Condividi tramite

Risolvere i problemi di prestazioni di Microsoft Defender Antivirus con WPRUI

  • Articolo

Consiglio

Prima di tutto, esaminare i motivi comuni per i problemi di prestazioni, ad esempio l'utilizzo elevato della CPU in Risolvere i problemi di prestazioni correlati a Microsoft Defender protezione antivirus in tempo reale (RTP) o scansioni (pianificate o su richiesta). Eseguire quindi il analizzatore prestazioni antivirus Microsoft Defender per analizzare la causa dell'utilizzo elevato della CPU in Microsoft Defender Antivirus (file eseguibile del servizio Antimalware, servizio antivirus Microsoft Defender o MsMpEng.exe). Se il analizzatore prestazioni antivirus Microsoft Defender non identifica la causa radice dell'utilizzo elevato della CPU, eseguire Monitoraggio processore per restringere o determinare la causa radice dell'utilizzo elevato della CPU in Microsoft Defender Antivirus. Lo strumento finale nel toolkit consiste nell'eseguire l'interfaccia utente di Windows Performance Recorder (WPRUI) o Windows Performance Recorder (riga di comando WPR), come illustrato in questo articolo.

Acquisire i log delle prestazioni usando Registrazione prestazioni Windows

Windows Performance Recorder (WPR) è un potente strumento di registrazione che crea la traccia eventi per le registrazioni di Windows e consente di includere informazioni aggiuntive nell'invio al supporto Tecnico Microsoft.

WPR fa parte di Windows Assessment and Deployment Kit (Windows ADK) e può essere scaricato da Scaricare e installare Windows ADK. È anche possibile scaricarlo come parte di Windows 10 Software Development Kit all'indirizzo Windows 10 SDK.

In alternativa, seguire la procedura descritta in Acquisire i log delle prestazioni usando l'interfaccia utente WPR oppure usare lo strumento da riga di comando wpr.exeAcquisire i log delle prestazioni usando l'interfaccia della riga di comando wpr. Entrambi sono disponibili in Windows 8 e versioni successive.

Esistono due modi per acquisire la traccia WPRUI (Windows Performance Recorder):

  1. Uso dell'analizzatore client MDE

  2. Manualmente

Uso dell'analizzatore client MDE

  1. Scaricare l'analizzatore client MDE.

  2. Eseguire l'analizzatore client MDE usando Live Response o in locale.

    Consiglio

    Prima di avviare la traccia, assicurarsi che il problema sia riproducibile. Inoltre, chiudere tutte le applicazioni che non contribuiscono alla riproduzione del problema.

  3. Eseguire l'analizzatore client MDE con le -a opzioni e -v .

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v

Manualmente

Acquisire i log delle prestazioni usando l'interfaccia utente wpr

Consiglio

Se questo problema si verifica in più dispositivi, usare quello con la maggior parte della RAM.

  1. Scaricare e installare WPR.

  2. In Windows Kits fare clic con il pulsante destro del mouse su Windows Performance Recorder.

    Screenshot che mostra il menu Start

  3. Selezionare Altro. Selezionare Esegui come amministratore.

  4. Fare clic con il pulsante destro del mouse su quando viene visualizzata la finestra di dialogo Controllo account utente.

    Screenshot che mostra la pagina Controllo dell'account utente.

  5. Scaricare quindi il profilo di analisi Microsoft Defender per endpoint e salvare come MDAV.wprp in una cartella, ad C:\tempesempio .

  6. Nella finestra di dialogo WPR selezionare Altre opzioni.

    Screenshot che mostra la pagina in cui è possibile selezionare altre opzioni

  7. Selezionare Aggiungi profili e passare al percorso del MDAV.wprp file.

  8. In Misure personalizzate dovrebbe essere visualizzato un nuovo profilo denominato analisi Microsoft Defender per endpoint.

    Screenshot che mostra il file in-file.

    Avviso

    Se il Windows Server ha 64 GB di RAM o più, usare la misurazione Microsoft Defender for Endpoint analysis for large servers personalizzata anziché Microsoft Defender for Endpoint analysis. In caso contrario, il sistema potrebbe utilizzare una quantità elevata di memoria del pool non di paging o buffer, causando instabilità del sistema. Per risolvere questo aspetto, esplorare Analisi risorse per scegliere i profili da aggiungere. Questo profilo personalizzato fornisce il contesto necessario per un'analisi approfondita delle prestazioni.

