Partager via


Résoudre les problèmes de performances liés à la protection en temps réel

S’applique à :

Plateformes

  • Windows

Si votre système rencontre des problèmes d’utilisation élevée du processeur ou de performances liés au service de protection en temps réel dans Microsoft Defender pour point de terminaison, vous pouvez envoyer un ticket au support Microsoft. Suivez les étapes décrites dans Collecter les données de diagnostic de l’antivirus Microsoft Defender.

En tant qu’administrateur, vous pouvez également résoudre ces problèmes par vous-même.

Tout d’abord, vous pouvez case activée si le problème est dû à d’autres logiciels. Consultez Vérifier auprès du fournisseur les problèmes connus liés aux exclusions d’antivirus.

Sinon, vous pouvez identifier les logiciels associés au problème de performances identifié en suivant les étapes décrites dans Analyser le journal de protection Microsoft.

Vous pouvez également fournir d’autres journaux à votre soumission au support Microsoft en suivant les étapes décrites dans :

Pour connaître les problèmes spécifiques aux performances liés à Microsoft Defender Antivirus, consultez Analyseur de performances pour Microsoft Defender Antivirus.

Vérifier auprès du fournisseur les problèmes connus liés aux produits antivirus

Si vous pouvez facilement identifier le logiciel qui affecte les performances du système, accédez au base de connaissances ou au centre de support technique du fournisseur de logiciels. Vérifiez s’il existe des problèmes connus avec les produits antivirus. Si nécessaire, vous pouvez ouvrir un ticket de support avec eux et leur demander d’en publier un.

Nous recommandons aux éditeurs de logiciels de suivre les différentes instructions de la section Partenariat avec le secteur pour réduire au minimum les faux positifs. Le fournisseur peut soumettre son logiciel via le portail Renseignement de sécurité Microsoft.

Analyser le journal de protection Microsoft

Vous trouverez le fichier journal de protection Microsoft dans C :\ProgramData\Microsoft\Windows Defender\Support.

Dans MPLog-xxxxxxxx-xxxxxx.log, vous trouverez les informations d’impact estimé sur les performances des logiciels en cours d’exécution sous la forme EstimatedImpact :

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

Nom du champ Description
ProcessImageName Nom de l’image de processus
TotalTime Durée cumulée en millisecondes passées dans les analyses des fichiers auxquels ce processus accède
Count Nombre de fichiers analysés auxquels ce processus a accédé
MaxTime Durée en millisecondes de l’analyse unique la plus longue d’un fichier accessible par ce processus
MaxTimeFile Chemin du fichier accessible par ce processus pour lequel l’analyse la plus longue de MaxTime la durée a été enregistrée
EstimatedImpact Pourcentage de temps passé dans l’analyse des fichiers auxquels ce processus a accédé en dehors de la période pendant laquelle ce processus a connu l’activité d’analyse

Si l’impact sur les performances est élevé, essayez d’ajouter le processus aux exclusions de chemin/processus en suivant les étapes décrites dans Configurer et valider les exclusions pour les analyses antivirus Microsoft Defender.

Si l’étape précédente ne résout pas le problème, vous pouvez collecter plus d’informations via l’Analyseur de processus ou l’Enregistreur de performances Windows dans les sections suivantes.

Capturer les journaux de processus à l’aide de Process Monitor

Process Monitor (ProcMon) est un outil de supervision avancé qui peut afficher les processus en temps réel. Vous pouvez utiliser cet outil pour capturer le problème de performances tel qu’il se produit.

  1. Téléchargez Process Monitor v3.89 dans un dossier comme C:\temp.

  2. Pour supprimer la marque du fichier du web :

    1. Cliquez avec le bouton droit sur ProcessMonitor.zip , puis sélectionnez Propriétés.

    2. Sous l’onglet Général , recherchez Sécurité.

    3. Cochez la case en regard de Débloquer.

    4. Sélectionnez Appliquer.

    Capture d’écran montrant la page Supprimer MOTW.

  3. Décompressez le fichier dans C:\temp afin que le chemin d’accès au dossier soit C:\temp\ProcessMonitor.

  4. Copiez ProcMon.exe sur le client Windows ou le serveur Windows que vous résolvez.

  5. Avant d’exécuter ProcMon, assurez-vous que toutes les autres applications non liées au problème d’utilisation élevée du processeur sont fermées. Cette étape permet de réduire le nombre de processus à case activée.

  6. Vous pouvez lancer ProcMon de deux manières.

    1. Cliquez avec le bouton droit sur ProcMon.exe et sélectionnez Exécuter en tant qu’administrateur.

      Étant donné que la journalisation démarre automatiquement, sélectionnez l’icône en forme de loupe pour arrêter la capture actuelle ou utilisez le raccourci clavier Ctrl+E.

      Capture d’écran montrant l’icône de loupe.

      Pour vérifier que vous avez arrêté la capture, case activée si l’icône de loupe s’affiche maintenant avec un X rouge.

