Partage via

Résoudre les problèmes de performances de l’antivirus Microsoft Defender avec Process Monitor

  • Article

Conseil

Tout d’abord, passez en revue les raisons courantes des problèmes de performances, tels que l’utilisation élevée du processeur. Consultez Résoudre les problèmes de performances liés à Microsoft Defender protection en temps réel (rtp) ou aux analyses (planifiées ou à la demande). Ensuite, exécutez **Microsoft Defender Antivirus Analyseur de performances**Cet outil vous aidera à identifier la cause de l’utilisation élevée du processeur dans Microsoft Defender Antivirus, qu’il s’agisse de l’exécutable du service anti-programme malveillant, de l’antivirus Microsoft Defender ou MsMpEng.exe. Si le Analyseur de performances antivirus Microsoft Defender n’identifie pas la cause racine de l’utilisation élevée du processeur, exécutez le Moniteur du processeur. Le dernier outil de votre kit de ressources à exécuter est l’interface utilisateur de l’enregistreur de performances Windows (WPRUI) ou l’enregistrement des performances Windows (ligne de commande WPR).

Capturer les journaux de processus à l’aide de Process Monitor

Process Monitor (ProcMon) est un outil de supervision avancé qui fournit des données en temps réel sur les processus. Il peut être utilisé pour capturer les problèmes de performances, tels que l’utilisation élevée du processeur, et pour surveiller les scénarios de compatibilité des applications au fur et à mesure qu’ils se produisent.

Il existe deux façons de capturer une trace Process Monitor (ProcMon) :

  1. Utilisation de l’analyseur de client MDE

  2. Manuellement

Utilisation de l’analyseur de client MDE

  1. Téléchargez l’analyseur client MDE.

  2. Exécutez l’analyseur client MDE à l’aide de Live Response ou localement.

    Conseil

    Avant de commencer la trace, assurez-vous que le problème est reproductible. En outre, fermez toutes les applications qui ne contribuent pas à la reproduction du problème.

  3. Exécuter l’analyseur client MDE avec les commutateurs -c et -v

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Manuellement

  1. Téléchargez Process Monitor v3.89 dans un dossier comme C:\temp.

  2. Pour supprimer la marque du fichier du web :

    1. Cliquez avec le bouton droit sur ProcessMonitor.zip , puis sélectionnez Propriétés.

    2. Sous l’onglet Général , recherchez Sécurité.

    3. Cochez la case en regard de Débloquer.

    4. Sélectionnez Appliquer.

      Capture d’écran montrant la page Supprimer MOTW.

  3. Décompressez le fichier dans C:\temp afin que le chemin d’accès au dossier soit C:\temp\ProcessMonitor.

  4. Copiez ProcMon.exe sur le client Windows ou le serveur Windows que vous résolvez.

    Conseil

    Avant d’exécuter ProcMon, assurez-vous que toutes les autres applications non liées au problème d’utilisation élevée du processeur sont fermées. Cette étape permet de réduire le nombre de processus à case activée.

  5. Vous pouvez lancer ProcMon de deux manières.

    1. Cliquez avec le bouton droit sur ProcMon.exe et sélectionnez Exécuter en tant qu’administrateur.

    • Étant donné que la journalisation démarre automatiquement, arrêtez la capture en sélectionnant l’icône en loupe ou en appuyant sur Ctrl+E.

      Capture d’écran montrant l’icône de loupe.

    1. Pour confirmer que la capture s’est arrêtée, recherchez un X rouge sur l’icône de loupe.

      Capture d’écran montrant une barre oblique rouge. Capture d’écran montrant l’icône effacer.

    2. Exécutez la ligne de commande en tant qu’administrateur, puis à partir du chemin d’accès du moniteur de processus, exécutez :

      Capture d’écran montrant le processus cmd.

    Conseil

    Faites en sorte que la fenêtre ProcMon soit aussi petite que possible lors de la capture des données afin de pouvoir facilement démarrer et arrêter la trace. Capture d’écran montrant la page avec Procmon réduit.

  6. Une fois l’étape 6 terminée, définissez les filtres en sélectionnant OK. Vous pouvez filtrer les résultats une fois la capture terminée.

    Capture d’écran montrant la page dans laquelle l’exclusion système est choisie comme nom du processus de filtrage.

  7. Pour démarrer la capture, sélectionnez à nouveau l’icône de loupe.

  8. Reproduisez le problème.

    Conseil

    Attendez que le problème soit reproduit, puis notez l’horodatage au début de la trace.

  9. Après avoir capturé deux à quatre minutes d’activité de processus pendant une utilisation élevée du processeur, arrêtez la capture en cliquant sur l’icône de loupe.

  10. Pour enregistrer la capture avec un nom unique au .pml format, accédez à Fichier, puis cliquez sur Enregistrer.... Veillez à sélectionner les cases d’option Tous les événements et Le format PML (Native Process Monitor Format).

    Capture d’écran montrant la page des paramètres d’enregistrement.

  11. Pour un meilleur suivi, modifiez le chemin d’accès par défaut de C:\temp\ProcessMonitor\LogFile.PML à l’emplacement C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML suivant :

  • %ComputerName% est le nom de l’appareil
  • MMDDYEAR est le mois, le jour et l’année
  • Repro_of_issue est le nom du problème que vous essayez de reproduire

Conseil

Si vous avez un système opérationnel, vous pouvez obtenir un exemple de journal à comparer.

  1. Compressez le .pml fichier et envoyez-le à Support Microsoft.