Jaa

Reaaliaikaiseen suojaukseen liittyvien suorituskykyongelmien vianmääritys

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Jos järjestelmässäsi on korkea suoritinkäyttö tai suorituskykyongelmia, jotka liittyvät reaaliaikaiseen suojauspalveluun Microsoft Defender for Endpoint, voit lähettää palvelupyynnön Microsoftin tukeen. Noudata ohjeita kohdassa Microsoft Defender virustentorjunnan diagnostiikkatietojen kerääminen.

Järjestelmänvalvojana voit myös tehdä vianmäärityksen itse.

Haluat ehkä ensin tarkistaa, johtuuko ongelma muusta ohjelmistosta. Lue lisätietoja virustentorjuntapoikkeamien tunnetuista ongelmista toimittajalta.

Muussa tapauksessa voit tunnistaa, mikä ohjelmisto liittyy tunnistettuun suorituskykyongelmaan, noudattamalla Analysoi Microsoftin suojauslokia -kohdassa olevia ohjeita.

Voit myös antaa muita lokeja lähetykseesi Microsoftin tuelle noudattamalla seuraavia ohjeita:

Jos haluat lisätietoja Microsoft Defender virustentorjuntaan liittyvistä suorituskykyongelmista, katso Microsoft Defender virustentorjunta.

Tarkista toimittajalta virustentorjuntatuotteiden tunnetut ongelmat

Jos pystyt helposti tunnistamaan järjestelmän suorituskykyyn vaikuttavan ohjelmiston, siirry ohjelmistotoimittajan tietokanta tai tukikeskukseen. Tarkista, onko virustentorjuntatuotteissa tunnettuja ongelmia. Voit tarvittaessa avata tukipalvelupyynnön heidän kanssaan ja pyytää häntä julkaisemaan tukipalvelupyynnön.

Suosittelemme, että ohjelmistotoimittajat noudattavat eri ohjeita kohdassa Yhteistyö alan kanssa, jotta false-positiiviset voidaan minimoida. Toimittaja voi lähettää ohjelmistonsa Microsoftin suojaustiedustelu portaalin kautta.

Analysoi Microsoft Protection -lokia

Microsoftin suojauslokitiedosto löytyy osoitteesta C:\ProgramData\Microsoft\Windows Defender\Support.

MPLog-xxxxxxxx-xxxxxx.log näet ohjelmiston suorittamisen arvioidut suorituskykyvaikutustiedot muodossa EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

Kentän nimi Kuvaus
ProcessImageName Prosessikuvan nimi
Kokonaisaika Tämän prosessin käsittelemien tiedostojen tarkistuksissa käytetty kumulatiivinen kesto millisekunteina
Kreivi Tämän prosessin käsittelemien skannattujen tiedostojen määrä
Enimmäisaika Tämän prosessin käyttämän tiedoston pisimmän yksittäisen tarkistuksen kesto millisekunteina
MaxTimeFile Tämän prosessin käyttämän tiedoston polku, jolle kirjattiin pisin keston MaxTime tarkistus
EstimatedImpact Tämän prosessin käsittelemien tiedostojen skannauksessa käytetty aika prosentteina siitä ajanjaksosta, jona tämä prosessi koki tarkistuksen

Jos suorituskykyvaikutus on suuri, yritä lisätä prosessi Polku/Prosessi-poissulkemisiin noudattamalla ohjeita kohdassa Määritä ja vahvista poikkeukset Microsoft Defender virustentorjuntatarkistuksia varten.

Jos edellinen vaihe ei ratkaise ongelmaa, voit kerätä lisätietoja prosessin valvonnan tai Windowsin suorituskyvyn tallentimen kautta seuraavissa osioissa.

Tallenna prosessilokit prosessin tarkkailun avulla

Prosessien valvonta (ProcMon) on edistynyt valvontatyökalu, joka voi näyttää reaaliaikaisia prosesseja. Tämän työkalun avulla voit siepata suorituskykyongelman, kun sitä esiintyy.