      Capture d’écran montrant une barre oblique rouge.

      Ensuite, pour effacer la capture précédente, sélectionnez l’icône gomme.

      Capture d’écran montrant l’icône effacer

      Vous pouvez également utiliser le raccourci clavier Ctrl+X.

    2. La deuxième méthode consiste à exécuter la ligne de commande en tant qu’administrateur, puis à partir du chemin d’accès du moniteur de processus, exécutez :

      Capture d’écran montrant le processus cmd.

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Conseil

      Faites en sorte que la fenêtre ProcMon soit aussi petite que possible lors de la capture des données afin de pouvoir facilement démarrer et arrêter la trace.

      Capture d’écran montrant la page avec Procmon réduit.

  7. Après avoir suivi l’une des procédures de l’étape 6, vous verrez ensuite une option pour définir des filtres. Sélectionnez OK. Vous pouvez toujours filtrer les résultats une fois la capture terminée.

    Capture d’écran montrant la page dans laquelle l’exclusion système est choisie comme nom du processus de filtrage.

  8. Pour démarrer la capture, sélectionnez à nouveau l’icône de loupe.

  9. Reproduisez le problème.

    Conseil

    Attendez que le problème soit entièrement reproduit, puis notez l’horodatage au démarrage de la trace.

  10. Une fois que vous avez deux à quatre minutes d’activité de processus pendant la condition d’utilisation élevée du processeur, arrêtez la capture en sélectionnant l’icône de loupe.

  11. Pour enregistrer la capture avec un nom unique et avec le .pml format, sélectionnez Fichier, puis Enregistrer. Veillez à sélectionner les cases d’option Tous les événements et Le format PML (Native Process Monitor Format).

    Capture d’écran montrant la page enregistrer les paramètres

  12. Pour un meilleur suivi, modifiez le chemin d’accès par défaut de C:\temp\ProcessMonitor\LogFile.PML à l’emplacement C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML suivant :

    • %ComputerName% est le nom de l’appareil
    • MMDDYEAR est le mois, le jour et l’année
    • Repro_of_issue est le nom du problème que vous essayez de reproduire

    Conseil

    Si vous avez un système opérationnel, vous pouvez obtenir un exemple de journal à comparer.

  13. Compressez le .pml fichier et envoyez-le au support Microsoft.

Capturer les journaux de performances à l’aide de l’Enregistreur de performances Windows

Vous pouvez utiliser l’Enregistreur de performances Windows (WPR) pour inclure des informations supplémentaires dans votre soumission au support Microsoft. WPR est un outil d’enregistrement puissant qui crée le suivi d’événements pour les enregistrements Windows.

WPR fait partie du Kit de déploiement et d’évaluation Windows (Windows ADK) et peut être téléchargé à partir du téléchargement et de l’installation de Windows ADK. Vous pouvez également le télécharger dans le cadre du Kit de développement logiciel Windows 10 sur Windows 10 SDK.

Vous pouvez utiliser l’interface utilisateur WPR en suivant les étapes décrites dans Capturer les journaux de performances à l’aide de l’interface utilisateur WPR.

Vous pouvez également utiliser l’outil en ligne de commande wpr.exe, qui est disponible dans Windows 8 et versions ultérieures en suivant les étapes décrites dans Capturer les journaux de performances à l’aide de l’interface CLI WPR.

Capturer les journaux de performances à l’aide de l’interface utilisateur WPR

Conseil

Si plusieurs appareils rencontrent ce problème, utilisez celui qui a le plus de RAM.

  1. Téléchargez et installez WPR.

  2. Sous Kits Windows, cliquez avec le bouton droit sur Enregistreur de performances Windows.

    Capture d’écran montrant le menu Démarrer

    Sélectionnez Plus. Sélectionnez Exécuter en tant qu’administrateur.

  3. Lorsque la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, sélectionnez Oui.

    Capture d’écran montrant la page UAC.

  4. Ensuite, téléchargez le profil d’analyse Microsoft Defender pour point de terminaison et enregistrez-le dans MDAV.wprp un dossier comme C:\temp.

  5. Dans la boîte de dialogue WPR, sélectionnez Autres options.

    Capture d’écran montrant la page dans laquelle vous pouvez sélectionner d’autres options

  6. Sélectionnez Ajouter des profils... et accédez au chemin d’accès du MDAV.wprp fichier.

  7. Après cela, vous devriez voir un nouveau profil défini sous Mesures personnalisées nommé Microsoft Defender pour point de terminaison’analyse en dessous.

    Capture d’écran montrant le fichier.

    Avertissement

    Si votre Windows Server dispose de 64 Go de RAM ou plus, utilisez la mesure Microsoft Defender for Endpoint analysis for large servers personnalisée au lieu de Microsoft Defender for Endpoint analysis. Sinon, votre système peut consommer une grande quantité de mémoire ou de mémoire tampons de pool non paginées, ce qui peut entraîner une instabilité du système. Vous pouvez choisir les profils à ajouter en développant Analyse des ressources. Ce profil personnalisé fournit le contexte nécessaire pour une analyse approfondie des performances.

