Freigeben über

Leistungsanalyse für Microsoft Defender Antivirus

  • Artikel

Gilt für

Plattformen

  • Windows

Anforderungen

Microsoft Defender Antivirus-Leistungsanalyse erfüllt die folgenden Voraussetzungen:

  • Unterstützte Windows-Versionen:
  • Plattformversion: 4.18.2108.7 oder höher
  • PowerShell-Version: PowerShell Version 5.1, PowerShell ISE, Remote-PowerShell (4.18.2201.10 und höher), PowerShell 7.x (4.18.2201.10 und höher)

Was ist die Microsoft Defender Antivirus-Leistungsanalyse?

Wenn auf Geräten, auf denen Microsoft Defender Antivirus ausgeführt wird, Leistungsprobleme auftreten, können Sie das Leistungsanalysetool verwenden, um die Leistung von Microsoft Defender Antivirus zu verbessern. Die Leistungsanalyse ist ein PowerShell-Befehlszeilentool, mit dem Sie Dateien, Dateierweiterungen und Prozesse ermitteln können, die bei Antivirenscans zu Leistungsproblemen auf einzelnen Endpunkten führen können. Sie können die von der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme zu bewerten und Abhilfemaßnahmen anzuwenden.

Ähnlich wie Mechaniker Diagnose und Service auf einem Fahrzeug mit Leistungsproblemen ausführen, kann das Leistungsanalysetool Ihnen helfen, Microsoft Defender Antivirus-Leistung zu verbessern.

Konzeptionelles Leistungsanalyseimage für Microsoft Defender Antivirus.

Folgende Optionen können analysiert werden:

  • Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
  • Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
  • Kombinationen – z. B.:
    • Top-Dateien pro Erweiterung
    • Top-Pfade pro Erweiterung
    • Top-Prozesse pro Pfad
    • Top-Scans pro Datei
    • Top-Scans pro Datei und Prozess

Ausführen der Leistungsanalyse

Der allgemeine Prozess zum Ausführen der Leistungsanalyse umfasst die folgenden Schritte:

  1. Führen Sie die Leistungsanalyse aus, um eine Leistungsaufzeichnung von Microsoft Defender Antivirus-Ereignissen auf dem Endpunkt zu erfassen.

    Hinweis

    Die Leistung Microsoft Defender Antivirus-Ereignisse des Typs Microsoft-Antimalware-Engine werden über die Leistungsanalyse aufgezeichnet.

  2. Analysieren Sie die Scanergebnisse mithilfe verschiedener Aufzeichnungsberichte.

Verwenden der Leistungsanalyse

Um die Aufzeichnung von Systemereignissen zu starten, öffnen Sie PowerShell im Administratormodus, und führen Sie die folgenden Schritte aus:

  1. Führen Sie den folgenden Befehl aus, um die Aufzeichnung zu starten:

    New-MpPerformanceRecording -RecordTo <recording.etl>

    Dabei -RecordTo gibt der Parameter den vollständigen Pfad an, an dem die Ablaufverfolgungsdatei gespeichert wird. Weitere Cmdlet-Informationen finden Sie unter Microsoft Defender Antivirus-Cmdlets.

  2. Wenn es Prozesse oder Dienste gibt, die die Leistung beeinträchtigen, reproduzieren Sie die Situation, indem Sie die entsprechenden Aufgaben ausführen.

  3. Drücken Sie die EINGABETASTE , um die Aufzeichnung zu beenden und zu speichern, oder STRG+C , um die Aufzeichnung abzubrechen.

  4. Analysieren Sie die Ergebnisse mit dem Parameter des Get-MpPerformanceReport Leistungsanalysetools. Beispielsweise erhält der Benutzer beim Ausführen des Befehls Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10eine Liste der zehn wichtigsten Scans für die drei wichtigsten Dateien, die sich auf die Leistung auswirken.

    Weitere Informationen zu Befehlszeilenparametern und -optionen finden Sie unter New-MpPerformanceRecording und Get-MpPerformanceReport.

Hinweis

Wenn beim Ausführen einer Aufzeichnung der Fehler "Leistungsaufzeichnung kann nicht gestartet werden, weil die Windows-Leistungsaufzeichnung bereits aufgezeichnet wird" angezeigt wird, führen Sie den folgenden Befehl aus, um die vorhandene Ablaufverfolgung mit dem neuen Befehl zu beenden: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Daten und Informationen zur Leistungsoptimierung

Basierend auf der Abfrage kann der Benutzer Daten zu Scananzahl, Dauer (Gesamt/Min./Mittelwert/Max./Median), Pfad, Prozess und Grund für die Überprüfung anzeigen. Die folgende Abbildung zeigt eine Beispielausgabe für eine einfache Abfrage der 10 wichtigsten Dateien für die Überprüfungsauswirkung.

Beispielausgabe für eine einfache TopFiles-Abfrage

Exportieren und Konvertieren in CSV und JSON

Die Ergebnisse der Leistungsanalyse können auch exportiert und in eine CSV- oder JSON-Datei konvertiert werden. Dieser Artikel enthält Beispiele, die den Prozess des "Exportierens" und "Konvertierens" durch Beispielcode beschreiben.

Ab der Defender-Version 4.18.2206.Xkönnen Benutzer Informationen zum Scan-Skip-Grund unter der SkipReason Spalte anzeigen. Die folgenden Werte sind möglich:

  • Nicht übersprungen
  • Optimierung (in der Regel aus Leistungsgründen)
  • Benutzer übersprungen (in der Regel aufgrund von Benutzersatzausschlüssen)

Für CSV

  • So exportieren Sie folgendes:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
  • Konvertieren:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

Für JSON

  • Konvertieren:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Um eine maschinenlesbare Ausgabe für den Export mit anderen Datenverarbeitungssystemen sicherzustellen, wird empfohlen, den Parameter für Get-MpPerformanceReportzu verwenden-Raw. Weitere Informationen finden Sie in den folgenden Abschnitten.

referenz zu Microsoft Defender Antivirus Leistungsanalyse

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.