Suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten

Koskee seuraavia

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows

Vaatimukset

Microsoft Defender virustentorjunnan suorituskyvyn analysointitoiminnolla on seuraavat edellytykset:

• Tuetut Windows-versiot:
  • Windows 10
  • Windows 11
  • Windows Server 2016 ja uudemmat versiot
  • Windows Server 2012 R2 (kun perehdyttynä moderniin, yhtenäiseen ratkaisuun)
  • Windows Server 2012 R2:ssa tarvitaan Windows ADK (Windows Performance Toolkit). Windows ADK:n lataaminen ja asentaminen
• Käyttöympäristön versio: 4.18.2108.7 tai uudempi
• PowerShell-versio: PowerShellin versio 5.1, PowerShell ISE, etä PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Mikä on Microsoft Defender virustentorjunnan suorituskyvyn analysointi?

Jos Microsoft Defender virustentorjuntaa käyttävissä laitteissa on suorituskykyongelmia, voit parantaa Microsoft Defender virustentorjuntaohjelman suorituskykyä suorituskyvyn analysointitoiminnolla. Suorituskyvyn analysointi on PowerShellin komentorivityökalu, jonka avulla voit määrittää tiedostoja, tiedostotunnisteita ja prosesseja, jotka saattavat aiheuttaa suorituskykyongelmia yksittäisissä päätepisteissä virustentorjuntatarkistusten aikana. Suorituskykyanalysaattorin keräämien tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja.

Samalla tavalla kuin mekaanikko suorittaa diagnostiikkaa ja palvelua ajoneuvossa, jossa on suorituskykyongelmia, suorituskyvyn analysointi voi auttaa parantamaan Microsoft Defender virustentorjuntaohjelman suorituskykyä.

Analysoinnin vaihtoehtoja ovat muun muassa seuraavat:

• Tärkeimmät skannausaikaan vaikuttavat polut
• Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
• Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
• Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
• Yhdistelmät – esimerkiksi:
  • ylimmät tiedostot laajennusta kohti
  • ylimmät polut laajennusta kohti
  • parhaat prosessit polkua kohti
  • suosituimmat tarkistukset tiedostoa kohden
  • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suoritetaan suorituskyvyn analysointia

Suorituskyvyn analysoinnin suorittamisen korkean tason prosessi sisältää seuraavat vaiheet:

1. Suorita suorituskyvyn analysointi kerätäksesi suorituskyvyn tallenteen Microsoft Defender virustentorjuntatapahtumista päätepisteessä.

   Huomautus

   Tämäntyyppisten Microsoft-Antimalware-Engine Microsoft Defender virustentorjuntatapahtumien suorituskyky tallennetaan suorituskyvyn analysoinnin kautta.

2. Analysoi tarkistuksen tuloksia käyttämällä eri tallennusraportteja.

Suorituskyvyn analysoinnin käyttäminen

Aloita järjestelmän tapahtumien tallennus avaamalla PowerShell järjestelmänvalvojatilassa ja toimimalla seuraavasti:

1. Aloita tallennus suorittamalla seuraava komento:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   where-parametri -RecordTo määrittää koko polun sijainnin, johon jäljitystiedosto tallennetaan. Lisätietoja cmdlet-komennoista on kohdassa Microsoft Defender virustentorjunnan cmdlet-komennot.

2. Jos prosessien tai palvelujen arvellaan vaikuttavan suorituskykyyn, toista tilanne suorittamalla tarvittavat tehtävät.

3. Pysäytä ja tallenna tallennus painamalla ENTER-näppäintä tai peruuta tallennus painamalla Ctrl+C .

4. Analysoi tuloksia suorituskyvyn analysointitoiminnon parametrin Get-MpPerformanceReport avulla. Esimerkiksi suoritettaessa komentoa Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10käyttäjälle annetaan luettelo kymmenestä suurimmasta tarkistuksesta kolmelle suurimmalle suorituskykyyn vaikuttavalle tiedostolle.

   Lisätietoja komentoriviparametreista ja asetuksista on kohdassa New-MpPerformanceRecording ja Get-MpPerformanceReport.

Huomautus

Jos saat tallennetta suoritettaessa virhesanoman "Suorituskyvyn tallennusta ei voi aloittaa, koska Windowsin suorituskyvyn tallennin on jo tallentumassa", pysäytä olemassa oleva jäljitys uudella komennolla suorittamalla seuraava komento: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Suorituskyvyn säätötiedot ja tiedot

Kyselyn perusteella käyttäjä voi tarkastella skannausmääriä, kestoa (yhteensä/minimi/keskiarvo/maksimi/mediaani), polkua, prosessia ja syyn tarkistusta varten. Seuraavassa kuvassa näytetään esimerkkitulos yksinkertaiselle kyselylle kymmenestä suurimmasta tiedostosta tarkistuksen vaikutusta varten.

Vieminen ja muuntaminen CSV- ja JSON-muotoon

Suorituskyvyn analysoinnin tulokset voidaan myös viedä ja muuntaa CSV- tai JSON-tiedostoksi. Tässä artikkelissa on esimerkkejä, joissa kuvataan "vienti" ja "muunna" mallikoodin avulla.

Defender-versiosta 4.18.2206.Xalkaen käyttäjät voivat tarkastella tarkistuksen ohitussyyn tietoja sarakkeessa SkipReason . Mahdolliset arvot ovat:

• Ei ohitettu
• Optimointi (yleensä suorituskykysyistä)
• Käyttäjä ohitettiin (yleensä käyttäjän asettamien poissulkemisten vuoksi)

CSV:lle

• Vietäväksi:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Muunnettava:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

JSON:lle

• Muunnettava:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Jos haluat varmistaa, että koneellisesti luettava tuloste viedään muiden tietojenkäsittelyjärjestelmien kanssa, on suositeltavaa käyttää -Raw -parametria Get-MpPerformanceReport. Lisätietoja on seuraavissa osioissa.

Microsoft Defender virustentorjunnan Suorityskyvyn analysointi viittaus

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.