystemer, anbefales det at bruge -Raw parameteren for Get-MpPerformanceReport. Du kan finde flere oplysninger i følgende afsnit.

reference til Effektivitetsanalyse Microsoft Defender Antivirus

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.