Compartir vía

Solución de problemas de rendimiento de Microsoft Defender Antivirus con WPRUI

  • Artículo

Sugerencia

En primer lugar, revise las razones comunes de problemas de rendimiento, como el uso elevado de CPU en Solución de problemas de rendimiento relacionados con Microsoft Defender protección en tiempo real (RTP) o exámenes (programados o a petición). A continuación, ejecute el Analizador de rendimiento antivirus de Microsoft Defender para analizar la causa del uso elevado de CPU en Microsoft Defender Antivirus (ejecutable del servicio Antimalware, Microsoft Defender servicio Antivirus o MsMpEng.exe). Si el Analizador de rendimiento antivirus de Microsoft Defender no identifica la causa principal de un uso elevado de la CPU, ejecute el Monitor de procesador para restringir o determinar la causa principal del uso elevado de CPU en Microsoft Defender Antivirus. La última herramienta del kit de herramientas es ejecutar la interfaz de usuario de La grabadora de rendimiento de Windows (WPRUI) o la grabadora de rendimiento de Windows (línea de comandos WPR), como se describe en este artículo.

Captura de registros de rendimiento mediante La grabadora de rendimiento de Windows

Windows Performance Recorder (WPR) es una potente herramienta de grabación que crea seguimiento de eventos para grabaciones de Windows y permite incluir información adicional en el envío al soporte técnico de Microsoft.

WPR forma parte del Kit de evaluación e implementación de Windows (Windows ADK) y se puede descargar desde Descargar e instalar Windows ADK. También puede descargarlo como parte del kit de desarrollo de software de Windows 10 en Windows 10 SDK.

Como alternativa, siga los pasos descritos en Capturar registros de rendimiento mediante la interfaz de usuario de WPR o use la herramienta de línea de comandos wpr.exeCapturar registros de rendimiento mediante la CLI de WPR. Ambos están disponibles en Windows 8 y versiones posteriores.

Hay dos maneras de capturar el seguimiento de La grabadora de rendimiento de Windows (WPRUI):

  1. Uso del analizador de cliente de MDE

  2. Manualmente

Uso del analizador de cliente de MDE

  1. Descargue el analizador de cliente de MDE.

  2. Ejecute la MDE Client Analyzer mediante Live Response o localmente.

    Sugerencia

    Antes de iniciar el seguimiento, asegúrese de que el problema es reproducible. Además, cierre las aplicaciones que no contribuyan a la reproducción del problema.

  3. Ejecute el analizador de cliente de MDE con los -a modificadores y -v .

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

Manualmente

Captura de registros de rendimiento mediante la interfaz de usuario de WPR

Sugerencia

Si varios dispositivos experimentan este problema, use el que tenga más RAM.

  1. Descargue e instale WPR.

  2. En Kits de Windows, haga clic con el botón derecho en Grabadora de rendimiento de Windows.

    Captura de pantalla que muestra el menú Inicio

  3. Seleccione Más. Seleccione Ejecutar como administrador.

  4. Haga clic con el botón derecho en cuando aparezca el cuadro de diálogo Control de cuentas de usuario.

    Captura de pantalla que muestra la página de UAC.

  5. A continuación, descargue el perfil de análisis de Microsoft Defender para punto de conexión y guárdelo en MDAV.wprp una carpeta como C:\temp.

  6. En el cuadro de diálogo WPR, seleccione Más opciones.

    Captura de pantalla que muestra la página en la que puede seleccionar más opciones

  7. Seleccione Agregar perfiles... y vaya a la ruta de acceso del MDAV.wprp archivo.

  8. Debe aparecer un nuevo perfil denominado análisis Microsoft Defender para punto de conexión en Medidas personalizadas.

    Captura de pantalla en la que se muestra el archivo.

    Advertencia

    Si el Windows Server tiene 64 GB de RAM o más, use la medida Microsoft Defender for Endpoint analysis for large servers personalizada en lugar de Microsoft Defender for Endpoint analysis. De lo contrario, el sistema podría consumir una gran cantidad de memoria de grupo no paginada o búferes, lo que provocaría inestabilidad en el sistema. Para solucionar este problema, explore Análisis de recursos para elegir los perfiles que se van a agregar. Este perfil personalizado proporciona el contexto necesario para un análisis detallado del rendimiento.

