Microsoft Defender informazioni di riferimento sul analizzatore prestazioni antivirus

Articolo
11/23/2024

Riferimenti a PowerShell

È possibile usare i nuovi cmdlet di PowerShell seguenti per ottimizzare le prestazioni di Microsoft Defender Antivirus:

New-MpPerformanceRecording
Get-MpPerformanceReport

New-MpPerformanceRecording

Nella sezione seguente viene descritto il riferimento per il nuovo cmdlet New-MpPerformanceRecordingdi PowerShell. Questo cmdlet raccoglie una registrazione delle prestazioni delle analisi antivirus Microsoft Defender.

Sintassi: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Descrizione: New-MpPerformanceRecording

Il New-MpPerformanceRecording cmdlet raccoglie una registrazione delle prestazioni delle analisi antivirus Microsoft Defender. Queste registrazioni delle prestazioni contengono eventi di processo del kernel Microsoft-Antimalware-Engine e NT e possono essere analizzate dopo la raccolta usando il cmdlet Get-MpPerformanceReport .

Questo New-MpPerformanceRecording cmdlet fornisce informazioni dettagliate sui file problematici che potrebbero causare una riduzione delle prestazioni di Microsoft Defender Antivirus. Questo strumento viene fornito così come è e non è progettato per fornire suggerimenti sulle esclusioni. Le esclusioni possono ridurre il livello di protezione negli endpoint. Eventuali esclusioni devono essere definite con cautela.

Per altre informazioni sull'analizzatore delle prestazioni, vedere analizzatore prestazioni documentazione.

Importante

Questo cmdlet richiede privilegi di amministratore con privilegi elevati.

Esempi: New-MpPerformanceRecording

Esempio 1: Raccogliere una registrazione delle prestazioni e salvarla

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

Il comando raccoglie una registrazione delle prestazioni e la salva nel percorso specificato: .\Defender-scans.etl.

Esempio 2: Raccogliere una registrazione delle prestazioni per la sessione remota di PowerShell

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

Il comando raccoglie una registrazione delle prestazioni su Server02 (come specificato dall'argomento $s del parametro Session) e la salva nel percorso specificato: C:\LocalPathOnServer02\trace.etl in Server02.

Parametri: New-MpPerformanceRecording

-RecordTo

Specifica la posizione in cui salvare la registrazione delle prestazioni Microsoft Defender Antimalware.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Sessione

Specifica l'oggetto PSSession in cui creare e salvare la registrazione delle prestazioni Microsoft Defender Antivirus. Quando si usa questo comando, il RecordTo parametro fa riferimento al percorso locale nel computer remoto. Disponibile con la versione della 4.18.2201.10 piattaforma Defender e versioni successive.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

Nella sezione seguente viene descritto il Get-MpPerformanceReport cmdlet di PowerShell. Analizza e segnala la registrazione delle prestazioni di Microsoft Defender Antivirus.

Sintassi: Get-MpPerformanceReport

    Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile 
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath 
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>] 
    [-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>] 
    [-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>] 
    [-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>] 
    [-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>] 
    [-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>] 
    [-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>] 
    [-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>] 
    [-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw] 
    [<CommonParameters>]

Descrizione: Get-MpPerformanceReport

Il Get-MpPerformanceReport cmdlet analizza una registrazione delle prestazioni di Microsoft Defender Antivirus raccolta in precedenza (New-MpPerformanceRecording) e segnala i percorsi dei file, le estensioni di file e i processi che causano il massimo impatto sulle analisi antivirus Microsoft Defender.

L'analizzatore delle prestazioni fornisce informazioni dettagliate sui file problematici che potrebbero causare una riduzione delle prestazioni di Microsoft Defender Antivirus. Questo strumento viene fornito "così come è" e non è progettato per fornire suggerimenti sulle esclusioni. Le esclusioni possono ridurre il livello di protezione negli endpoint. Eventuali esclusioni devono essere definite con cautela.

Per altre informazioni sull'analizzatore delle prestazioni, vedere analizzatore prestazioni documentazione.

Versioni del sistema operativo supportate:

Windows versione 10 e successive.

Nota

Questa funzionalità è disponibile a partire dalla versione della 4.18.2108.X piattaforma e versioni successive.

