다음을 통해 공유

Windows에서 고급 문제 해결을 위한 데이터 수집

  • 아티클

적용 대상:

Microsoft 지원 전문가와 공동 작업할 때 클라이언트 분석기를 사용하여 더 복잡한 시나리오의 문제 해결을 위해 데이터를 수집하라는 메시지가 표시될 수 있습니다. 분석기 스크립트는 해당 목적을 위해 다른 매개 변수를 지원하며 조사해야 하는 관찰된 증상에 따라 특정 로그 집합을 수집할 수 있습니다.

를 실행 MDEClientAnalyzer.cmd /? 하여 사용 가능한 매개 변수 목록과 해당 설명을 확인합니다.

MDEClientAnalyzer.cmd 대한 매개 변수

스위치 설명 사용 시기 문제를 해결하는 프로세스입니다.
-h Windows 성능 레코더를 호출하여 표준 로그 집합 외에도 자세한 일반 성능 추적을 수집합니다. 느린 애플리케이션 시작/시작. 앱에서 단추를 클릭할 때 x초가 더 오래 걸립니다. 다음 중 하나가 필요합니다.
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l 기본 제공 Windows 성능 모니터 호출하여 간단한 성능 추적을 수집합니다. 이 시나리오는 시간이 지남에 따라 발생하지만 요청 시 재현하기 어려운 느린 성능 저하 문제를 진단할 때 유용할 수 있습니다. 재현 속도가 느려질 수 있는 애플리케이션 성능 문제 해결(매니페스트) 자체. 데이터 집합이 너무 커질 수 있으므로 최대 3분(최대 5분)을 캡처하는 것이 좋습니다. 다음 중 하나가 필요합니다.
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c 실시간 파일 시스템, 레지스트리 및 프로세스/스레드 작업의 고급 모니터링을 위해 프로세스 모니터 를 호출합니다. 이는 다양한 애플리케이션 호환성 시나리오 문제를 해결할 때 특히 유용합니다. ProcMon(프로세스 모니터)을 사용하여 드라이버 또는 서비스 또는 애플리케이션 시작 지연 관련 문제를 조사할 때 부팅 추적을 시작합니다. 또는 SMB Oplock(Opportunistic Locking)을 사용하지 않는 네트워크 공유에서 호스트되는 애플리케이션으로 인해 애플리케이션 호환성 문제가 발생합니다. 다음 중 하나가 필요합니다.
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i 기본 제공 netsh.exe 명령을 호출하여 다양한 네트워크 관련 문제를 해결할 때 유용한 네트워크 및 Windows 방화벽 추적을 시작합니다. 엔드포인트용 Defender EDR 원격 분석 또는 CnC 데이터 제출 문제와 같은 네트워크 관련 문제를 해결하는 경우 MAPS(바이러스 백신 클라우드 보호) 보고 문제를 Microsoft Defender. 네트워크 보호 관련 문제 등. 다음 프로세스 중 하나입니다.
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b 와 동일 -c 하지만 프로세스 모니터 추적은 다음 부팅 중에 시작되고 -b가 다시 사용되는 경우에만 중지됩니다. ProcMon(프로세스 모니터)을 사용하여 드라이버 또는 서비스 또는 애플리케이션 시작 지연 관련 문제를 조사할 때 부팅 추적을 시작합니다. 이 시나리오를 사용하여 느린 부팅 또는 느린 로그인을 조사할 수도 있습니다. 다음 프로세스 중 하나입니다.
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Windows 성능 레코더를 호출하여 바이러스 백신 클라우드 연결 문제를 분석하기 위해 Defender AV 클라이언트 추적(AM-Engine 및 AM-Service)을 수집합니다. MAPS(Cloud Protection) 보고 실패 문제를 해결하는 경우 MsMpEng.exe
-a Windows 성능 레코더를 호출하여 바이러스 백신 프로세스(MsMpEng.exe)와 관련된 높은 CPU 문제 분석과 관련된 자세한 성능 추적을 수집합니다. Microsoft Defender 바이러스 백신(맬웨어 방지 서비스 실행 파일 또는 MsMpEng.exe)을 사용하여 높은 cpu 사용률 문제를 해결할 때 이미 Microsoft Defender 바이러스 백신 성능 분석기 사용하여 높은 cpu 사용률에 기여하는 /path/process 또는 /path 또는 파일 확장명 범위를 좁히는 경우. 이 시나리오를 사용하면 애플리케이션 또는 서비스가 높은 CPU 사용률에 기여하기 위해 수행하는 작업을 추가로 조사할 수 있습니다. MsMpEng.exe
-v 가장 자세한 -trace 플래그가 있는 바이러스 백신 MpCmdRun.exe 명령줄 인수 를 사용합니다. 고급 문제 해결이 필요할 때마다 MAPS(Cloud Protection) 보고 오류, 플랫폼 업데이트 실패, 엔진 업데이트 실패, 보안 인텔리전스 업데이트 실패, 거짓 부정 등의 문제를 해결할 때와 같습니다. , , -c-h또는 -l와 함께 -b사용할 수도 있습니다. MsMpEng.exe
-t 엔드포인트 DLP와 관련된 모든 클라이언트 쪽 구성 요소의 자세한 추적을 시작합니다. 이 추적은 DLP 작업이 파일에 대해 예상대로 발생하지 않는 시나리오에 유용합니다. 예상되는 Microsoft Endpoint DLP(데이터 손실 방지) 작업이 발생하지 않는 문제가 발생하는 경우 MpDlpService.exe
-q 엔드포인트 DLP에 대한 기본 구성 및 요구 사항의 유효성을 검사하는 분석기 Tools 디렉터리에서 DLPDiagnose.ps1 스크립트를 호출합니다. Microsoft Endpoint DLP에 대한 기본 구성 및 요구 사항을 확인합니다. MpDlpService.exe
-d (Windows Server 2016 또는 이전 OS의 센서 프로세스) 및 관련 프로세스의 MsSenseS.exe 메모리 덤프를 수집합니다. - * 이 플래그는 위에서 언급한 플래그와 함께 사용할 수 있습니다. - ** 와 같은 MsSense.exeMsMpEng.exePPL 보호 프로세스의 메모리 덤프 캡처는 현재 분석기에서 지원되지 않습니다. Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 또는 MMA 에이전트에서 실행 중인 Windows Server 2016 성능(높은 cpu 또는 높은 메모리 사용량) 또는 애플리케이션 호환성 문제가 있습니다. MsSenseS.exe
-z 컴퓨터에서 레지스트리 키를 구성하여 CrashOnCtrlScroll을 통해 전체 컴퓨터 메모리 덤프 수집을 준비합니다. 이는 컴퓨터 동결 문제를 분석하는 데 유용합니다. * 맨 오른쪽 CTRL 키를 누른 다음 SCROLL LOCK 키를 두 번 누릅니다. 기계가 매달려 있거나 응답하지 않거나 느립니다. 높은 메모리 사용량(메모리 누수): a) 사용자 모드: 프라이빗 바이트 b) 커널 모드: 페이징된 풀 또는 비페이지 풀 메모리, 누수 처리. MSSense.exe 또는 MsMpEng.exe
-k NotMyFault 도구를 사용하여 시스템이 강제로 크래시되고 머신 메모리 덤프를 생성합니다. 이는 다양한 OS 안정성 문제를 분석하는 데 유용합니다. 위와 동일합니다. MSSense.exe 또는 MsMpEng.exe