  9. Per usare la misurazione personalizzata Microsoft Defender per endpoint profilo di analisi dettagliata nell'interfaccia utente WPR:

    1. Assicurarsi che non siano selezionati profili nei gruppi Valutazione di primo livello, Analisi risorse e Analisi dello scenario .

    2. Selezionare Misure personalizzate.

    3. Selezionare Microsoft Defender per endpoint analisi.

    4. Selezionare Dettagliato in Livello di dettaglio .

    5. Selezionare File o Memoria in Modalità di registrazione.

    Importante

    Selezionare File per usare la modalità di registrazione file se è possibile riprodurre direttamente il problema di prestazioni. La maggior parte dei problemi rientra in questa categoria. Tuttavia, se non è possibile riprodurre direttamente il problema, selezionare Memoria per usare la modalità di registrazione della memoria. Ciò impedisce al log di traccia di gonfiarsi eccessivamente a causa di tempi di esecuzione lunghi.

  10. A questo momento si è pronti per raccogliere dati. Chiudere tutte le applicazioni non necessarie. Selezionare Nascondi opzioni per mantenere piccolo lo spazio occupato dalla finestra WPR.

    Screenshot che mostra le opzioni Nascondi.

  11. Selezionare Start.

    Screenshot che mostra la pagina Record system information (Registra informazioni sul sistema).

  12. Riprodurre il problema.

    Consiglio

    Limitare la raccolta dati a un massimo di cinque minuti. Idealmente, mirare a due o tre minuti, poiché viene raccolta una quantità significativa di dati.

  13. Seleziona Salva.

    Screenshot che mostra l'opzione Salva.

  14. Compilare Digitare una descrizione dettagliata del problema: con informazioni sul problema e sul modo in cui è stato riprodotto il problema.

    Screenshot che mostra il riquadro in cui si compila.

  15. Selezionare Nome file: per determinare dove viene salvato il file di traccia. Per impostazione predefinita, viene salvato in %user%\Documents\WPR Files\.

  16. Seleziona Salva.

    Screenshot che mostra la traccia generale di raccolta WPR.

  17. Dopo aver unito e salvato la traccia, fare clic con il pulsante destro del mouse su Apri cartella.

    Screenshot che visualizza la notifica che indica che la traccia WPR è stata salvata.

  18. Includere sia il file che la cartella nell'invio a supporto tecnico Microsoft.

    Screenshot che mostra i dettagli del file e della cartella.

Acquisire i log delle prestazioni usando l'interfaccia della riga di comando wpr

Per raccogliere una traccia WPR usando lo strumento da riga di comando wpr.exe:

  1. Scaricare Microsoft Defender per endpoint profilo di traccia delle prestazioni di analisi come MDAV.wprp in una directory locale, ad C:\tracesesempio .

  2. Fare clic con il pulsante destro del mouse sull'icona del menu Start e scegliere Windows PowerShell (Amministrazione) o Prompt dei comandi (Amministrazione) per aprire una finestra del prompt dei comandi Amministrazione.

  3. Selezionare nella finestra di dialogo Controllo account utente.

  4. Al prompt dei comandi (Amministrazione) eseguire il comando seguente per avviare una traccia delle prestazioni Microsoft Defender per endpoint:

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Avviso

    Se il Windows Server ha almeno 64 GB di RAM, usare rispettivamente i profili WDForLargeServers.Light e WDForLargeServers.Verbose anziché i profili WD.Light e WD.Verbose. In caso contrario, il sistema usa una quantità elevata di memoria o buffer del pool non di paging, causando instabilità del sistema.

  5. Riprodurre il problema.

    Consiglio

    Limitare la raccolta dati a un massimo di cinque minuti. Idealmente, mirare a due o tre minuti, poiché viene raccolta una quantità significativa di dati.

  6. Al prompt dei comandi (Amministrazione) eseguire il comando seguente per avviare una traccia delle prestazioni Microsoft Defender per endpoint:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Attendere fino a quando la traccia non viene unita.

  8. Includere sia il file che la cartella nell'invio a supporto tecnico Microsoft.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.