  1. Lataa Process Monitor v3.89 kansioon, kuten C:\temp.

  2. Voit poistaa tiedoston WWW-merkinnän seuraavasti:

    1. Napsauta ProcessMonitor.zip hiiren kakkospainikkeella ja valitse Ominaisuudet.

    2. Etsi Yleiset-välilehdestäSuojaus.

    3. Valitse eston poistamisen vieressä oleva valintaruutu.

    4. Valitse Käytä.

    Näyttökuva, jossa näkyy Poista MOTW -sivu.

  3. Pura tiedosto siten C:\temp , että kansiopolku on C:\temp\ProcessMonitor.

  4. Kopioi ProcMon.exe Windows-asiakkaaseen tai Windows-palvelimeen, jota olet vianmäärityksessä.

  5. Ennen kuin suoritat ProcMonin, varmista, että kaikki muut sovellukset, jotka eivät liity suuren suoritinkäytön ongelmaan, on suljettu. Tämän vaiheen avulla voit minimoida tarkistettavat prosessit.

  6. Voit käynnistää ProcMonin kahdella tavalla.

    1. Napsauta ProcMon.exe hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

      Koska kirjaaminen käynnistyy automaattisesti, pysäytä nykyinen sieppaus valitsemalla suurennuslasikuvake tai käytä pikanäppäintä Ctrl+E.

      Näyttökuva, jossa näkyy suurennuslasikuvake.

      Jos haluat varmistaa, että olet pysäyttänyt sieppauksen, tarkista, näkyykö suurennuslasikuvake nyt punaisella X:llä.

      Näyttökuva, jossa näkyy punainen vinoviiva.

      Voit seuraavaksi tyhjentää aiemman sieppauksen valitsemalla pyyhinkuvakkeen.

      Näyttökuva, jossa näkyy Tyhjennä-kuvake

      Voit myös käyttää pikanäppäintä Ctrl+X.

    2. Toinen tapa on suorittaa komentorivi järjestelmänvalvojana ja suorittaa sitten Prosessin valvonta -polusta:

      Näyttökuva, jossa näkyy cmd procmon. 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Vihje

      Tee ProcMon-ikkunasta mahdollisimman pieni, kun tallennat tietoja, jotta voit helposti käynnistää ja pysäyttää jäljityksen.

      Näyttökuva, joka näyttää sivun, jossa Procmon on pienennetty.

  7. Kun olet noudattanut jotain vaiheen 6 toimintosarjaa, näet seuraavaksi suodattimien asetusvaihtoehdon. Valitse OK. Voit aina suodattaa tulokset, kun sieppaus on valmis.

    Näyttökuva, jossa näkyy sivu, jossa Järjestelmän pois jättäminen on valittu Suodata prosessinimi -toiminnoksi.

  8. Aloita sieppaus valitsemalla suurennuslasikuvake uudelleen.

  9. Yritä toistaa ongelma.

    Vihje

    Odota, että ongelma toistuu täysin, ja pane sitten muistiin aikaleima, kun jäljitys alkoi.

  10. Kun prosessi on toiminnassa 2–4 minuuttia korkean suoritinkäyttötilan aikana, pysäytä sieppaus valitsemalla suurennuslasikuvake.

  11. Jos haluat tallentaa sieppauksen yksilöllisellä nimellä ja .pml muodossa, valitse Tiedosto ja valitse sitten Tallenna.... Muista valita valintanapit Kaikki tapahtumat ja Alkuperäinen prosessin valvontamuoto (PML).

    Näyttökuva, jossa näkyy Tallennusasetukset-sivu

  12. Voit parantaa seurantaa muuttamalla oletuspolun C:\temp\ProcessMonitor\LogFile.PMLC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML kohdasta, jossa:

    • %ComputerName% on laitteen nimi
    • MMDDYEAR on kuukausi, päivä ja vuosi
    • Repro_of_issue on sen ongelman nimi, jota yrität toistaa

    Vihje

    Jos käytössäsi on toimiva järjestelmä, haluat ehkä saada vertailtavan mallilokin.

  13. .pml Zip tiedosto ja lähetä se Microsoft tuki.

