Microsoft Defenderin virustentorjuntaohjelman suorituskyvyn analysointi

Koskee seuraavia

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows

Vaatimukset

Microsoft Defenderin virustentorjunnan suorituskyvyn analysointitoiminnolla on seuraavat edellytykset:

• Tuetut Windows-versiot:
  • Windows 10
  • Windows 11
  • Windows Server 2016 ja uudemmat
  • Windows Server 2012 R2 (kun perehdyttynä moderniin, yhtenäiseen ratkaisuun)
  • Windows Server 2012 R2:ssa tarvitaan Windows ADK (Windows Performance Toolkit). Windows ADK:n lataaminen ja asentaminen
• Käyttöympäristön versio: 4.18.2108.7 tai uudempi
• PowerShell-versio: PowerShellin versio 5.1, PowerShell ISE, etä PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Mikä on Microsoft Defenderin virustentorjunnan suorituskyvyn analysointi?

Jos Microsoft Defenderin virustentorjuntaa käyttävissä laitteissa on suorituskykyongelmia, voit parantaa Microsoft Defenderin virustentorjuntaohjelman suorituskykyä suorituskyvyn analysointitoiminnolla. Suorituskyvyn analysointi on PowerShellin komentorivityökalu, jonka avulla voit määrittää tiedostoja, tiedostotunnisteita ja prosesseja, jotka saattavat aiheuttaa suorituskykyongelmia yksittäisissä päätepisteissä virustentorjuntatarkistusten aikana. Suorituskykyanalysaattorin keräämien tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja.

Kuten mekaniikka suorittaa diagnostiikkaa ja palvelua ajoneuvossa, jossa on suorituskykyongelmia, suorituskyvyn analysointi voi auttaa parantamaan Microsoft Defenderin virustentorjuntaohjelman suorituskykyä.

Analysoinnin vaihtoehtoja ovat muun muassa seuraavat:

• Tärkeimmät skannausaikaan vaikuttavat polut
• Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
• Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
• Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
• Yhdistelmät – esimerkiksi:
  • ylimmät tiedostot laajennusta kohti
  • ylimmät polut laajennusta kohti
  • parhaat prosessit polkua kohti
  • suosituimmat tarkistukset tiedostoa kohden
  • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suoritetaan suorituskyvyn analysointia

Suorituskyvyn analysoinnin suorittamisen korkean tason prosessi sisältää seuraavat vaiheet:

1. Suorita suorituskyvyn analysointi kerätäksesi suorituskyvyn tallenteen Microsoft Defenderin virustentorjuntatapahtumista päätepisteessä.

   Huomautus

   Tämäntyyppisten Microsoft-Antimalware-Engine Microsoft Defenderin virustentorjuntatapahtumien suorituskyky tallennetaan suorituskyvyn analysoinnin kautta.

2. Analysoi tarkistuksen tuloksia käyttämällä eri tallennusraportteja.

Suorituskyvyn analysoinnin käyttäminen

Aloita järjestelmän tapahtumien tallennus avaamalla PowerShell järjestelmänvalvojatilassa ja toimimalla seuraavasti:

1. Aloita tallennus suorittamalla seuraava komento:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   where-parametri -RecordTo määrittää koko polun sijainnin, johon jäljitystiedosto tallennetaan. Lisätietoja cmdlet-komennoista on artikkelissa Microsoft Defenderin virustentorjunnan cmdlet-komennot.

2. Jos prosessien tai palvelujen arvellaan vaikuttavan suorituskykyyn, toista tilanne suorittamalla tarvittavat tehtävät.

3. Pysäytä ja tallenna tallennus painamalla ENTER-näppäintä tai peruuta tallennus painamalla Ctrl+C .

4. Analysoi tuloksia suorituskyvyn analysointitoiminnon parametrin Get-MpPerformanceReport avulla. Esimerkiksi suoritettaessa komentoa Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10käyttäjälle annetaan luettelo kymmenestä suurimmasta tarkistuksesta kolmelle suurimmalle suorituskykyyn vaikuttavalle tiedostolle.