Esempi: Get-MpPerformanceReport

Esempio 1: Query singola

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

Esempio 2: Più query

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

Esempio 3: Query annidate

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

Esempio 4: Uso del parametro -MinDuration

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

Esempio 5: Uso del parametro -Raw

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

L'uso -Raw di nel comando specifica che l'output deve essere leggibile dal computer e facilmente convertibile in formati di serializzazione come JSON.

Parametri: Get-MpPerformanceReport

-TopPaths

Richiede un report dei percorsi principali e specifica il numero di percorsi principali da restituire, ordinati in base alla durata. Aggrega le analisi in base al percorso e alla directory. L'utente può specificare il numero di directory da visualizzare a ogni livello e la profondità della selezione.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

Specifica la profondità ricorsiva utilizzata per raggruppare e visualizzare i risultati del percorso aggregato. Ad esempio C:\ , corrisponde a una profondità pari a 1 e C:\Users\Foo corrisponde a una profondità pari a 3.

Questo flag può accompagnare tutte le altre opzioni Percorso superiore. Se mancante, viene utilizzato il valore predefinito 3. Il valore non può essere 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

bandiera	definizione
`-TopScansPerPath`	Specifica quante analisi principali specificare per ogni percorso superiore.
`-TopFilesPerPath`	Specifica quanti file principali specificare per ogni percorso superiore.
`-TopScansPerFilePerPath`	Specifica quante analisi principali restituire per ogni file superiore per ogni percorso superiore, ordinate in base a "Durata"
`-TopExtensionsPerPath`	Specifica quante estensioni principali da restituire per ogni percorso superiore
`-TopScansPerExtensionPerPath`	Specifica il numero di analisi principali da restituire per ogni estensione superiore per ogni percorso superiore
`-TopProcessesPerPath`	Specifica quanti processi principali eseguire l'output per ogni percorso superiore
`-TopScansPerProcessPerPath`	Specifica quante analisi principali da restituire per ogni processo superiore per ogni percorso superiore
`-TopPathsPerExtension`	Specifica il numero di percorsi principali da restituire per ogni estensione superiore
`-TopScansPerPathPerExtension`	Specifica il numero di analisi principali da restituire per ogni percorso superiore per ogni estensione superiore
`-TopPathsPerProcess`	Specifica quanti percorsi principali da restituire per ogni processo superiore
`-TopScansPerPathPerProcess`	Specifica quante analisi principali da restituire per ogni percorso superiore per ogni processo superiore

-MinDuration

Specifica la durata minima di qualsiasi analisi o durata totale dell'analisi di file, estensioni e processi inclusi nel report; accetta valori come 0.1234567sec, 0.1234ms, 0.1uso un timespan valido.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Sentiero

Specifica il percorso o i percorsi di una o più posizioni.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Crudo

Specifica che l'output della registrazione delle prestazioni deve essere leggibile dal computer e facilmente convertibile in formati di serializzazione come JSON (ad esempio, tramite il comando Convert-to-JSON). Questa configurazione è consigliata per gli utenti interessati all'elaborazione batch con altri sistemi di elaborazione dati.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensions

Specifica quante estensioni principali da restituire, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Specifica quante estensioni principali da restituire per ogni processo principale, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiles

Richiede un report dei file principali e specifica il numero di file principali da restituire, ordinati in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Specifica il numero di file principali da restituire per ogni estensione superiore, ordinati in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Specifica quanti file principali restituire per ogni processo principale, ordinati in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcesses

Richiede un report top-processes e specifica il numero di processi principali da restituire, ordinati in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Specifica il numero di processi principali da restituire per ogni estensione superiore, ordinati in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Specifica quanti processi principali restituire per ogni file superiore, ordinati in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Richiede un report di analisi superiore e specifica il numero di analisi principali da restituire, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Specifica il numero di analisi principali da restituire per ogni estensione superiore, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Specifica il numero di analisi principali da restituire per ogni estensione superiore per ogni processo superiore, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Specifica quante analisi principali restituire per ogni file superiore, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Specifica il numero di analisi principali da restituire per ogni file superiore per ogni estensione superiore, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Specifica quante analisi principali di output per ogni file superiore per ogni processo superiore, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Specifica il numero di analisi principali da restituire per ogni processo principale nel report Processi principali, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Specifica il numero di analisi principali per l'output di ogni processo superiore per ogni estensione superiore, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Specifica quante analisi principali di output per ogni processo superiore per ogni file superiore, ordinate in base alla durata.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.

Condividi tramite