Partager via

Résoudre les problèmes de performances de l’antivirus Microsoft Defender avec WPRUI

  • Article

Conseil

Tout d’abord, passez en revue les raisons courantes des problèmes de performances tels que l’utilisation élevée du processeur dans Résoudre les problèmes de performances liés à Microsoft Defender protection en temps réel (RTP) antivirus ou aux analyses (planifiées ou à la demande). Ensuite, exécutez le Analyseur de performances antivirus Microsoft Defender pour analyser la cause de l’utilisation élevée du processeur dans Microsoft Defender Antivirus (exécutable du service anti-programme malveillant, service antivirus Microsoft Defender ou MsMpEng.exe). Si le Analyseur de performances antivirus Microsoft Defender n’identifie pas la cause racine de l’utilisation élevée du processeur, exécutez Processor Monitor pour affiner ou déterminer la cause racine de l’utilisation élevée du processeur dans Microsoft Defender Antivirus. Le dernier outil de votre kit de ressources consiste à exécuter l’interface utilisateur de l’enregistreur de performances Windows (WPRUI) ou l’enregistreur de performances Windows (ligne de commande WPR) comme indiqué dans cet article.

Capturer les journaux de performances à l’aide de l’Enregistreur de performances Windows

Windows Performance Recorder (WPR) est un outil d’enregistrement puissant qui crée le suivi d’événements pour les enregistrements Windows et vous permet d’inclure des informations supplémentaires dans votre soumission au support Microsoft.

WPR fait partie du Kit de déploiement et d’évaluation Windows (Windows ADK) et peut être téléchargé à partir du téléchargement et de l’installation de Windows ADK. Vous pouvez également le télécharger dans le cadre du Kit de développement logiciel Windows 10 sur Windows 10 SDK.

Vous pouvez également suivre les étapes décrites dans Capturer les journaux de performances à l’aide de l’interface utilisateur WPR ou utiliser l’outil en ligne de commande wpr.exeCapturer les journaux de performances à l’aide de l’interface CLI WPR. Les deux sont disponibles dans Windows 8 et versions ultérieures.

Il existe deux façons de capturer la trace WPRUI (Windows Performance Recorder) :

  1. Utilisation de l’analyseur de client MDE

  2. Manuellement

Utilisation de l’analyseur de client MDE

  1. Téléchargez l’analyseur client MDE.

  2. Exécutez l’analyseur client MDE à l’aide de Live Response ou localement.

    Conseil

    Avant de commencer la trace, assurez-vous que le problème est reproductible. En outre, fermez toutes les applications qui ne contribuent pas à la reproduction du problème.

  3. Exécutez l’analyseur client MDE avec les -a commutateurs et -v .

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

Manuellement

Capturer les journaux de performances à l’aide de l’interface utilisateur WPR

Conseil

Si plusieurs appareils rencontrent ce problème, utilisez celui qui a le plus de RAM.

  1. Téléchargez et installez WPR.

  2. Sous Kits Windows, cliquez avec le bouton droit sur Enregistreur de performances Windows.

    Capture d’écran montrant le menu Démarrer

  3. Sélectionnez Plus. Sélectionnez Exécuter en tant qu’administrateur.

  4. Cliquez avec le bouton droit sur Oui lorsque la boîte de dialogue Contrôle de compte d’utilisateur s’affiche.

    Capture d’écran montrant la page UAC.

  5. Ensuite, téléchargez le profil d’analyse Microsoft Defender pour point de terminaison et enregistrez-le dans MDAV.wprp un dossier tel que C:\temp.

  6. Dans la boîte de dialogue WPR, sélectionnez Autres options.

    Capture d’écran montrant la page dans laquelle vous pouvez sélectionner d’autres options

  7. Sélectionnez Ajouter des profils... et accédez au chemin d’accès du MDAV.wprp fichier.

  8. Un nouveau profil nommé analyse Microsoft Defender pour point de terminaison doit apparaître sous Mesures personnalisées.

    Capture d’écran montrant le fichier.

    Avertissement

    Si votre Windows Server a 64 Go de RAM ou plus, utilisez la mesure Microsoft Defender for Endpoint analysis for large servers personnalisée au lieu de Microsoft Defender for Endpoint analysis. Dans le cas contraire, votre système peut consommer une grande quantité de mémoire ou de mémoires tampons de pool non paginés, ce qui entraîne une instabilité du système. Pour résoudre ce problème, explorez Analyse des ressources afin de choisir des profils à ajouter. Ce profil personnalisé fournit le contexte nécessaire pour une analyse approfondie des performances.

