Compartir vía

Solución de problemas de rendimiento de Microsoft Defender Antivirus con Process Monitor

  • Artículo

Sugerencia

En primer lugar, revise las razones comunes de los problemas de rendimiento, como el uso elevado de la CPU. Consulte Solución de problemas de rendimiento relacionados con Microsoft Defender protección en tiempo real (rtp) o exámenes (programados o a petición). A continuación, ejecute **Microsoft Defender Antivirus Analizador de rendimiento**Esta herramienta le ayudará a identificar la causa del uso elevado de CPU en Microsoft Defender Antivirus, ya sea el ejecutable del servicio Antimalware, el antivirus de Microsoft Defender. o MsMpEng.exe. Si el Analizador de rendimiento antivirus de Microsoft Defender no identifica la causa principal del uso elevado de la CPU, continúe con la ejecución del Monitor de procesador. La herramienta final del kit de herramientas que se va a ejecutar es la interfaz de usuario de La grabadora de rendimiento de Windows (WPRUI) o Windows Performance Recorded (línea de comandos WPR).

Captura de registros de procesos mediante el Monitor de procesos

Monitor de procesos (ProcMon) es una herramienta de supervisión avanzada que proporciona datos en tiempo real sobre los procesos. Se puede usar para capturar problemas de rendimiento, como un uso elevado de la CPU, y para supervisar los escenarios de compatibilidad de aplicaciones a medida que se producen.

Hay dos maneras de capturar un seguimiento de Process Monitor (ProcMon):

  1. Uso del analizador de cliente de MDE

  2. Manualmente

Uso del analizador de cliente de MDE

  1. Descargue el analizador de cliente de MDE.

  2. Ejecute la MDE Client Analyzer mediante Live Response o localmente.

    Sugerencia

    Antes de iniciar el seguimiento, asegúrese de que el problema es reproducible. Además, cierre las aplicaciones que no contribuyan a la reproducción del problema.

  3. Ejecute el analizador de cliente de MDE con los modificadores -c y -v

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Manualmente

  1. Descargue Process Monitor v3.89 en una carpeta como C:\temp.

  2. Para quitar la marca del archivo de la web:

    1. Haga clic con el botón derecho en ProcessMonitor.zip y seleccione Propiedades.

    2. En la pestaña General , busque Seguridad.

    3. Active la casilla situada junto a Desbloquear.

    4. Seleccione Aplicar.

      Captura de pantalla que muestra la página Quitar MOTW.

  3. Descomprima el archivo en C:\temp para que la ruta de acceso de la carpeta sea C:\temp\ProcessMonitor.

  4. Copie ProcMon.exe en el cliente de Windows o el servidor de Windows que está solucionando problemas.

    Sugerencia

    Antes de ejecutar ProcMon, asegúrese de que todas las demás aplicaciones no relacionadas con el problema de uso elevado de cpu estén cerradas. Realizar este paso ayuda a minimizar el número de procesos que se van a comprobar.

  5. Puede iniciar ProcMon de dos maneras.

    1. Haga clic con el botón derecho en ProcMon.exe y seleccione Ejecutar como administrador.

    • Puesto que el registro se inicia automáticamente, detenga la captura seleccionando el icono de lupa o presionando Ctrl+E.

      Captura de pantalla que muestra el icono de lupa.

    1. Para confirmar que la captura se ha detenido, busque una X roja en el icono de lupa.

      Captura de pantalla que muestra una barra diagonal roja. Captura de pantalla que muestra el icono de borrar.

    2. Ejecute la línea de comandos como administrador y, a continuación, desde la ruta de acceso del Monitor de procesos, ejecute:

      Captura de pantalla que muestra el procmon de cmd.

    Sugerencia

    Haga que la ventana ProcMon sea lo más pequeña posible al capturar datos para que pueda iniciar y detener fácilmente el seguimiento. Captura de pantalla que muestra la página con Procmon minimizado.

  6. Después de completar el paso 6, seleccione Aceptar para establecer filtros. Puede filtrar los resultados una vez completada la captura.

    Captura de pantalla que muestra la página en la que se elige Excluir sistema como nombre de proceso de filtrado.

  7. Para iniciar la captura, vuelva a seleccionar el icono de lupa.

  8. Reproduzca el problema.

    Sugerencia

    Espere a que se reproduzca el problema y anote la marca de tiempo cuando comience el seguimiento.

  9. Después de capturar de dos a cuatro minutos de actividad del proceso durante un uso elevado de la CPU, detenga la captura haciendo clic en el icono de lupa.

  10. Para guardar la captura con un nombre único en el .pml formato, vaya a Archivo y haga clic en Guardar.... Asegúrese de seleccionar los botones de radio Todos los eventos y Formato de monitor de proceso nativo (PML).

    Captura de pantalla que muestra la página guardar configuración.

  11. Para un mejor seguimiento, cambie la ruta de acceso predeterminada de C:\temp\ProcessMonitor\LogFile.PML a C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML dónde:

  • %ComputerName% es el nombre del dispositivo
  • MMDDYEAR es el mes, el día y el año
  • Repro_of_issue es el nombre del problema que intenta reproducir

Sugerencia

Si tiene un sistema de trabajo, es posible que desee obtener un registro de ejemplo para compararlo.

  1. Comprima el .pml archivo y envíelo a Soporte técnico de Microsoft.