  9. Para usar la medición personalizada Microsoft Defender para punto de conexión perfil de análisis detallado en la interfaz de usuario de WPR:

    1. Asegúrese de que no hay perfiles seleccionados en los grupos De evaluación de prioridades de primer nivel, Análisis de recursos y Análisis de escenarios .

    2. Seleccione Medidas personalizadas.

    3. Seleccione Microsoft Defender para punto de conexión análisis.

    4. Seleccione Detallado en Nivel de detalle .

    5. Seleccione Archivo o memoria en Modo de registro.

    Importante

    Seleccione Archivo para usar el modo de registro de archivos si puede reproducir directamente el problema de rendimiento. La mayoría de los problemas se encuentran en esta categoría. Sin embargo, si no puede reproducir directamente el problema, seleccione Memoria para usar el modo de registro de memoria. Esto evita que el registro de seguimiento se infla excesivamente debido a tiempos de ejecución prolongados.

  10. Ahora está listo para recopilar datos. Cierre todas las aplicaciones innecesarias. Seleccione Ocultar opciones para mantener pequeño el espacio ocupado por la ventana wpr.

    Captura de pantalla que muestra las opciones Ocultar.

  11. Seleccione Inicio.

    Captura de pantalla que muestra la página Registro de información del sistema.

  12. Reproduzca el problema.

    Sugerencia

    Limite la recopilación de datos a un máximo de cinco minutos. Idealmente, tenga como objetivo entre dos y tres minutos, ya que se está recopilando una cantidad significativa de datos.

  13. Haga clic en Guardar.

    Captura de pantalla que muestra la opción Guardar.

  14. Rellene Tipo en una descripción detallada del problema: con información sobre el problema y cómo ha reproducido el problema.

    Captura de pantalla que muestra el panel en el que se rellena.

  15. Seleccione Nombre de archivo: para determinar dónde se guarda el archivo de seguimiento. De forma predeterminada, se guarda en %user%\Documents\WPR Files\.

  16. Haga clic en Guardar.

    Captura de pantalla que muestra el seguimiento general de recopilación de WPR.

  17. Después de combinar y guardar el seguimiento, haga clic con el botón derecho en Abrir carpeta.

    Captura de pantalla que muestra la notificación de que se ha guardado el seguimiento de WPR.

  18. Incluya el archivo y la carpeta en el envío a Soporte técnico de Microsoft.

    Captura de pantalla que muestra los detalles del archivo y la carpeta.

Captura de registros de rendimiento mediante la CLI de WPR

Para recopilar un seguimiento de WPR mediante la herramienta de línea de comandos wpr.exe:

  1. Descargue Microsoft Defender para punto de conexión perfil de seguimiento de rendimiento de análisis como MDAV.wprp en un directorio local como C:\traces.

  2. Haga clic con el botón derecho en el icono menú Inicio y seleccione Windows PowerShell (Administración) o símbolo del sistema (Administración) para abrir una ventana del símbolo del sistema Administración.

  3. Seleccione en el cuadro de diálogo Control de cuentas de usuario.

  4. En el símbolo del sistema (Administración), ejecute el siguiente comando para iniciar un seguimiento de rendimiento Microsoft Defender para punto de conexión:

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Advertencia

    Si el Windows Server tiene 64 GB de RAM o más, use perfiles WDForLargeServers.Light y WDForLargeServers.Verbose en lugar de perfiles WD.Light y WD.Verbose, respectivamente. De lo contrario, el sistema consume una gran cantidad de búferes o memoria de grupo no paginados, lo que provoca inestabilidad en el sistema.

  5. Reproduzca el problema.

    Sugerencia

    Limite la recopilación de datos a un máximo de cinco minutos. Idealmente, tenga como objetivo entre dos y tres minutos, ya que se está recopilando una cantidad significativa de datos.

  6. En el símbolo del sistema (Administración), ejecute el siguiente comando para iniciar un seguimiento de rendimiento Microsoft Defender para punto de conexión:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Espere hasta que se combine el seguimiento.

  8. Incluya el archivo y la carpeta en el envío a Soporte técnico de Microsoft.

Recursos adicionales

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.