Condividi tramite

Risolvere Microsoft Defender problemi di prestazioni dell'antivirus con Monitoraggio processi

  • Articolo

Consiglio

Prima di tutto, esaminare i motivi comuni per i problemi di prestazioni, ad esempio l'utilizzo elevato della CPU. Vedere Risolvere i problemi di prestazioni correlati alla protezione antivirus Microsoft Defender in tempo reale (rtp) o alle analisi (pianificate o su richiesta). Eseguire quindi **Microsoft Defender Antivirus analizzatore prestazioni**Questo strumento consente di identificare la causa dell'utilizzo elevato della CPU in Microsoft Defender Antivirus, sia che si tratti dell'eseguibile del servizio Antimalware, dell'antivirus Microsoft Defender o MsMpEng.exe. Se il Microsoft Defender Antivirus analizzatore prestazioni non identifica la causa radice dell'utilizzo elevato della CPU, procedere con l'esecuzione di Monitoraggio processore. Lo strumento finale nel toolkit da eseguire è Windows Performance Recorder UI (WPRUI) o Windows Performance Recorded (riga di comando WPR).

Acquisire i log dei processi usando Monitoraggio processi

Process Monitor (ProcMon) è uno strumento di monitoraggio avanzato che fornisce dati in tempo reale sui processi. Può essere usato per acquisire i problemi di prestazioni, ad esempio l'utilizzo elevato della CPU, e per monitorare gli scenari di compatibilità delle applicazioni man mano che si verificano.

Esistono due modi per acquisire una traccia di Process Monitor (ProcMon):

  1. Uso dell'analizzatore client MDE

  2. Manualmente

Uso dell'analizzatore client MDE

  1. Scaricare l'analizzatore client MDE.

  2. Eseguire l'analizzatore client MDE usando Live Response o in locale.

    Consiglio

    Prima di avviare la traccia, assicurarsi che il problema sia riproducibile. Inoltre, chiudere tutte le applicazioni che non contribuiscono alla riproduzione del problema.

  3. Eseguire l'analizzatore client MDE con le opzioni -c e -v

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Manualmente

  1. Scaricare Process Monitor v3.89 in una cartella come C:\temp.

  2. Per rimuovere il segno del file del Web:

    1. Fare clic con il pulsante destro del mouse suProcessMonitor.zip e scegliere Proprietà.

    2. Nella scheda Generale cercare Sicurezza.

    3. Selezionare la casella accanto a Sblocca.

    4. Selezionare Applica.

      Screenshot che mostra la pagina Rimuovi MOTW.

  3. Decomprimere il file in in C:\temp modo che il percorso della cartella sia C:\temp\ProcessMonitor.

  4. CopiareProcMon.exe nel client Windows o nel server Windows che si sta risolvendo.

    Consiglio

    Prima di eseguire ProcMon, verificare che tutte le altre applicazioni non correlate al problema di utilizzo elevato della CPU siano chiuse. Questo passaggio consente di ridurre al minimo il numero di processi da controllare.

  5. È possibile avviare ProcMon in due modi.

    1. Fare clic con il pulsante destro del mouse suProcMon.exee scegliere Esegui come amministratore.

    • Poiché la registrazione viene avviata automaticamente, arrestare l'acquisizione selezionando l'icona della lente di ingrandimento o premendo CTRL+E.

      Screenshot che mostra l'icona della lente di ingrandimento.

    1. Per verificare che l'acquisizione sia stata arrestata, cercare una X rossa sull'icona della lente di ingrandimento.

      Screenshot che mostra una barra rossa. Screenshot che mostra l'icona cancella.

    2. Eseguire la riga di comando come amministratore, quindi dal percorso di Monitoraggio processi eseguire:

      Screenshot che mostra il processo cmd.

    Consiglio

    Rendi la finestra ProcMon il più piccola possibile durante l'acquisizione dei dati in modo da poter avviare e arrestare facilmente la traccia. Screenshot che mostra la pagina con Procmon ridotto a icona.

  6. Dopo aver completato il passaggio 6, impostare i filtri selezionando OK. È possibile filtrare i risultati al termine dell'acquisizione.

    Screenshot che mostra la pagina in cui l'opzione Escludi sistema viene scelta come Nome processo di filtro.

  7. Per avviare l'acquisizione, selezionare di nuovo l'icona della lente di ingrandimento.

  8. Riprodurre il problema.

    Consiglio

    Attendere che il problema venga riprodotto, quindi prendere nota del timestamp all'inizio della traccia.

  9. Dopo aver acquisito da due a quattro minuti di attività di processo durante un utilizzo elevato della CPU, arrestare l'acquisizione facendo clic sull'icona della lente di ingrandimento.

  10. Per salvare l'acquisizione con un nome univoco nel .pml formato, passare a File e quindi fare clic su Salva. Assicurarsi di selezionare i pulsanti di opzione Tutti gli eventi e Native Process Monitor Format (PML).

    Screenshot che mostra la pagina delle impostazioni di salvataggio.

  11. Per un rilevamento migliore, modificare il percorso predefinito da C:\temp\ProcessMonitor\LogFile.PML a C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML dove:

  • %ComputerName% è il nome del dispositivo
  • MMDDYEAR è il mese, il giorno e l'anno
  • Repro_of_issue è il nome del problema che si sta tentando di riprodurre

Consiglio

Se si dispone di un sistema funzionante, è possibile ottenere un log di esempio da confrontare.

  1. Comprimere il .pml file e inviarlo a supporto tecnico Microsoft.