Partager via

Résoudre les problèmes de performances de l’antivirus Microsoft Defender avec Process Monitor

  • Article

Conseil

Tout d’abord, passez en revue les raisons courantes des problèmes de performances, tels que l’utilisation élevée du processeur. Consultez Résoudre les problèmes de performances liés à Microsoft Defender protection en temps réel (rtp) ou aux analyses (planifiées ou à la demande). Ensuite, exécutez le Analyseur de performances antivirus Microsoft Defender. Cet outil permet d’identifier la cause de l’utilisation élevée du processeur dans Microsoft Defender Antivirus, qu’il s’agisse de l’exécutable du service anti-programme malveillant, du service antivirus Microsoft Defender ou MsMpEng.exe. Si le Analyseur de performances antivirus Microsoft Defender n’identifie pas la cause racine de l’utilisation élevée du processeur, exécutez le Moniteur du processeur. Le dernier outil de votre kit de ressources à exécuter est l’interface utilisateur de l’enregistreur de performances Windows (WPRUI) ou l’enregistrement des performances Windows (ligne de commande WPR).

Capturer les journaux de processus à l’aide de Process Monitor

Process Monitor (ProcMon) est un outil de supervision avancé qui fournit des données en temps réel sur les processus. Il peut être utilisé pour capturer les problèmes de performances, tels que l’utilisation élevée du processeur, et pour surveiller les scénarios de compatibilité des applications au fur et à mesure qu’ils se produisent.

Vous pouvez capturer une trace Process Monitor (ProcMon) à l’aide de l’analyseur client MDE ou d’un processus manuel.

Utilisation de l’analyseur de client MDE

  1. Téléchargez l’analyseur client MDE.

  2. Exécutez l’analyseur client MDE à l’aide de Live Response ou localement.

    Conseil

    Avant de commencer la trace, assurez-vous que le problème est reproductible. En outre, fermez toutes les applications qui ne contribuent pas à la reproduction du problème.

  3. Exécutez l’analyseur client MDE avec les -c commutateurs et -v :

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Processus manuel

  1. Téléchargez Process Monitor v4.01 dans un dossier comme C:\temp.

  2. Pour supprimer la marque du fichier du web :

    1. Cliquez avec le bouton droit sur ProcessMonitor.zip , puis sélectionnez Propriétés.

    2. Sous l’onglet Général , recherchez Sécurité.

    3. Cochez la case en regard de Débloquer.

    4. Sélectionnez Appliquer.

    Capture d’écran montrant comment supprimer « Mark Of The Web » du fichier ProcessMonitor.zip.

  3. Décompressez le fichier dans C:\temp afin que le chemin d’accès au dossier soit C:\temp\ProcessMonitor.

  4. Copiez Procmon.exe sur le client Windows ou le serveur Windows que vous résolvez.

    Conseil

    Avant d’exécuter ProcMon, assurez-vous que toutes les autres applications non liées au problème d’utilisation élevée du processeur sont fermées. Cette étape permet de réduire le nombre de processus à case activée.

  5. Vous pouvez lancer ProcMon de deux manières : à l’aide de Procmon.exe ou de la ligne de commande.

    • Pour utiliser Procmon.exe, téléchargez-le et ouvrez-le en tant qu’administrateur.

      1. S’il s’agit de votre première utilisation de ProcMon, cliquez sur Accepter pour accepter le contrat de licence Process Monitor.

        Capture d’écran montrant le contrat de licence Process Monitor.

      2. Étant donné que la journalisation démarre automatiquement, arrêtez la capture en sélectionnant le bouton Capturer ou en appuyant sur Ctrl+E.

        Capture d’écran montrant le bouton permettant d’arrêter la capture ProcMon.

      3. Pour confirmer l’arrêt de la capture, recherchez une icône de pause sur le bouton Capturer , puis supprimez les entrées journalisées en sélectionnant le bouton Effacer ou en appuyant sur Ctrl+X.

        Capture d’écran montrant le bouton permettant de démarrer la capture ProcMon.

        Capture d’écran montrant le bouton permettant d’effacer les entrées ProcMon.

    • Pour utiliser la ligne de commande, ouvrez l’invite de commandes en tant qu’administrateur. Exécutez ensuite la commande suivante :

      Capture d’écran montrant une fenêtre d’invite de commandes avec élévation de privilèges pour exécuter Procmon.exe.

    Conseil

    Réduisez la taille de la fenêtre ProcMon lors de la capture de données afin de pouvoir facilement démarrer et arrêter la traceCapture d’écran montrant le bureau avec Procmon réduit.

  6. Définissez des filtres en sélectionnant l’icône Filtre . Standard filtres sont définis par défaut. Vous pouvez également filtrer les résultats une fois la capture terminée. Si vous avez appliqué des filtres, cliquez sur Appliquer , puis sur OK.

    Capture d’écran montrant comment ouvrir la fenêtre Filtrer.

    Capture d’écran montrant la fenêtre Filtrer.

  7. Pour démarrer la capture, sélectionnez à nouveau le bouton Capturer .

  8. Reproduisez le problème.

    Conseil

    Attendez que le problème soit reproduit, puis notez l’horodatage au début de la trace.

  9. Après avoir capturé deux à quatre minutes d’activité de processus pendant une utilisation élevée du processeur, arrêtez la capture en cliquant sur le bouton Capturer .

  10. Pour enregistrer la capture avec un nom unique au .pml format, accédez à Fichier, puis cliquez sur Enregistrer.... Veillez à sélectionner les cases d’option Tous les événements et Le format PML (Native Process Monitor Format).

    Capture d’écran montrant la page des paramètres d’enregistrement.

  11. Pour un meilleur suivi, modifiez le chemin d’accès par défaut de C:\temp\ProcessMonitor\LogFile.PML à l’emplacement C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML suivant :

  • %ComputerName% est le nom de l’appareil
  • MMDDYEAR est le mois, le jour et l’année
  • Repro_of_issue est le nom du problème que vous essayez de reproduire

Conseil

Si vous avez un système opérationnel, vous pouvez obtenir un exemple de journal à comparer.

  1. Compressez le .pml fichier et envoyez-le à Support Microsoft.