Microsoft Defender ウイルス対策のパフォーマンス アナライザー

適用対象

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

要件

Microsoft Defenderウイルス対策パフォーマンス アナライザーには、次の前提条件があります。

• サポートされている Windows バージョン:
  • Windows 10
  • Windows 11
  • Windows Server 2016 以降
  • Windows Server 2012 R2 (最新の統合ソリューションを使用してオンボードされている場合)
  • R2 Windows Server 2012には、Windows ADK (Windows パフォーマンス ツールキット) が必要です。 Windows ADK をダウンロードしてインストールする
• プラットフォーム バージョン: 4.18.2108.7 以降
• PowerShell バージョン: PowerShell バージョン 5.1、PowerShell ISE、リモート PowerShell (4.18.2201.10 以降)、PowerShell 7.x (4.18.2201.10 以降)

Microsoft Defenderウイルス対策パフォーマンス アナライザーとは

Microsoft Defenderウイルス対策を実行しているデバイスでパフォーマンスの問題が発生している場合は、パフォーマンス アナライザーを使用して、Microsoft Defender ウイルス対策のパフォーマンスを向上させることができます。 パフォーマンス アナライザーは、ウイルス対策スキャン中に個々のエンドポイントでパフォーマンスの問題を引き起こす可能性があるファイル、ファイル拡張子、プロセスを特定するのに役立つ PowerShell コマンド ライン ツールです。 パフォーマンス アナライザーによって収集された情報を使用して、パフォーマンスの問題を評価し、修復アクションを適用できます。

パフォーマンスアナライザーは、パフォーマンスの問題がある車両で診断とサービスを実行する方法と同様に、ウイルス対策のパフォーマンスMicrosoft Defender向上させるのに役立ちます。

分析するオプションには、次のようなものがあります。

• スキャン時間に影響を与える上位パス
• スキャン時間に影響を与える上位のファイル
• スキャン時間に影響を与える上位のプロセス
• スキャン時間に影響を与える上位のファイル拡張子
• 組み合わせ – 例:
  • 拡張子ごとに上位のファイル
  • 拡張機能ごとの上位パス
  • パスあたりの上位プロセス数
  • ファイルあたりの上位スキャン数
  • プロセスごとのファイルあたりの上位スキャン数

パフォーマンス アナライザーの実行

パフォーマンス アナライザーを実行するための大まかなプロセスには、次の手順が含まれます。

1. パフォーマンス アナライザーを実行して、エンドポイントでMicrosoft Defenderウイルス対策イベントのパフォーマンス記録を収集します。

   注:

   Microsoft-Antimalware-Engineの種類のMicrosoft Defenderウイルス対策イベントのパフォーマンスは、パフォーマンス アナライザーを使用して記録されます。

2. さまざまな記録レポートを使用してスキャン結果を分析します。

パフォーマンス アナライザーの使用

システム イベントの記録を開始するには、管理者モードで PowerShell を開き、次の手順を実行します。

1. 次のコマンドを実行して、記録を開始します。

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   ここで、 -RecordTo パラメーターは、トレース ファイルを保存する完全なパスの場所を指定します。 コマンドレットの詳細については、「ウイルス対策コマンドレットのMicrosoft Defender」を参照してください。

2. パフォーマンスに影響を与えると考えられるプロセスまたはサービスがある場合は、関連するタスクを実行して状況を再現します。

3. Enter キーを押して記録を停止して保存するか、Ctrl + C キーを押して記録を取り消します。

4. パフォーマンス アナライザーの Get-MpPerformanceReport パラメーターを使用して結果を分析します。 たとえば、コマンド Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10を実行すると、パフォーマンスに影響を与える上位 3 つのファイルの上位 10 個のスキャンの一覧がユーザーに提供されます。

   コマンド ライン パラメーターとオプションの詳細については、 New-MpPerformanceRecording と Get-MpPerformanceReport を参照してください。

注:

記録を実行するときに、"Windows パフォーマンス レコーダーが既に記録されているため、パフォーマンス記録を開始できません" というエラーが発生した場合は、次のコマンドを実行して、新しいコマンドを使用して既存のトレースを停止します: wpr -cancel -instancename MSFT_MpPerformanceRecording。

パフォーマンス チューニング データと情報

クエリに基づいて、ユーザーはスキャン数、期間 (total/min/average/max/median)、パス、プロセス、およびスキャン理由のデータを表示できます。 次の図は、スキャンの影響を受ける上位 10 個のファイルの単純なクエリの出力例を示しています。

CSV と JSON へのエクスポートと変換

パフォーマンス アナライザーの結果は、CSV または JSON ファイルにエクスポートして変換することもできます。 この記事には、サンプル コードを使用した "エクスポート" と "変換" のプロセスについて説明する例が含まれています。

Defender バージョンの 4.18.2206.X以降、ユーザーは[ SkipReason ] 列でスキャンスキップの理由情報を表示できます。 値は次のいずれかです。

• スキップされない
• 最適化 (通常はパフォーマンス上の理由による)
• ユーザーがスキップされました (通常、ユーザー セットの除外が原因)

CSV の場合

• エクスポートするには:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• 変換するには:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

JSON の場合

• 変換するには:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

他のデータ処理システムと共にエクスポートするためのマシン読み取り可能な出力を確保するには、Get-MpPerformanceReportに -Raw パラメーターを使用することをお勧めします。 詳細については、次のセクションを参照してください。

Microsoft Defender ウイルス対策のパフォーマンス アナライザーリファレンス

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。