Condividi tramite

Analizzatore prestazioni per Microsoft Defender Antivirus

  • Articolo

Si applica a

Piattaforme

  • Windows

Requisiti

Microsoft Defender Analizzatore prestazioni antivirus presenta i prerequisiti seguenti:

  • Versioni di Windows supportate:
  • Versione della piattaforma: 4.18.2108.7 o versione successiva
  • Versione di PowerShell: PowerShell versione 5.1, PowerShell ISE, PowerShell remoto (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Che cos'è l'analizzatore delle prestazioni Microsoft Defender Antivirus?

Se i dispositivi che eseguono Microsoft Defender Antivirus riscontrano problemi di prestazioni, è possibile usare l'analizzatore delle prestazioni per migliorare le prestazioni di Microsoft Defender Antivirus. L'analizzatore delle prestazioni è uno strumento da riga di comando di PowerShell che consente di determinare file, estensioni di file e processi che potrebbero causare problemi di prestazioni nei singoli endpoint durante le analisi antivirus. È possibile usare le informazioni raccolte dall'analizzatore delle prestazioni per valutare i problemi di prestazioni e applicare azioni correttive.

Analogamente al modo in cui i meccanici eseguono la diagnostica e il servizio su un veicolo che presenta problemi di prestazioni, l'analizzatore delle prestazioni può aiutare a migliorare le prestazioni di Microsoft Defender Antivirus.

Immagine dell'analizzatore delle prestazioni concettuale per Microsoft Defender Antivirus.

Alcune opzioni da analizzare includono:

  • Percorsi principali che influiscono sul tempo di analisi
  • File principali che influiscono sul tempo di analisi
  • Principali processi che influiscono sul tempo di analisi
  • Principali estensioni di file che influiscono sul tempo di analisi
  • Combinazioni, ad esempio:
    • file principali per estensione
    • percorsi principali per estensione
    • processi principali per percorso
    • analisi principali per file
    • analisi principali per file per processo

Esecuzione dell'analizzatore delle prestazioni

Il processo di alto livello per l'esecuzione dell'analizzatore delle prestazioni prevede i passaggi seguenti:

  1. Eseguire l'analizzatore delle prestazioni per raccogliere una registrazione delle prestazioni degli eventi antivirus Microsoft Defender nell'endpoint.

    Nota

    Le prestazioni degli eventi antivirus Microsoft Defender di tipo Microsoft-Antimalware-Engine vengono registrate tramite l'analizzatore delle prestazioni.

  2. Analizzare i risultati dell'analisi usando report di registrazione diversi.

Uso dell'analizzatore delle prestazioni

Per avviare la registrazione degli eventi di sistema, aprire PowerShell in modalità amministratore ed eseguire la procedura seguente:

  1. Eseguire il comando seguente per avviare la registrazione:

    New-MpPerformanceRecording -RecordTo <recording.etl>

    il parametro where -RecordTo specifica il percorso completo del percorso in cui viene salvato il file di traccia. Per altre informazioni sui cmdlet, vedere Microsoft Defender Cmdlet antivirus.

  2. Se sono presenti processi o servizi che si ritiene influenzino le prestazioni, riprodurre la situazione eseguendo le attività pertinenti.

  3. Premere INVIO per arrestare e salvare la registrazione oppure CTRL+C per annullare la registrazione.

  4. Analizzare i risultati usando il parametro dell'analizzatore Get-MpPerformanceReport delle prestazioni. Ad esempio, durante l'esecuzione del comando Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10, all'utente viene fornito un elenco delle prime dieci analisi per i primi tre file che influiscono sulle prestazioni.

    Per altre informazioni sui parametri e sulle opzioni della riga di comando, vedere New-MpPerformanceRecording e Get-MpPerformanceReport.

Nota

Quando si esegue una registrazione, se viene visualizzato l'errore "Impossibile avviare la registrazione delle prestazioni perché Windows Performance Recorder sta già registrando", eseguire il comando seguente per arrestare la traccia esistente con il nuovo comando : wpr -cancel -instancename MSFT_MpPerformanceRecording.

Dati e informazioni sull'ottimizzazione delle prestazioni

In base alla query, l'utente è in grado di visualizzare i dati per i conteggi di analisi, la durata (totale/min/media/max/mediano), il percorso, il processo e il motivo dell'analisi. L'immagine seguente mostra l'output di esempio per una semplice query dei primi 10 file per l'impatto dell'analisi.

Output di esempio per una query TopFiles di base

Esportazione e conversione in CSV e JSON

I risultati dell'analizzatore delle prestazioni possono anche essere esportati e convertiti in un file CSV o JSON. Questo articolo include esempi che descrivono il processo di "esportazione" e "conversione" tramite codice di esempio.

A partire dalla versione 4.18.2206.Xdi Defender, gli utenti sono in grado di visualizzare le informazioni sui motivi ignorati dell'analisi nella SkipReason colonna. I valori possibili sono i seguenti:

  • Non ignorato
  • Ottimizzazione (in genere per motivi di prestazioni)
  • Utente ignorato (in genere a causa di esclusioni del set di utenti)

Per CSV

  • Per esportare:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
  • Per convertire:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

Per JSON

  • Per convertire:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Per garantire l'output leggibile dal computer per l'esportazione con altri sistemi di elaborazione dati, è consigliabile usare -Raw il parametro per Get-MpPerformanceReport. Per altri dettagli, vedere le sezioni seguenti.

Microsoft Defender informazioni di riferimento sul analizzatore prestazioni antivirus

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.