Risolvere i problemi di prestazioni correlati alla protezione in tempo reale

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Antivirus Microsoft Defender

Piattaforme

• Windows

Se il sistema presenta un utilizzo elevato della CPU o problemi di prestazioni correlati al servizio di protezione in tempo reale in Microsoft Defender per endpoint, è possibile inviare un ticket al supporto tecnico Microsoft. Seguire la procedura descritta in Raccogliere Microsoft Defender dati di diagnostica antivirus.

Gli amministratori possono anche risolvere questi problemi autonomamente.

In primo luogo, è possibile verificare se il problema è causato da altri software. Leggere Verificare con il fornitore i problemi noti relativi alle esclusioni antivirus.

In caso contrario, è possibile identificare il software correlato al problema di prestazioni identificato seguendo la procedura descritta in Analizzare il log di Microsoft Protection.

È anche possibile fornire altri log per l'invio al supporto tecnico Microsoft seguendo la procedura descritta in:

• Acquisire i log dei processi usando Monitoraggio processi
• Acquisire i log delle prestazioni usando Registrazione prestazioni Windows

Per problemi specifici delle prestazioni relativi all'antivirus Microsoft Defender, vedere Analizzatore prestazioni per Microsoft Defender Antivirus.

Verificare con il fornitore la presenza di problemi noti relativi ai prodotti antivirus

Se è possibile identificare facilmente il software che influisce sulle prestazioni del sistema, passare al centro di knowledge base o supporto tecnico del fornitore del software. Verificare se sono presenti problemi noti con i prodotti antivirus. Se necessario, è possibile aprire un ticket di supporto con loro e chiedere loro di pubblicarne uno.

È consigliabile che i fornitori di software seguano le varie linee guida in Collaborazione con il settore per ridurre al minimo i falsi positivi. Il fornitore può inviare il software tramite il portale di Intelligence di sicurezza Microsoft.

Analizzare il log di Microsoft Protection

È possibile trovare il file di log della protezione Microsoft in C:\ProgramData\Microsoft\Windows Defender\Support.

In MPLog-xxxxxxxx-xxxxxx.log è possibile trovare le informazioni sull'impatto stimato sulle prestazioni dell'esecuzione del software come EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

Nome del campo	Descrizione
ProcessImageName	Nome dell'immagine di elaborazione
TotalTime	Durata cumulativa in millisecondi per le analisi dei file a cui accede questo processo
Conteggio	Numero di file analizzati a cui accede questo processo
MaxTime	Durata in millisecondi dell'analisi singola più lunga di un file a cui accede questo processo
MaxTimeFile	Percorso del file a cui si accede da questo processo per il quale è stata registrata l'analisi più lunga della MaxTime durata
EstimatedImpact	Percentuale di tempo impiegato nelle analisi per i file a cui accede questo processo al di fuori del periodo in cui questo processo ha sperimentato l'attività di analisi

Se l'impatto sulle prestazioni è elevato, provare ad aggiungere il processo alle esclusioni percorso/processo seguendo la procedura descritta in Configurare e convalidare le esclusioni per le analisi antivirus Microsoft Defender.

Se il passaggio precedente non risolve il problema, è possibile raccogliere altre informazioni tramite Monitoraggio processi o Windows Performance Recorder nelle sezioni seguenti.

Acquisire i log dei processi usando Monitoraggio processi

Process Monitor (ProcMon) è uno strumento di monitoraggio avanzato in grado di mostrare i processi in tempo reale. È possibile usare questo strumento per acquisire il problema di prestazioni man mano che si verifica.

1. Scaricare Process Monitor v3.89 in una cartella come C:\temp.

2. Per rimuovere il segno del file del Web:

   1. Fare clic con il pulsante destro del mouse suProcessMonitor.zip e scegliere Proprietà.

   2. Nella scheda Generale cercare Sicurezza.

   3. Selezionare la casella accanto a Sblocca.

   4. Selezionare Applica.

   

3. Decomprimere il file in in C:\temp modo che il percorso della cartella sia C:\temp\ProcessMonitor.

4. CopiareProcMon.exe nel client Windows o nel server Windows che si sta risolvendo.

5. Prima di eseguire ProcMon, verificare che tutte le altre applicazioni non correlate al problema di utilizzo elevato della CPU siano chiuse. Questo passaggio consente di ridurre al minimo il numero di processi da controllare.

6. È possibile avviare ProcMon in due modi.