분석기와 이 문서에 나열된 모든 시나리오 플래그는 분석기 도구 집합에 번들로 제공되는 를 실행 RemoteMDEClientAnalyzer.cmd하여 원격으로 시작할 수 있습니다.

RemoteMDEClientAnalyzer.cmd 대한 매개 변수

참고

고급 문제 해결 매개 변수를 사용하는 경우 분석기는MpCmdRun.exe호출하여 Microsoft Defender 바이러스 백신 관련 지원 로그를 수집합니다. 플래그를 사용하여 -g 해당 지역에 온보딩하지 않고도 특정 데이터 센터 지역의 URL 유효성을 검사할 수 있습니다.
예를 들어 는 MDEClientAnalyzer.cmd -g EU 분석기가 유럽 지역의 클라우드 URL을 강제로 테스트하도록 합니다.

유의해야 할 몇 가지 사항

를 사용하면 RemoteMDEClientAnalyzer.cmd를 호출 psexec 하여 구성된 파일 공유에서 도구를 다운로드한 다음 를 통해 PsExec.exe로컬로 실행합니다.

CMD 스크립트는 플래그를 -r 사용하여 SYSTEM 컨텍스트 내에서 원격으로 실행되도록 지정하므로 사용자에게 프롬프트가 표시되지 않습니다.

데이터 수집에 대한 시간(분)을 지정하라는 메시지를 사용자에게 표시하지 않도록 동일한 플래그를 와 함께 MDEClientAnalyzer.cmd 사용할 수 있습니다. 예를 들어 를 고려합니다 MDEClientAnalyzer.cmd -r -i -m 5.

  • -r 는 도구가 원격(또는 비대화형 컨텍스트)에서 실행되고 있음을 나타냅니다.
  • -i 는 다른 관련 로그와 함께 네트워크 추적을 수집하기 위한 시나리오 플래그입니다.
  • -m # 는 실행할 시간(예제에서 5분 사용)을 나타냅니다.

를 사용하는 MDEClientAnalyzer.cmd경우 스크립트는 서비스를 Server 실행해야 하는 를 사용하여 net session권한을 확인합니다. 그렇지 않은 경우 스크립트가 권한이 부족하여 실행 중이라는 오류 메시지가 표시됩니다. ECHO가 꺼져 있는 경우 관리자 권한으로 실행합니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.