  9. Pour utiliser la mesure personnalisée Microsoft Defender pour point de terminaison profil d’analyse détaillé dans l’interface utilisateur WPR :

    1. Vérifiez qu’aucun profil n’est sélectionné sous les groupes Triage de premier niveau, Analyse des ressources et Analyse du scénario .

    2. Sélectionnez Mesures personnalisées.

    3. Sélectionnez Microsoft Defender pour point de terminaison’analyse.

    4. Sélectionnez Verbose sous Niveau de détail .

    5. Sélectionnez Fichier ou Mémoire sous Mode de journalisation.

    Importante

    Sélectionnez Fichier pour utiliser le mode de journalisation des fichiers si vous pouvez reproduire directement le problème de performances. La plupart des problèmes relèvent de cette catégorie. Toutefois, si vous ne pouvez pas reproduire directement le problème, sélectionnez Mémoire pour utiliser le mode de journalisation de la mémoire. Cela empêche le journal de trace de se gonfler excessivement en raison de temps d’exécution longs.

  10. Vous êtes maintenant prêt à collecter des données. Fermez toutes les applications inutiles. Sélectionnez Masquer les options pour que l’espace occupé par la fenêtre WPR reste petit.

    Capture d’écran montrant les options Masquer.

  11. Sélectionnez Démarrer.

    Capture d’écran montrant la page d’informations sur le système d’enregistrement.

  12. Reproduisez le problème.

    Conseil

    Limitez la collecte de données à un maximum de cinq minutes. Dans l’idéal, visez deux à trois minutes, car une quantité importante de données est collectée.

  13. Sélectionnez Enregistrer.

    Capture d’écran montrant l’option Enregistrer.

  14. Renseignez Type dans une description détaillée du problème : avec des informations sur le problème et la façon dont vous l’avez reproduit.

    Capture d’écran montrant le volet dans lequel vous remplissez.

  15. Sélectionnez Nom de fichier : pour déterminer l’emplacement d’enregistrement de votre fichier de trace. Par défaut, il est enregistré dans %user%\Documents\WPR Files\.

  16. Sélectionnez Enregistrer.

    Capture d’écran montrant la trace générale de collecte wpr.

  17. Une fois la trace fusionnée et enregistrée, cliquez avec le bouton droit sur Ouvrir le dossier.

    Capture d’écran montrant la notification indiquant que la trace WPR a été enregistrée.

  18. Incluez le fichier et le dossier dans votre soumission à Support Microsoft.

    Capture d’écran montrant les détails du fichier et du dossier.

Capturer les journaux de performances à l’aide de l’interface CLI WPR

Pour collecter une trace WPR à l’aide de l’outil en ligne de commande wpr.exe :

  1. Téléchargez Microsoft Defender pour point de terminaison profil de trace de performances d’analyse comme MDAV.wprp dans un répertoire local tel que C:\traces.

  2. Cliquez avec le bouton droit sur l’icône Menu Démarrer et sélectionnez Windows PowerShell (Administration) ou Invite de commandes (Administration) pour ouvrir une fenêtre d’invite de commandes Administration.

  3. Sélectionnez Oui dans la boîte de dialogue Contrôle de compte d’utilisateur.

  4. À l’invite de commandes (Administration), exécutez la commande suivante pour démarrer une Microsoft Defender pour point de terminaison suivi des performances :

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Avertissement

    Si votre Windows Server a 64 Go de RAM ou plus, utilisez des profils WDForLargeServers.Light et WDForLargeServers.Verbose au lieu de profils WD.Light et WD.Verbose, respectivement. Sinon, votre système consomme une grande quantité de mémoire ou de mémoires tampons de pool non paginés, ce qui entraîne une instabilité du système.

  5. Reproduisez le problème.

    Conseil

    Limitez la collecte de données à un maximum de cinq minutes. Dans l’idéal, visez deux à trois minutes, car une quantité importante de données est collectée.

  6. À l’invite de commandes (Administration), exécutez la commande suivante pour démarrer une Microsoft Defender pour point de terminaison suivi des performances :

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Attendez que la trace soit fusionnée.

  8. Incluez le fichier et le dossier dans votre soumission à Support Microsoft.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.