Tallenna suorituskykylokit Windowsin suorituskyvyn tallentimen avulla

Windowsin suorituskyvyn tallentimen (WPR) avulla voit sisällyttää lisätietoja lähetykseesi Microsoftin tuelle. WPR on tehokas tallennustyökalu, joka luo tapahtumien seurannan Windows-tallenteita varten.

WPR on osa Windows Assessment and Deployment Kitiä (Windows ADK), ja sen voi ladata Windows ADK:n lataamisesta ja asentamisesta. Voit myös ladata sen osana Windows 10 Software Development Kitiä osoitteessa Windows 10 SDK.

Voit käyttää WPR-käyttöliittymää noudattamalla ohjeita artikkelissa Suorituskyvyn lokien tallentaminen WPR-käyttöliittymän avulla.

Vaihtoehtoisesti voit myös käyttää komentorivityökalua wpr.exe, joka on käytettävissä Windows 8 ja uudemmissa versioissa, noudattamalla ohjeita artikkelissa Suorituskyvyn lokien sieppaaminen WPR-komentorivikäyttöliittymän avulla.

Tallenna suorituskykylokit WPR-käyttöliittymän avulla

Vihje

Jos useassa laitteessa on tämä ongelma, käytä sitä, jossa on eniten RAM-muistia.

  1. Lataa ja asenna WPR.

  2. Napsauta Windows Kits -kohdassa hiiren kakkospainikkeella Windowsin suorituskyvyn tallenninta.

    Näyttökuva, jossa näkyy Käynnistä-valikko

    Valitse Lisää. Valitse Suorita järjestelmänvalvojana.

  3. Kun Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, valitse Kyllä.

    Näyttökuva, jossa näkyy UAC-sivu.

  4. Lataa seuraavaksi Microsoft Defender for Endpoint analyysiprofiili ja tallenna nimellä MDAV.wprp kansioon, kuten C:\temp.

  5. Valitse WPR-valintaikkunassa Enemmän vaihtoehtoja.

    Näyttökuva, jossa näkyy sivu, jossa voit valita lisää vaihtoehtoja

  6. Valitse Lisää profiileja... ja selaa tiedoston polkuun MDAV.wprp .

  7. Sen jälkeen sinun pitäisi nähdä uusi profiili mukautettujen mittausten kohdassa nimeltä Microsoft Defender for Endpoint analyysi sen alla.

    Näyttökuva, jossa näkyy tiedostonsisäinen.

    Varoitus

    Jos Windows Server sisältää vähintään 64 Gigatavua RAM-muistia, käytä mukautettua mittausta -mittarin Microsoft Defender for Endpoint analysis for large serversMicrosoft Defender for Endpoint analysissijaan. Muussa tapauksessa järjestelmä saattaa kuluttaa paljon sivuttamatonta varannon muistia tai puskureita, mikä voi johtaa järjestelmän epävakauteen. Voit valita lisättävät profiilit laajentamalla resurssianalyysia. Tämä mukautettu profiili tarjoaa tarvittavan kontekstin perusteelliseen suorituskykyanalyysiin.

  8. Mukautetun mittauksen käyttäminen Microsoft Defender for Endpoint yksityiskohtainen analyysiprofiili WPR-käyttöliittymässä:

    1. Varmista, että ensimmäisen tason triage-, Resurssianalyysi - ja Skenaarioanalyysi-ryhmissä ei ole valittu profiileja.

    2. Valitse Mukautetut mittaukset.

    3. Valitse Microsoft Defender for Endpoint analyysi.

    4. Valitse Yksityiskohtainen-kohdan lisätietotaso-kohdasta.

    5. Valitse Tiedosto tai Muisti kirjaustilassa.

    Tärkeää

    Valitse Tiedosto , jos haluat käyttää tiedoston kirjaamistilaa, jos käyttäjä voi toistaa suorituskykyongelman suoraan. Useimmat ongelmat kuuluvat tähän luokkaan. Jos käyttäjä ei kuitenkaan pysty toistamaan ongelmaa suoraan, mutta hän huomaa sen helposti ongelman ilmenemisen jälkeen, käyttäjän on valittava Muisti , jotta hän voi käyttää muistin kirjaustilaa. Näin varmistat, että jäljitysloki ei paisu liikaa pitkän suoritusajan vuoksi.

