Freigeben über

Behandeln von Microsoft Defender Antivirus-Leistungsproblemen mit WPRUI

  • Artikel

Tipp

Sehen Sie sich zunächst häufige Gründe für Leistungsprobleme an, z. B. hohe CPU-Auslastung, unter Behandeln von Leistungsproblemen im Zusammenhang mit Microsoft Defender Antivirus-Echtzeitschutz (RTP) oder Überprüfungen (geplant oder bedarfsgesteuert). Führen Sie dann die Microsoft Defender Antivirus-Leistungsanalyse aus, um die Ursache einer hohen CPU-Auslastung in Microsoft Defender Antivirus (ausführbares Antimalware Service, Microsoft Defender Antivirus-Dienst oder MsMpEng.exe) zu analysieren. Wenn die Microsoft Defender Antivirus-Leistungsanalyse die Grundursache einer hohen CPU-Auslastung nicht identifiziert, führen Sie den Prozessormonitor aus, um die Grundursache der hohen CPU-Auslastung in Microsoft Defender Antivirus einzugrenzen oder zu ermitteln. Das letzte Tool in Ihrem Toolkit besteht darin, die Windows Performance Recorder-Benutzeroberfläche (WPRUI) oder den Windows Performance Recorder (WPR-Befehlszeile) auszuführen, wie in diesem Artikel erläutert.

Erfassen von Leistungsprotokollen mithilfe von Windows Performance Recorder

Windows Performance Recorder (WPR) ist ein leistungsstarkes Aufzeichnungstool, mit dem Die Ereignisablaufverfolgung für Windows-Aufzeichnungen erstellt und Sie zusätzliche Informationen in Ihre Übermittlung an den Microsoft-Support aufnehmen können.

WPR ist Teil des Windows Assessment and Deployment Kit (Windows ADK) und kann unter Herunterladen und Installieren des Windows ADK heruntergeladen werden. Sie können es auch als Teil des Windows 10 Software Development Kit unter Windows 10 SDK herunterladen.

Führen Sie alternativ die Schritte unter Erfassen von Leistungsprotokollen mithilfe der WPR-Benutzeroberfläche aus, oder verwenden Sie das Befehlszeilentool wpr.exeErfassen von Leistungsprotokollen mithilfe der WPR-CLI. Beide sind in Windows 8 und höheren Versionen verfügbar.

Es gibt zwei Möglichkeiten, die Windows Performance Recorder-Ablaufverfolgung (WPRUI) zu erfassen:

  1. Verwenden des MDE Client Analyzer

  2. Manuell

Verwenden des MDE Client Analyzer

  1. Laden Sie die MDE Client Analyzer herunter.

  2. Führen Sie die MDE Client Analyzer mithilfe von Live Response oder lokal aus.

    Tipp

    Stellen Sie vor dem Starten der Ablaufverfolgung sicher, dass das Problem reproduzierbar ist. Schließen Sie außerdem alle Anwendungen, die nicht zur Reproduktion des Problems beitragen.

  3. Führen Sie die MDE Client Analyzer mit den -a Schaltern und -v aus.

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v

Manuell

Erfassen von Leistungsprotokollen mithilfe der WPR-Benutzeroberfläche

Tipp

Wenn dieses Problem bei mehreren Geräten auftritt, verwenden Sie das Gerät mit dem meisten RAM.

  1. Laden Sie WPR herunter, und installieren Sie es.

  2. Klicken Sie unter Windows Kits mit der rechten Maustaste auf Windows Performance Recorder.

    Screenshot des Startmenüs

  3. Wählen Sie Mehr aus. Wählen Sie Als Administrator ausführen aus.

  4. Klicken Sie mit der rechten Maustaste auf Ja , wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird.

    Screenshot: UAC-Seite

  5. Laden Sie als Nächstes das Microsoft Defender for Endpoint Analyseprofil herunter, und speichern Sie unter MDAV.wprp in einem Ordner wie C:\temp.

  6. Wählen Sie im Dialogfeld WPR die Option Weitere Optionen aus.

    Screenshot der Seite, auf der Sie weitere Optionen auswählen können

  7. Wählen Sie Profile hinzufügen... aus, und navigieren Sie zum Pfad der MDAV.wprp Datei.

  8. Unter Benutzerdefinierte Messungen sollte ein neues Profil mit dem Namen Microsoft Defender for Endpoint Analyse angezeigt werden.

    Screenshot: Dateiinterne Datei

    Warnung

    Wenn Ihr Windows Server über 64 GB RAM oder mehr verfügt, verwenden Sie die benutzerdefinierte Messung Microsoft Defender for Endpoint analysis for large servers anstelle von Microsoft Defender for Endpoint analysis. Andernfalls verbraucht Ihr System möglicherweise eine große Menge an nicht auslagerten Poolspeichern oder Puffern, was zu Systeminstabilität führt. Um dies zu beheben, erkunden Sie die Ressourcenanalyse , um Profile auszuwählen, die hinzugefügt werden sollen. Dieses benutzerdefinierte Profil stellt den erforderlichen Kontext für eine ausführliche Leistungsanalyse bereit.

