Microsoft Defender 바이러스 백신에 대한 성능 분석기

적용 대상

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

요구 사항

Microsoft Defender 바이러스 백신 성능 분석기는 다음과 같은 필수 구성 요소가 있습니다.

• 지원되는 Windows 버전:
  • Windows 10
  • Windows 11
  • Windows Server 2016 이상
  • Windows Server 2012 R2(최신 통합 솔루션을 사용하여 온보딩된 경우)
  • Windows Server 2012 R2의 경우 Windows ADK(Windows Performance Toolkit)가 필요합니다. Windows ADK 다운로드 및 설치
• 플랫폼 버전: 4.18.2108.7 이상
• PowerShell 버전: PowerShell 버전 5.1, PowerShell ISE, 원격 PowerShell(4.18.2201.10 이상), PowerShell 7.x(4.18.2201.10 이상)

Microsoft Defender 바이러스 백신 성능 분석기는 무엇인가요?

Microsoft Defender 바이러스 백신을 실행하는 디바이스에 성능 문제가 발생하는 경우 성능 분석기를 사용하여 Microsoft Defender 바이러스 백신의 성능을 향상시킬 수 있습니다. 성능 분석기는 바이러스 백신 검사 중에 개별 엔드포인트에서 성능 문제를 일으킬 수 있는 파일, 파일 확장명 및 프로세스를 확인하는 데 도움이 되는 PowerShell 명령줄 도구입니다. 성능 분석기에서 수집한 정보를 사용하여 성능 문제를 평가하고 수정 작업을 적용할 수 있습니다.

성능 문제가 있는 차량에서 메커니즘이 진단 및 서비스를 수행하는 방식과 마찬가지로 성능 분석기는 Microsoft Defender 바이러스 백신 성능을 개선하는 데 도움이 될 수 있습니다.

분석할 수 있는 몇 가지 옵션은 다음과 같습니다.

• 검사 시간에 영향을 주는 상위 경로
• 스캔 시간에 영향을 주는 상위 파일
• 검사 시간에 영향을 주는 주요 프로세스
• 스캔 시간에 영향을 주는 상위 파일 확장자
• 조합 – 예를 들면 다음과 같습니다.
  • 확장 프로그램당 상위 파일 수
  • 확장당 상위 경로
  • 경로당 상위 프로세스
  • 파일당 상위 검사
  • 프로세스당 파일당 상위 검사

성능 분석기 실행

성능 분석기를 실행하기 위한 개략적인 프로세스에는 다음 단계가 포함됩니다.

1. 성능 분석기를 실행하여 엔드포인트에서 Microsoft Defender 바이러스 백신 이벤트의 성능 기록을 수집합니다.

   참고

   형식 Microsoft-Antimalware-Engine 의 Microsoft Defender 바이러스 백신 이벤트의 성능은 성능 분석기를 통해 기록됩니다.

2. 다른 기록 보고서를 사용하여 검사 결과를 분석합니다.

성능 분석기 사용

시스템 이벤트 기록을 시작하려면 관리자 모드에서 PowerShell을 열고 다음 단계를 수행합니다.

1. 다음 명령을 실행하여 기록을 시작합니다.

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   where -RecordTo 매개 변수는 추적 파일이 저장되는 전체 경로 위치를 지정합니다. 자세한 cmdlet 정보는 바이러스 백신 cmdlet Microsoft Defender 참조하세요.

2. 성능에 영향을 주는 것으로 생각되는 프로세스 또는 서비스가 있는 경우 관련 작업을 수행하여 상황을 재현합니다.

3. Enter 키를 눌러 기록을 중지하고 저장하거나 Ctrl+C를 눌러 녹음/녹화를 취소합니다.

4. 성능 분석기 Get-MpPerformanceReport 매개 변수를 사용하여 결과를 분석합니다. 예를 들어 명령을 Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10실행할 때 성능에 영향을 주는 상위 3개 파일에 대한 상위 10개 검색 목록이 사용자에게 제공됩니다.

   명령줄 매개 변수 및 옵션에 대한 자세한 내용은 New-MpPerformanceRecording 및 Get-MpPerformanceReport를 참조하세요.

참고

녹음/녹화를 실행할 때 "Windows 성능 레코더가 이미 기록 중이므로 성능 기록을 시작할 수 없습니다"라는 오류가 표시되면 다음 명령을 실행하여 새 명령 wpr -cancel -instancename MSFT_MpPerformanceRecording으로 기존 추적을 중지합니다.

성능 조정 데이터 및 정보

쿼리에 따라 사용자는 검사 수, 기간(총/최소/평균/최대/중앙값), 경로, 프로세스 및 검사 이유에 대한 데이터를 볼 수 있습니다. 다음 이미지는 검사 영향에 대한 상위 10개 파일의 간단한 쿼리에 대한 샘플 출력을 보여줍니다.

CSV 및 JSON으로 내보내기 및 변환

성능 분석기의 결과를 내보내고 CSV 또는 JSON 파일로 변환할 수도 있습니다. 이 문서에는 샘플 코드를 통해 "내보내기" 및 "변환" 프로세스를 설명하는 예제가 포함되어 있습니다.

Defender 버전 4.18.2206.X부터 사용자는 열 아래에서 SkipReason 검사 건너뛰기 이유 정보를 볼 수 있습니다. 가능한 값은 다음과 같습니다.

• 건너뛰지 않음
• 최적화(일반적으로 성능상의 이유로 인해)
• 사용자가 건너뛰었다(일반적으로 사용자 집합 제외로 인해)

CSV의 경우

• 내보내려면 다음을 수행합니다.

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• 변환하려면 다음을 수행합니다.

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

JSON의 경우

• 변환하려면 다음을 수행합니다.

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

다른 데이터 처리 시스템으로 내보낼 때 컴퓨터에서 읽을 수 있는 출력을 보장하려면 에 매개 Get-MpPerformanceReport변수를 사용하는 -Raw 것이 좋습니다. 자세한 내용은 다음 섹션을 참조하세요.

바이러스 백신 성능 분석기 참조 Microsoft Defender

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.