   1. Fare clic con il pulsante destro del mouse suProcMon.exee scegliere Esegui come amministratore.

      Poiché la registrazione viene avviata automaticamente, selezionare l'icona della lente di ingrandimento per arrestare l'acquisizione corrente o usare i tasti di scelta rapida CTRL+E.

      

      Per verificare che l'acquisizione sia stata arrestata, verificare che l'icona della lente di ingrandimento sia ora visualizzata con una X rossa.

      

      Quindi, per cancellare l'acquisizione precedente, selezionare l'icona della gomma.

      

      In alternativa, usare i tasti di scelta rapida CTRL+X.

   2. Il secondo modo consiste nell'eseguire la riga di comando come amministratore, quindi dal percorso di Monitoraggio processi eseguire:

      

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Consiglio

      Rendi la finestra ProcMon il più piccola possibile durante l'acquisizione dei dati in modo da poter avviare e arrestare facilmente la traccia.

      

7. Dopo aver seguito una delle procedure nel passaggio 6, verrà visualizzata un'opzione per impostare i filtri. Selezionare OK. È sempre possibile filtrare i risultati al termine dell'acquisizione.

   

8. Per avviare l'acquisizione, selezionare di nuovo l'icona della lente di ingrandimento.

9. Riprodurre il problema.

   Consiglio

   Attendere che il problema venga riprodotto completamente, quindi prendere nota del timestamp all'avvio della traccia.

10. Dopo aver eseguito due o quattro minuti di attività del processo durante la condizione di utilizzo elevato della CPU, arrestare l'acquisizione selezionando l'icona della lente di ingrandimento.

11. Per salvare l'acquisizione con un nome univoco e con il .pml formato, selezionare File e quindi salva. Assicurarsi di selezionare i pulsanti di opzione Tutti gli eventi e ILM (Native Process Monitor Format).

    

12. Per un rilevamento migliore, modificare il percorso predefinito da C:\temp\ProcessMonitor\LogFile.PML a C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML dove:

    • %ComputerName% è il nome del dispositivo
    • MMDDYEAR è il mese, il giorno e l'anno
    • Repro_of_issue è il nome del problema che si sta tentando di riprodurre

    Consiglio

    Se si dispone di un sistema funzionante, è possibile ottenere un log di esempio da confrontare.

13. Comprimere il .pml file e inviarlo al supporto tecnico Microsoft.

Acquisire i log delle prestazioni usando Registrazione prestazioni Windows

Puoi usare Windows Performance Recorder (WPR) per includere informazioni aggiuntive nell'invio al supporto Tecnico Microsoft. WPR è un potente strumento di registrazione che crea la traccia eventi per le registrazioni di Windows.

WPR fa parte di Windows Assessment and Deployment Kit (Windows ADK) e può essere scaricato da Scaricare e installare Windows ADK. È anche possibile scaricarlo come parte di Windows 10 Software Development Kit all'indirizzo Windows 10 SDK.

È possibile usare l'interfaccia utente WPR seguendo la procedura descritta in Acquisire i log delle prestazioni usando l'interfaccia utente di WPR.

In alternativa, è anche possibile usare lo strumento da riga di comando wpr.exe, disponibile in Windows 8 e versioni successive, seguendo la procedura descritta in Acquisire i log delle prestazioni usando l'interfaccia della riga di comando wpr.

Acquisire i log delle prestazioni usando l'interfaccia utente wpr

Consiglio

Se questo problema si verifica in più dispositivi, usare quello con la maggior quantità di RAM.

1. Scaricare e installare WPR.

2. In Windows Kits fare clic con il pulsante destro del mouse su Windows Performance Recorder.

   

   Selezionare Altro. Selezionare Esegui come amministratore.

3. Quando viene visualizzata la finestra di dialogo Controllo account utente, selezionare Sì.

   

4. Scaricare quindi il profilo di analisi Microsoft Defender per endpoint e salvare come MDAV.wprp in una cartella come C:\temp.

5. Nella finestra di dialogo WPR selezionare Altre opzioni.

   

6. Selezionare Aggiungi profili e passare al percorso del MDAV.wprp file.

7. Successivamente, verrà visualizzato un nuovo profilo impostato in Misure personalizzate denominate Microsoft Defender per endpoint'analisi sottostante.

   

   Avviso

   Se Windows Server ha 64 GB di RAM o più, usare la misurazione Microsoft Defender for Endpoint analysis for large servers personalizzata anziché Microsoft Defender for Endpoint analysis. In caso contrario, il sistema potrebbe utilizzare una quantità elevata di memoria del pool non di paging o buffer che possono causare instabilità del sistema. È possibile scegliere i profili da aggiungere espandendo Analisi risorse. Questo profilo personalizzato fornisce il contesto necessario per un'analisi approfondita delle prestazioni.