  9. So verwenden Sie das benutzerdefinierte Maß Microsoft Defender for Endpoint ausführliche Analyseprofil auf der WPR-Benutzeroberfläche:

    1. Stellen Sie sicher, dass unter den Gruppen Erste-Ebene-Selektierung, Ressourcenanalyse und Szenarioanalyse keine Profile ausgewählt sind.

    2. Wählen Sie Benutzerdefinierte Messungen aus.

    3. Wählen Sie Microsoft Defender for Endpoint Analyse aus.

    4. Wählen Sie unter Detailebenedie Option Ausführlich aus.

    5. Wählen Sie unter Protokollierungsmodus die Option Datei oder Arbeitsspeicher aus.

    Wichtig

    Wählen Sie Datei aus, um den Dateiprotokollierungsmodus zu verwenden, wenn Sie das Leistungsproblem direkt reproduzieren können. Die meisten Probleme fallen unter diese Kategorie. Wenn Sie das Problem jedoch nicht direkt reproduzieren können, wählen Sie Arbeitsspeicher aus, um den Speicherprotokollierungsmodus zu verwenden. Dadurch wird verhindert, dass das Ablaufverfolgungsprotokoll aufgrund langer Laufzeiten übermäßig aufgeblasen wird.

  10. Jetzt können Sie Daten sammeln. Schließen Sie alle unnötigen Anwendungen. Wählen Sie Optionen ausblenden aus, um den Platz, der vom WPR-Fenster belegt wird, klein zu halten.

    Screenshot: Optionen zum Ausblenden

  11. Klicken Sie auf Start.

    Screenshot: Seite

  12. Reproduzieren Sie das Problem.

    Tipp

    Beschränken Sie die Datensammlung auf maximal fünf Minuten. Im Idealfall werden zwei bis drei Minuten angestrebt, da eine erhebliche Menge an Daten gesammelt wird.

  13. Klicken Sie auf Speichern.

    Screenshot: Option

  14. Geben Sie eine detaillierte Beschreibung des Problems ein: mit Informationen zum Problem und der Art, wie Sie das Problem reproduzieren.

    Screenshot des Bereichs, in dem Sie ausfüllen.

  15. Wählen Sie Dateiname: aus, um zu bestimmen, wo Ihre Ablaufverfolgungsdatei gespeichert wird. Standardmäßig wird sie unter %user%\Documents\WPR Files\gespeichert.

  16. Klicken Sie auf Speichern.

    Screenshot, der die allgemeine Ablaufverfolgung der WPR zeigt.

  17. Nachdem die Ablaufverfolgung zusammengeführt und gespeichert wurde, klicken Sie mit der rechten Maustaste auf Ordner öffnen.

    Screenshot: Benachrichtigung, dass die WPR-Ablaufverfolgung gespeichert wurde

  18. Schließen Sie sowohl die Datei als auch den Ordner in Ihre Übermittlung ein, um Microsoft-Support.

    Screenshot: Details der Datei und des Ordners

Erfassen von Leistungsprotokollen mithilfe der WPR CLI

So erfassen Sie eine WPR-Ablaufverfolgung mithilfe des Befehlszeilentools wpr.exe:

  1. Laden Sie Microsoft Defender for Endpoint Leistungsablaufverfolgungsprofil der Analyse wie MDAV.wprp in einem lokalen Verzeichnis wie C:\tracesherunter.

  2. Klicken Sie mit der rechten Maustaste auf das Symbol Startmenü, und wählen Sie Windows PowerShell (Admin) oder Eingabeaufforderung (Admin) aus, um ein Admin Eingabeaufforderungsfenster zu öffnen.

  3. Wählen Sie im Dialogfeld Benutzerkontensteuerung die Option Ja aus.

  4. Führen Sie an der Eingabeaufforderung (Admin) den folgenden Befehl aus, um eine Microsoft Defender for Endpoint Leistungsablaufverfolgung zu starten:

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Warnung

    Wenn Ihr Windows Server über 64 GB RAM oder mehr verfügt, verwenden Sie Profile WDForLargeServers.Light und WDForLargeServers.Verbose anstelle von Profilen WD.Light bzwWD.Verbose. . Andernfalls verbraucht Ihr System eine große Menge an nicht auslagerten Poolspeichern oder Puffern, was zu Systeminstabilität führt.

  5. Reproduzieren Sie das Problem.

    Tipp

    Beschränken Sie die Datensammlung auf maximal fünf Minuten. Im Idealfall werden zwei bis drei Minuten angestrebt, da eine erhebliche Menge an Daten gesammelt wird.

  6. Führen Sie an der Eingabeaufforderung (Admin) den folgenden Befehl aus, um eine Microsoft Defender for Endpoint Leistungsablaufverfolgung zu starten:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Warten Sie, bis die Ablaufverfolgung zusammengeführt wurde.

  8. Schließen Sie sowohl die Datei als auch den Ordner in Ihre Übermittlung ein, um Microsoft-Support.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.