   Lisätietoja komentoriviparametreista ja asetuksista on kohdassa New-MpPerformanceRecording ja Get-MpPerformanceReport.

Huomautus

Jos saat tallennetta suoritettaessa virhesanoman "Suorituskyvyn tallennusta ei voi aloittaa, koska Windowsin suorituskyvyn tallennin on jo tallentumassa", pysäytä olemassa oleva jäljitys uudella komennolla suorittamalla seuraava komento: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Suorituskyvyn säätötiedot ja tiedot

Kyselyn perusteella käyttäjä voi tarkastella skannausmääriä, kestoa (yhteensä/minimi/keskiarvo/maksimi/mediaani), polkua, prosessia ja syyn tarkistusta varten. Seuraavassa kuvassa näytetään esimerkkitulos yksinkertaiselle kyselylle kymmenestä suurimmasta tiedostosta tarkistuksen vaikutusta varten.

Vieminen ja muuntaminen CSV- ja JSON-muotoon

Suorituskyvyn analysoinnin tulokset voidaan myös viedä ja muuntaa CSV- tai JSON-tiedostoksi. Tässä artikkelissa on esimerkkejä, joissa kuvataan "vienti" ja "muunna" mallikoodin avulla.

Defender-versiosta 4.18.2206.Xalkaen käyttäjät voivat tarkastella tarkistuksen ohitussyyn tietoja sarakkeessa SkipReason . Mahdolliset arvot ovat:

• Ei ohitettu
• Optimointi (yleensä suorituskykysyistä)
• Käyttäjä ohitettiin (yleensä käyttäjän asettamien poissulkemisten vuoksi)

CSV:lle

• Vietäväksi:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Muunnettava:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

JSON:lle

• Muunnettava:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Jos haluat varmistaa, että koneellisesti luettava tuloste viedään muiden tietojenkäsittelyjärjestelmien kanssa, on suositeltavaa käyttää -Raw -parametria Get-MpPerformanceReport. Lisätietoja on seuraavissa osioissa.

PowerShell-viittaus

Microsoft Defenderin virustentorjunnan suorituskyvyn hienosäätämiseen käytetään kahta uutta PowerShellin cmdlet-komentoa:

• New-MpPerformanceRecording
• Get-MpPerformanceReport

New-MpPerformanceRecording

Seuraavassa osiossa kuvataan uuden PowerShellin cmdlet-komennon New-MpPerformanceRecordingviittaus. Tämä cmdlet kerää Suorituskyvyn tallenteen Microsoft Defenderin virustentorjuntatarkistuksista.

Syntaksi: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Kuvaus: New-MpPerformanceRecording

Cmdlet New-MpPerformanceRecording kerää suorituskyvyn tallenteen Microsoft Defenderin virustentorjuntatarkistuksista. Nämä suorituskyvyn tallenteet sisältävät Microsoft-Antimalware-Engine- ja NT-ydinprosessitapahtumia, ja ne voidaan analysoida keräämisen jälkeen käyttämällä Get-MpPerformanceReport-cmdlet-komentoa .

Tämä New-MpPerformanceRecording cmdlet-komento tarjoaa tietoja ongelmallisista tiedostoista, jotka voivat heikentää Microsoft Defenderin virustentorjuntaohjelman suorituskykyä. Tämä työkalu tarjotaan sellaisenaan, eikä sen tarkoituksena ole antaa ehdotuksia poissulkemisista. Poikkeukset voivat pienentää päätepisteiden suojaustasoa. Mahdolliset poikkeukset on määriteltävä harkiten.

Lisätietoja suorituskyvyn analysoinnista on artikkelissa Suorituskyvyn analysoinnin asiakirjat.

Tärkeää

Tämä cmdlet-komento edellyttää laajennettuja järjestelmänvalvojan oikeuksia.

Esimerkkejä: New-MpPerformanceRecording

Esimerkki 1: Kerää suorituskyvyn tallenne ja tallenna se

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

Komento kerää suorituskyvyn tallenteen ja tallentaa sen määritettyyn polkuun: .\Defender-scans.etl.