8. Per usare la misurazione personalizzata Microsoft Defender per endpoint profilo di analisi dettagliata nell'interfaccia utente WPR:

   1. Assicurarsi che non siano selezionati profili nei gruppi Valutazione di primo livello, Analisi risorse e Analisi dello scenario .

   2. Selezionare Misure personalizzate.

   3. Selezionare Microsoft Defender per endpoint analisi.

   4. Selezionare Dettagliato in Livello di dettaglio .

   5. Selezionare File o Memoria in Modalità di registrazione.

   Importante

   È consigliabile selezionare File per usare la modalità di registrazione file se il problema di prestazioni può essere riprodotto direttamente dall'utente. La maggior parte dei problemi rientra in questa categoria. Tuttavia, se l'utente non riesce a riprodurre direttamente il problema, ma può facilmente notarlo quando si verifica il problema, l'utente deve selezionare Memoria per usare la modalità di registrazione della memoria. In questo modo si garantisce che il log di traccia non si ingrandirà eccessivamente a causa del tempo di esecuzione lungo.

9. A questo momento si è pronti per raccogliere dati. Chiudere tutte le applicazioni che non sono rilevanti per la riproduzione del problema di prestazioni. È possibile selezionare Nascondi opzioni per mantenere piccolo lo spazio occupato dalla finestra WPR.

   

   Consiglio

   Provare ad avviare la traccia in base al numero intero di secondi. Ad esempio, 01:30:00. In questo modo sarà più semplice analizzare i dati. Provare anche a tenere traccia del timestamp di esattamente quando il problema viene riprodotto.

10. Selezionare Start.

11. Riprodurre il problema.

Consiglio

Mantenere la raccolta dati a non più di cinque minuti. Da due a tre minuti è un intervallo valido perché vengono raccolti molti dati.

12. Seleziona Salva.

13. Compilare Digitare una descrizione dettagliata del problema: con informazioni sul problema e sul modo in cui è stato riprodotto il problema.

1. Selezionare Nome file: per determinare dove viene salvato il file di traccia. Per impostazione predefinita, viene salvato in %user%\Documents\WPR Files\.

2. Seleziona Salva.

3. Attendere l'unione della traccia.

15. Dopo aver salvato la traccia, selezionare Apri cartella.

Includere sia il file che la cartella nell'invio a supporto tecnico Microsoft.

Acquisire i log delle prestazioni usando l'interfaccia della riga di comando wpr

Lo strumento da riga di comando wpr.exe fa parte del sistema operativo a partire da Windows 8. Per raccogliere una traccia WPR usando lo strumento da riga di comando wpr.exe:

1. Scaricare Microsoft Defender per endpoint profilo di analisi per le tracce delle prestazioni in un file denominato MDAV.wprp in una directory locale, ad C:\tracesesempio .

2. Fare clic con il pulsante destro del mouse sull'icona del menu Start e scegliere Windows PowerShell (Amministrazione) o Prompt dei comandi (Amministrazione) per aprire una finestra del prompt dei comandi Amministrazione.

3. Quando viene visualizzata la finestra di dialogo Controllo account utente, selezionare Sì.

4. Al prompt con privilegi elevati eseguire il comando seguente per avviare una traccia delle prestazioni Microsoft Defender per endpoint:

   
   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   
   

   Avviso

   Se Windows Server ha almeno 64 GB di RAM, usa i profili WDForLargeServers.Light e WDForLargeServers.Verbose anziché i profili WD.Light e WD.Verbose, rispettivamente. In caso contrario, il sistema potrebbe utilizzare una quantità elevata di memoria del pool non di paging o buffer che possono causare instabilità del sistema.

5. Riprodurre il problema.

   Consiglio

   Mantenere la raccolta dati non superiore a cinque minuti. A seconda dello scenario, da due a tre minuti è un intervallo valido poiché vengono raccolti molti dati.

6. Al prompt con privilegi elevati eseguire il comando seguente per arrestare la traccia delle prestazioni, assicurandosi di fornire informazioni sul problema e sulla modalità di riproduzione del problema:

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. Attendere fino a quando la traccia non viene unita.

8. Includere sia il file che la cartella nell'invio al supporto tecnico Microsoft.

Vedere anche

• Raccogliere Microsoft Defender dati di diagnostica antivirus
• Configurare e convalidare le esclusioni per le analisi antivirus Microsoft Defender
• Analizzatore prestazioni per Microsoft Defender Antivirus

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.