  8. Pour utiliser la mesure personnalisée Microsoft Defender pour point de terminaison profil d’analyse détaillé dans l’interface utilisateur WPR :

    1. Vérifiez qu’aucun profil n’est sélectionné sous les groupes Triage de premier niveau, Analyse des ressources et Analyse du scénario .

    2. Sélectionnez Mesures personnalisées.

    3. Sélectionnez Microsoft Defender pour point de terminaison’analyse.

    4. Sélectionnez Verbose sous Niveau de détail .

    5. Sélectionnez Fichier ou Mémoire sous Mode de journalisation.

    Importante

    Vous devez sélectionner Fichier pour utiliser le mode de journalisation des fichiers si le problème de performances peut être reproduit directement par l’utilisateur. La plupart des problèmes relèvent de cette catégorie. Toutefois, si l’utilisateur ne peut pas reproduire directement le problème, mais peut facilement le remarquer une fois le problème survenu, l’utilisateur doit sélectionner Mémoire pour utiliser le mode de journalisation de la mémoire. Cela garantit que le journal de trace ne gonflera pas excessivement en raison de la durée d’exécution longue.

  9. Vous êtes maintenant prêt à collecter des données. Quittez toutes les applications qui ne sont pas pertinentes pour reproduire le problème de performances. Vous pouvez sélectionner Les options Masquer pour que l’espace occupé par la fenêtre WPR reste petit.

    Capture d’écran montrant les options Masquer.

    Conseil

    Essayez de démarrer la trace en nombre entier de secondes. Par instance, 01:30:00. Cela facilite l’analyse des données. Essayez également de suivre l’horodatage exactement quand le problème est reproduit.

  10. Sélectionnez Démarrer.

Capture d’écran montrant la page d’informations sur le système d’enregistrement.

  1. Reproduisez le problème.

Conseil

Conservez la collecte de données au plus cinq minutes. Deux à trois minutes est une bonne plage, car beaucoup de données sont collectées.

  1. Sélectionnez Enregistrer.

Capture d’écran montrant l’option Enregistrer.

  1. Renseignez le type dans une description détaillée du problème : avec des informations sur le problème et la façon dont vous avez reproduit le problème.

Capture d’écran montrant le volet dans lequel vous remplissez.

  1. Sélectionnez Nom de fichier : pour déterminer l’emplacement d’enregistrement de votre fichier de trace. Par défaut, il est enregistré dans %user%\Documents\WPR Files\.

  2. Sélectionnez Enregistrer.

  3. Patientez pendant la fusion de la trace.

Capture d’écran montrant la trace générale de collecte wpr.

  1. Une fois la trace enregistrée, sélectionnez Ouvrir le dossier.

Capture d’écran montrant la notification indiquant que la trace WPR a été enregistrée.

Incluez le fichier et le dossier dans votre soumission à Support Microsoft.

Capture d’écran montrant les détails du fichier et du dossier.

Capturer les journaux de performances à l’aide de l’interface CLI WPR

L’outil en ligne de commandewpr.exefait partie du système d’exploitation à partir de Windows 8. Pour collecter une trace WPR à l’aide de l’outil en ligne de commande wpr.exe :

  1. Téléchargez Microsoft Defender pour point de terminaison profil d’analyse pour les traces de performances dans un fichier nommé MDAV.wprp dans un répertoire local tel que C:\traces.

  2. Cliquez avec le bouton droit sur l’icône Menu Démarrer et sélectionnez Windows PowerShell (Administration) ou Invite de commandes (Administration) pour ouvrir une fenêtre d’invite de commandes Administration.

  3. Lorsque la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, sélectionnez Oui.

  4. À l’invite avec élévation de privilèges, exécutez la commande suivante pour démarrer une trace de performances Microsoft Defender pour point de terminaison :

    
    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    
    

    Avertissement

    Si votre Windows Server dispose de 64 Go ou de RAM ou plus, utilisez des profils WDForLargeServers.Light et WDForLargeServers.Verbose au lieu de profils WD.Light et WD.Verbose, respectivement. Sinon, votre système peut consommer une grande quantité de mémoire ou de mémoire tampons de pool non paginées, ce qui peut entraîner une instabilité du système.

  5. Reproduisez le problème.

    Conseil

    Ne conservez pas la collecte de données au-dessus de cinq minutes. Selon le scénario, deux à trois minutes sont une bonne plage, car beaucoup de données sont collectées.

  6. À l’invite avec élévation de privilèges, exécutez la commande suivante pour arrêter la trace des performances, en veillant à fournir des informations sur le problème et la façon dont vous avez reproduit le problème :

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. Attendez que la trace soit fusionnée.

  8. Incluez le fichier et le dossier dans votre soumission au support Microsoft.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.