次の方法で共有


リアルタイム保護に関連するパフォーマンスの問題のトラブルシューティング

適用対象:

プラットフォーム

  • Windows

Microsoft Defender for Endpointのリアルタイム保護サービスに関連する CPU 使用率またはパフォーマンスの問題が高い場合は、Microsoft サポートにチケットを送信できます。 「Microsoft Defenderウイルス対策診断データを収集する」の手順に従います。

管理者は、これらの問題を自分でトラブルシューティングすることもできます。

まず、問題が他のソフトウェアによって引き起こされている場合は、チェックすることをお勧めします。 ウイルス対策の除外に関する既知の問題については、「ベンダーに問い合わせてください」を参照してください

それ以外の場合は、「 Microsoft 保護ログの分析」の手順に従って、特定されたパフォーマンスの問題に関連するソフトウェアを特定できます。

次の手順に従って、Microsoft サポートへの申請に他のログを提供することもできます。

Microsoft Defenderウイルス対策に関連するパフォーマンス固有の問題については、「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。

ウイルス対策製品に関する既知の問題をベンダーに確認する

システムのパフォーマンスに影響を与えるソフトウェアを簡単に特定できる場合は、ソフトウェア ベンダーのサポート情報またはサポート センターにアクセスしてください。 ウイルス対策製品に関する既知の問題があるかどうかを確認します。 必要に応じて、サポート チケットを開き、発行するように依頼できます。

ソフトウェア ベンダーは、 誤検知を最小限に抑えるために、業界との提携に関するさまざまなガイドラインに従うことをお勧めします。 ベンダーは、Microsoft セキュリティ インテリジェンス ポータルからソフトウェアを送信できます。

Microsoft Protection ログを分析する

Microsoft 保護ログ ファイルは 、C:\ProgramData\Microsoft\Windows Defender\Support にあります。

MPLog-xxxxxxxx-xxxxxx.logでは、実行中のソフトウェアのパフォーマンスへの影響の見積もり情報を EstimatedImpact として確認できます。

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

フィールド名 説明
ProcessImageName プロセス イメージ名
TotalTime このプロセスによってアクセスされたファイルのスキャンに費やされた累積時間 (ミリ秒単位)
カウント このプロセスによってアクセスされたスキャンされたファイルの数
MaxTime このプロセスによってアクセスされたファイルの最も長い単一スキャンの期間 (ミリ秒単位)
MaxTimeFile このプロセスによってアクセスされたファイルのパスで、 MaxTime 期間の最長スキャンが記録されました
EstimatedImpact このプロセスでスキャン アクティビティが発生した期間のうち、このプロセスによってアクセスされたファイルのスキャンに費やされた時間の割合

パフォーマンスへの影響が大きい場合は、「Microsoft Defenderウイルス対策スキャンの除外を構成して検証する」の手順に従って、パス/プロセスの除外にプロセスを追加してみてください。

前の手順で問題が解決しない場合は、次のセクションの プロセス モニター または Windows パフォーマンス レコーダー を使用して詳細情報を収集できます。

プロセス モニターを使用してプロセス ログをキャプチャする

プロセス モニター (ProcMon) は、リアルタイム プロセスを表示できる高度な監視ツールです。 このツールを使用して、発生しているパフォーマンスの問題をキャプチャできます。

  1. プロセス モニター v3.89C:\temp などのフォルダーにダウンロードします。

  2. ファイルの Web マークを削除するには:

    1. ProcessMonitor.zip を右クリックし、[プロパティ] を選択します

    2. [ 全般 ] タブで、[セキュリティ] を探 します

    3. [ブロック解除] の横にあるチェック ボックスをオンにします。

    4. [適用] を選択します。

    [MOTW の削除] ページを示すスクリーンショット。

  3. フォルダー パスがC:\temp\ProcessMonitorされるように、C:\tempでファイルを解凍します。

  4. トラブルシューティング 行っている Windows クライアントまたは Windows サーバーにProcMon.exeをコピーします。

  5. ProcMon を実行する前に、CPU 使用率の高い問題に関連しない他のすべてのアプリケーションが閉じられていることを確認してください。 この手順を実行すると、チェックするプロセスの数を最小限に抑えることができます。

  6. ProcMon は 2 つの方法で起動できます。

    1. ProcMon.exe を右クリックし、[管理者として実行] を選択します。

      ログ記録が自動的に開始されるので、虫眼鏡アイコンを選択して現在のキャプチャを停止するか、キーボード ショートカット Ctrl + E を使用します。

      虫眼鏡アイコンを示すスクリーンショット。

      キャプチャを停止したことを確認するには、虫眼鏡アイコンが赤い X で表示されるかどうかをチェックします。

      赤いスラッシュを示すスクリーンショット。

      次に、前のキャプチャをクリアするには、消しゴム アイコンを選択します。

      クリア アイコンを示すスクリーンショット

      または、キーボード ショートカット Ctrl + X を使用します

    2. 2 つ目の方法は、 管理者としてコマンド ライン を実行し、プロセス モニター パスから次を実行することです。

      cmd procmon を示すスクリーンショット。

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      ヒント

      トレースを簡単に開始および停止できるように、データをキャプチャするときに ProcMon ウィンドウをできるだけ小さくします。

      Procmon が最小化されたページを示すスクリーンショット。

  7. 手順 6 の手順のいずれかに従うと、フィルターを設定するオプションが表示されます。 [OK] を選択します。 キャプチャが完了した後は、常に結果をフィルター処理できます。

    [プロセス名の除外] として [システム除外] が選択されているページを示すスクリーンショット。

  8. キャプチャを開始するには、虫眼鏡アイコンをもう一度選択します。

  9. 問題を再現します。

    ヒント

    問題が完全に再現されるまで待ってから、トレースの開始時にタイムスタンプを書き留めます。

  10. CPU 使用率が高い状態で 2 分から 4 分のプロセス アクティビティが発生したら、虫眼鏡アイコンを選択してキャプチャを停止します。

  11. キャプチャを一意の名前と .pml 形式で保存するには、[ ファイル ] を選択し、[ 保存.] を選択します。ラジオ ボタン [ すべてのイベント ] と [ネイティブ プロセス モニター形式 (PML)] を選択してください。

    [設定の保存] ページを示すスクリーンショット

  12. 追跡を向上させるために、既定のパスを C:\temp\ProcessMonitor\LogFile.PML から C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML 場所に変更します。

    • %ComputerName% はデバイス名です
    • MMDDYEAR は月、日、年です
    • Repro_of_issue は、再現しようとしている問題の名前です

    ヒント

    作業システムがある場合は、比較するサンプル ログを取得できます。

  13. .pml ファイルを圧縮し、Microsoft サポートに送信します。

Windows パフォーマンス レコーダーを使用してパフォーマンス ログをキャプチャする

Windows パフォーマンス レコーダー (WPR) を使用して、Microsoft サポートへの提出に追加情報を含めることができます。 WPR は、Windows 記録用のイベント トレースを作成する強力な記録ツールです。

WPR は Windows Assessment and Deployment Kit (Windows ADK) の一部であり、 Windows ADK のダウンロードとインストールからダウンロードできます。 Windows 10ソフトウェア開発キットの一部としてダウンロードすることもできますWindows 10 SDK。

WPR ユーザー インターフェイスを使用するには、「 WPR UI を使用してパフォーマンス ログをキャプチャする」の手順に従います。

または、「WPR CLI を使用してパフォーマンス ログをキャプチャする」の手順に従って、Windows 8以降のバージョンで使用できるコマンド ライン ツールwpr.exeを使用することもできます。

WPR UI を使用してパフォーマンス ログをキャプチャする

ヒント

複数のデバイスでこの問題が発生している場合は、RAM が最も多いデバイスを使用します。

  1. WPR をダウンロードしてインストールします。

  2. [ Windows キット] で、[ Windows パフォーマンス レコーダー] を右クリックします。

    スタート メニューを示すスクリーン ショー

    [ その他] を選択します。 [ 管理者として実行] を選択します。

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、[ はい] を選択します。

    UAC ページを示すスクリーンショット。

  4. 次に、Microsoft Defender for Endpoint分析プロファイルをダウンロードし、C:\tempなどのフォルダーにMDAV.wprpとして保存します。

  5. [WPR] ダイアログ ボックスで、[ その他のオプション] を選択します。

    その他のオプションを選択できるページを示すスクリーンショット

  6. [ プロファイルの追加]を 選択し、 MDAV.wprp ファイルのパスを参照します。

  7. その後、その下の [カスタム測定値] の下にMicrosoft Defender for Endpoint分析という名前の新しいプロファイル セットが表示されます。

    ファイル内を示すスクリーンショット。

    警告

    Windows Server に 64 GB 以上の RAM がある場合は、Microsoft Defender for Endpoint analysisではなくカスタム測定Microsoft Defender for Endpoint analysis for large serversを使用します。 そうしないと、システムが大量の非ページ プール メモリまたはバッファーを消費し、システムが不安定になる可能性があります。 [ リソース分析] を展開して、追加するプロファイルを選択できます。 このカスタム プロファイルは、詳細なパフォーマンス分析に必要なコンテキストを提供します。