Esimerkki 2: Suorituskyvyn tallennuksen kerääminen PowerShell-etäistuntoa varten

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

Komento kerää suoritustallenteen parametri-istunnon Server02 argumentin $s mukaisesti ja tallentaa sen määritettyyn polkuun: C:\LocalPathOnServer02\trace.etl kohteessa Server02.

Parametrit: New-MpPerformanceRecording

-Tietue:

Määrittää sijainnin, johon Microsoft Defenderin haittaohjelmien torjuntaohjelman suorituskyvyn tallennus tallennetaan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Istunto

Määrittää objektin PSSession , johon Microsoft Defenderin virustentorjuntaohjelman suorituskyvyn tallenne luodaan ja tallennetaan. Kun käytät tätä komentoa RecordTo , parametri viittaa etäkoneen paikalliseen polkuun. Käytettävissä Defender-ympäristön versiossa 4.18.2201.10 ja uudemmissa versioissa.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

Seuraavassa osiossa kuvataan PowerShellin cmdlet-komento Get-MpPerformanceReport . Analysoi ja raportoi Microsoft Defenderin virustentorjunnan suorituskyvyn tallennuksesta.

Syntaksi: Get-MpPerformanceReport

    Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile 
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath 
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>] 
    [-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>] 
    [-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>] 
    [-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>] 
    [-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>] 
    [-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>] 
    [-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>] 
    [-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>] 
    [-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw] 
    [<CommonParameters>]

Kuvaus: Get-MpPerformanceReport

Cmdlet Get-MpPerformanceReport analysoi aiemmin kerätyn Microsoft Defenderin virustentorjunnan suorituskyvyn tallenteen (New-MpPerformanceRecording) ja raportoi tiedostopolut, tiedostotunnisteet ja prosessit, jotka aiheuttavat suurimman vaikutuksen Microsoft Defenderin virustentorjuntatarkistukseen.

Suorituskyvyn analysointi tarjoaa tietoja ongelmallisista tiedostoista, jotka voivat heikentää Microsoft Defenderin virustentorjuntaohjelman suorituskykyä. Tämä työkalu tarjotaan sellaisenaan, eikä sen tarkoituksena ole antaa ehdotuksia poissulkemisista. Poikkeukset voivat pienentää päätepisteiden suojaustasoa. Mahdolliset poikkeukset on määriteltävä harkiten.

Lisätietoja suorituskyvyn analysoinnista on artikkelissa Suorituskyvyn analysoinnin asiakirjat.

Tuetut käyttöjärjestelmäversiot:

Windows 10 ja uudemmat versiot.

Huomautus

Tämä ominaisuus on käytettävissä alustaversiosta 4.18.2108.X ja uudempaa versiosta alkaen.

Esimerkkejä: Get-MpPerformanceReport

Esimerkki 1: Yksittäinen kysely

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

Esimerkki 2: Useita kyselyitä

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

Esimerkki 3: Sisäkkäiset kyselyt

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

Esimerkki 4: -MinDuration-parametrin käyttäminen

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

Esimerkki 5: -Raw-parametrin käyttäminen

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

-komennon käyttäminen -Raw määrittää, että tulosteen tulee olla koneluettava ja helposti muunnettavissa sarjoitusmuotoihin, kuten JSON.

Parametrit: Get-MpPerformanceReport

-TopPaths

Pyytää ylimmän polun raporttia ja määrittää, kuinka monta ylintä tulostettavaa polkua on lajiteltu keston mukaan. Koostaa tarkistukset niiden polun ja hakemiston perusteella. Käyttäjä voi määrittää, kuinka monta hakemistoa näytetään kullakin tasolla ja valinnan syvyyden.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

Määrittää rekursiivisen syvyyden, jota käytetään koostetun polun tulosten ryhmittelyyn ja näyttämiseen. Esimerkiksi C:\ vastaa syvyys 1 ja C:\Users\Foo vastaa syvyys 3.