  9. Nyt olet valmis keräämään tietoja. Sulje kaikki sovellukset, jotka eivät ole olennaisia suorituskykyongelman toistamisessa. Voit valita Piilota vaihtoehdot , jos haluat pitää WPR-ikkunan tilan pienenä.

    Näyttökuva, jossa näkyvät Piilota-vaihtoehdot.

    Vihje

    Yritä käynnistää jäljitys kokonaislukusekunteina. Esimerkiksi 01:30:00. Tämä helpottaa tietojen analysointia. Yritä myös seurata aikaleimaa tarkasti siitä, milloin ongelma toistuu.

  10. Valitse Käynnistä.

Näyttökuva, jossa näkyy Tallenna järjestelmän tiedot -sivu.

  1. Yritä toistaa ongelma.

Vihje

Pidä tiedonkeruu enintään viidessä minuutissa. 2–3 minuuttia on hyvä alue, koska tietoja kerätään paljon.

  1. Valitse Tallenna.

Näyttökuva, jossa näkyy Tallenna-vaihtoehto.

  1. Täytä tyyppi yksityiskohtaisen kuvauksen ongelmasta: tietoja ongelmasta ja siitä, miten ongelma toistui.

Näyttökuva, jossa näkyy ruutu, johon täytät.

  1. Määritä jäljitystiedoston tallennuspaikka valitsemalla Tiedostonimi . Oletusarvoisesti se tallennetaan kohteeseen %user%\Documents\WPR Files\.

  2. Valitse Tallenna.

  3. Odota, jäljitystä yhdistetään.

Näyttökuva, jossa näkyy WPR:n yleisen jäljityksen kerääminen.

  1. Kun jäljitys on tallennettu, valitse Avaa kansio.

Näyttökuva, joka näyttää ilmoituksen WPR-jäljityksen tallentamisesta.

Sisällytä sekä tiedosto että kansio lähetykseesi Microsoft-tukeen.

Näyttökuva, jossa näkyvät tiedoston ja kansion tiedot.

Tallenna suorituskykylokit WPR CLI:n avulla

Komentorivityökalu wpr.exe on osa käyttöjärjestelmää alkaen Windows 8. WPR-jäljityksen kerääminen komentorivityökalun wpr.exe avulla:

  1. Lataa Microsoft Defender for Endpoint analyysiprofiili suorituskyvyn jäljitystä varten tiedostoon, joka on nimetty MDAV.wprp paikallisessa hakemistossa, kuten C:\traces.

  2. Napsauta Käynnistä-valikon kuvaketta hiiren kakkospainikkeella ja valitse Windows PowerShell (Hallinta) tai komentokehote (Hallinta) avataksesi Hallinta komentokehoteikkunan.

  3. Kun Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, valitse Kyllä.

  4. Käynnistä Microsoft Defender for Endpoint suorituskyvyn jäljitys suorittamalla seuraava komento järjestelmän laajennetun kehotteen kohdalla:

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Varoitus

    Jos Windows Serverissä on vähintään 64 Gigatavua TAI RAM-muistia WDForLargeServers.LightWDForLargeServers.Verbose , käytä profiileja profiilien WD.Light ja WD.Verbose, sijaan. Muussa tapauksessa järjestelmä saattaa kuluttaa paljon sivuttamatonta varannon muistia tai puskureita, mikä voi johtaa järjestelmän epävakauteen.

  5. Yritä toistaa ongelma.

    Vihje

    Pidä tiedonkeruu enintään viidessä minuutissa. Skenaariosta riippuen 2–3 minuuttia on hyvä alue, koska tietoja kerätään paljon.

  6. Pysäytä suorituskyvyn jäljitys suorittamalla seuraava komento järjestelmän laajennetun kehotteen kohdalla ja varmistamalla, että annat tietoja ongelmasta ja siitä, miten ongelma toistui:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Odota, kunnes jäljitys on yhdistetty.

  8. Sisällytä sekä tiedosto että kansio lähetykseesi Microsoft-tukeen.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.