  8. WPR UI で詳細分析プロファイルMicrosoft Defender for Endpointカスタム測定を使用するには:

    1. 第 1 レベルのトリアージリソース分析シナリオ分析グループの下でプロファイルが選択されていないことを確認します。

    2. [ カスタム測定値] を選択します

    3. [Microsoft Defender for Endpoint分析] を選択します。

    4. [詳細レベル] で [詳細] を選択します。

    5. [ログ モード] で [ ファイル ] または [ メモリ ] を選択します。

    重要

    パフォーマンスの 問題をユーザー が直接再現できる場合は、[ファイル] を選択してファイル ログ モードを使用する必要があります。 ほとんどの問題はこのカテゴリに該当します。 ただし、ユーザーが問題を直接再現できず、問題が発生すると簡単に気付く場合は、メモリ ログ モードを使用するために [メモリ ] を選択する必要があります。 これにより、長い実行時間のためにトレース ログが過度に膨らむのを確実にしません。

  9. これで、データを収集する準備ができました。 パフォーマンスの問題の再現に関連しないすべてのアプリケーションを終了します。 [オプションの 非表示] を選択すると、WPR ウィンドウが占有する領域を小さく保つことができます。

    [非表示] オプションを示すスクリーンショット。

    ヒント

    整数秒単位でトレースを開始してみてください。 たとえば、01:30:00 です。 これにより、データの分析が容易になります。 また、問題が再現されたときのタイムスタンプを正確に追跡してみてください。

  10. [スタート] を選択します。

[システム情報の記録] ページを示すスクリーンショット。

  1. 問題を再現します。

ヒント

データ収集は 5 分以下にしてください。 大量のデータが収集されているため、2 分から 3 分は適切な範囲です。

  1. [保存] を選択します。

[保存] オプションを示すスクリーンショット。

  1. 問題の詳細な説明を入力します。問題と問題の再現方法に関する情報を入力します。

入力したウィンドウを示すスクリーンショット。

  1. [ ファイル名]: を選択して、トレース ファイルを保存する場所を決定します。 既定では、 %user%\Documents\WPR Files\に保存されます。

  2. [保存] を選択します。

  3. トレースがマージされるまで待ちます。

WPR 収集の一般的なトレースを示すスクリーンショット。

  1. トレースが保存されたら、[フォルダーを 開く] を選択します。

WPR トレースが保存されたことを示す通知を表示するスクリーンショット。

ファイルとフォルダーの両方を申請に含め、Microsoft サポートします。

ファイルとフォルダーの詳細を示すスクリーンショット。

WPR CLI を使用してパフォーマンス ログをキャプチャする

コマンド ライン ツール wpr.exe は、Windows 8 以降のオペレーティング システムの一部です。 コマンド ライン ツールを使用して WPR トレースを収集するには、次の wpr.exe。

  1. パフォーマンス トレースMicrosoft Defender for Endpoint分析プロファイルを、C:\traces などのローカル ディレクトリの MDAV.wprp という名前のファイルにダウンロードします。

  2. [スタート メニュー] アイコンを右クリックし、[Windows PowerShell (管理)] または [コマンド プロンプト (管理)] を選択して、管理 コマンド プロンプト ウィンドウを開きます。

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、[ はい] を選択します。

  4. 管理者特権のプロンプトで、次のコマンドを実行して、Microsoft Defender for Endpointパフォーマンス トレースを開始します。

    
    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    
    

    警告

    Windows Server に 64 GB 以上の RAM がある場合は、プロファイルのWD.LightWD.Verboseの代わりに、プロファイルWDForLargeServers.LightWDForLargeServers.Verboseをそれぞれ使用します。 そうしないと、システムが大量の非ページ プール メモリまたはバッファーを消費し、システムが不安定になる可能性があります。

  5. 問題を再現します。

    ヒント

    データ収集は 5 分以下にしてください。 シナリオによっては、大量のデータが収集されているため、2 分から 3 分の範囲が適しています。

  6. 管理者特権のプロンプトで、次のコマンドを実行してパフォーマンス トレースを停止し、問題に関する情報と問題の再現方法を確認します。

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. トレースがマージされるまで待ちます。

  8. Microsoft サポートへの申請にファイルとフォルダーの両方を含めます。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。