Tämä merkintä voidaan liittää kaikkiin muihin ylimmän polun asetuksiin. Jos tämä puuttuu, oletuksena on oletusarvo 3. Arvo ei voi olla 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

lippu	määritelmä
-TopScansPerPath	Määrittää, kuinka monta ylintä polkua varten määritettävä ylin tarkistus on määritettävä.
-TopFilesPerPath	Määrittää, kuinka monta ylintä polkua varten määritettävää ylintä tiedostoa on.
-TopScansPerFilePerPath	Määrittää, kuinka monta ylintä tarkistusta kunkin ylimmän polun ylimmälle tiedostolle tulostetaan keston mukaan lajiteltuna
-TopExtensionsPerPath	Määrittää, kuinka monta yläpolkua ylintä laajennusta tulostettavaksi
-TopScansPerExtensionPerPath	Määrittää, kuinka monta ylintä tarkistusta kunkin yläpolun ylintä laajennusta kohden tulostetaan
-TopProcessesPerPath	Määrittää, kuinka monta ylintä prosessia kutakin ylintä polkua kohden tulostettavana on
-TopScansPerProcessPerPath	Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle prosessille kullekin ylimmälle polulle
-TopPathsPerExtension	Määrittää, kuinka monta ylintä polkua kutakin ylälaajennusta kohden tulostetaan
-TopScansPerPathPerExtension	Määrittää, kuinka monta ylintä tarkistusta kunkin ylätunnisteen ylimmälle polulle tulostettavaksi tulee
-TopPathsPerProcess	Määrittää, kuinka monta ylintä polkua kutakin ylintä prosessia varten tulostetaan
-TopScansPerPathPerProcess	Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle polulle kullekin ylimmälle prosessille

-MinDuration

Määrittää raporttiin sisältyvien tiedostojen, laajennusten ja prosessien tarkistuksen vähimmäiskeston tai tarkistuksen kokonaiskeston. hyväksyy arvot, kuten 0.1234567sec, 0.1234ms, 0.1ustai kelvollisen TimeSpan-arvon.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Polku

Määrittää yhden tai useamman sijainnin polun tai polut.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Raaka

Määrittää, että suorituskyvyn tallennuksen tuloksen on oltava koneellisesti luettavissa ja helposti muunnettavissa Sarjoitusmuotoihin, kuten JSON (esimerkiksi Muunna JSON-komennolla). Tätä määritystä suositellaan käyttäjille, jotka ovat kiinnostuneita eräkäsittelystä muiden tietojenkäsittelyjärjestelmien kanssa.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensions

Määrittää, kuinka monta ylintä laajennusta tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Määrittää, kuinka monta ylintä laajennusta näytetään kullekin ylimmälle prosessille keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Ylätiedostot

Pyytää ylimmät tiedostot -raporttia ja määrittää, kuinka monta ylintä tiedostoa tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Määrittää, kuinka monta ylintä tiedostoa näytetään kullekin ylimmälle laajennukselle keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Määrittää, kuinka monta ylintä tiedostoa näytetään kullekin ylimmälle prosessille keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Ylimmätprosessit

Pyytää ylimpien prosessien raporttia ja määrittää, kuinka monta ylintä prosessia tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Määrittää, kuinka monta ylintä laajennusta varten tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Määrittää, kuinka monta ylintä prosessia kullekin ylimmälle tiedostolle tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Pyytää ylintä tarkistusta -raporttia ja määrittää, kuinka monta ylintä tarkistusta tulostetaan keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle laajennukselle keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle laajennukselle keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle tiedostolle keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin ylimmälle tiedostolle kunkin ylätunnisteen osalta keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Määrittää, kuinka monta ylintä tulosta tarkastetaan kullekin ylimmälle tiedostolle kullekin ylimmälle prosessille keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Määrittää, kuinka monta ylintä tarkistusta näytetään kullekin Ylimmät prosessit -raportin ylimmälle prosessille keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Määrittää, kuinka monta ylintä tarkistusta kunkin ylälaajennuksen tulosteille on valittu keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Määrittää, kuinka monta ylintä tarkistusta kunkin ylimmän prosessin tulosteille on valittu keston mukaan lajiteltuna.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.