Del via

Feilsøke Microsoft Defender antivirusytelsesproblemer med WPRUI

  • Artikkel

Tips

Først bør du se gjennom vanlige årsaker til ytelsesproblemer, for eksempel høy CPU-bruk i feilsøking av ytelsesproblemer relatert til Microsoft Defender Antivirus sanntidsbeskyttelse (RTP) eller skanninger (planlagt eller behovsbetinget). Kjør deretter Microsoft Defender Antivirus-Ytelsesanalyse for å analysere årsaken til høy CPU-bruk i Microsoft Defender Antivirus (kjørbar tjeneste for beskyttelse mot skadelig programvare, Microsoft Defender antivirustjeneste eller MsMpEng.exe). Hvis Microsoft Defender Antivirus-Ytelsesanalyse ikke identifiserer hovedårsaken til høy prosessorutnyttelse, kjører du Prosessorovervåking for å begrense eller finne hovedårsaken til den høye prosessorutnyttelsen i Microsoft Defender Antivirus. Det endelige verktøyet i verktøysettet er å kjøre Windows Performance Recorder UI (WPRUI) eller Windows Performance Recorder (WPR kommandolinje) som beskrevet i denne artikkelen.

Registrere ytelseslogger ved hjelp av Windows Performance Recorder

Windows Performance Recorder (WPR) er et kraftig innspillingsverktøy som oppretter Hendelsessporing for Windows-opptak og lar deg inkludere tilleggsinformasjon i innsendingen til Microsoft Kundestøtte.

WPR er en del av Windows Assessment and Deployment Kit (Windows ADK) og kan lastes ned fra Last ned og installer Windows ADK. Du kan også laste den ned som en del av Windows 10 Software Development Kit på Windows 10 SDK.

Du kan også følge trinnene i registrere ytelseslogger ved hjelp av WPR-brukergrensesnittet, eller bruke kommandolinjeverktøyet wpr.exeregistrere ytelseslogger ved hjelp av WPR CLI. Begge er tilgjengelige i Windows 8 og nyere versjoner.

Det finnes to måter å registrere Windows Performance Recorder (WPRUI)-sporingen på:

  1. Bruke MDE Client Analyzer

  2. Manuelt

Bruke MDE Client Analyzer

  1. Last ned MDE Client Analyzer.

  2. Kjør MDE Client Analyzer ved hjelp av Live Response eller lokalt.

    Tips

    Før du starter sporingen, må du kontrollere at problemet er reproduserbart. Lukk i tillegg alle programmer som ikke bidrar til reproduksjon av problemet.

  3. Kjør MDE Client Analyzer med bryterne -a og -v bryterne.

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v

Manuelt

Registrere ytelseslogger ved hjelp av WPR-brukergrensesnittet

Tips

Hvis flere enheter opplever dette problemet, kan du bruke den med mest RAM.

  1. Last ned og installer WPR.

  2. Høyreklikk Windows Performance Recorder under Windows Kits.

    Skjermbilde som viser Start-menyen

  3. Velg Mer. Velg Kjør som administrator.

  4. Høyreklikk Ja når dialogboksen Brukerkontokontroll vises.

    Skjermbilde som viser UAC-siden.

  5. Deretter laster du ned Microsoft Defender for endepunkt analyseprofilen og lagrer den i MDAV.wprp en mappe, for eksempel C:\temp.

  6. Velg Flere alternativer i dialogboksen WPR.

    Skjermbilde som viser siden der du kan velge flere alternativer

  7. Velg Legg til profiler... og bla til banen til MDAV.wprp filen.

  8. En ny profil med navnet Microsoft Defender for endepunkt analyse skal vises under Egendefinerte mål.

    Skjermbilde som viser filen.

    Advarsel

    Hvis Windows Server har 64 GB RAM eller mer, bruker du det egendefinerte målet Microsoft Defender for Endpoint analysis for large servers i stedet Microsoft Defender for Endpoint analysisfor . Ellers kan systemet bruke store mengder ikke-siders utvalgsminne eller buffere, noe som fører til systemustabilitet. Hvis du vil løse dette, kan du utforske Ressursanalyse for å velge profiler du vil legge til. Denne egendefinerte profilen gir den nødvendige konteksten for detaljert ytelsesanalyse.

  9. Slik bruker du den egendefinerte målingen Microsoft Defender for endepunkt detaljert analyseprofil i WPR-brukergrensesnittet:

    1. Kontroller at ingen profiler er valgt under gruppene Første nivå, Ressursanalyse og Scenarioanalyse .

    2. Velg egendefinerte mål.

    3. Velg Microsoft Defender for endepunkt analyse.

    4. Velg Detaljert under Detaljnivå .

    5. Velg Fil eller minne under Loggingsmodus.

    Viktig

    Velg Fil for å bruke filloggingsmodus hvis du kan reprodusere ytelsesproblemet direkte. De fleste problemene faller inn under denne kategorien. Hvis du imidlertid ikke kan reprodusere problemet direkte, velger du Minne for å bruke minneloggingsmodus. Dette hindrer sporingsloggen i å blåses opp for mye på grunn av lange kjøretider.

  10. Nå er du klar til å samle inn data. Lukk alle unødvendige programmer. Velg Skjul alternativer for å holde plassen opptatt av WPR-vinduet lite.

    Skjermbilde som viser Skjul-alternativene.

  11. Velg Start.

    Skjermbilde som viser postsysteminformasjonssiden.

  12. Reprodusere problemet.

    Tips

    Begrens datainnsamlingen til maksimalt fem minutter. Ideelt sett bør du sikte på to til tre minutter, da en betydelig mengde data samles inn.

  13. Velg Lagre.

    Skjermbilde som viser Lagre-alternativet.

  14. Fyll inn Type i en detaljert beskrivelse av problemet: med informasjon om problemet og hvordan du reproduserer problemet.

    Skjermbilde som viser ruten du fyller ut.

  15. Velg Filnavn: for å finne ut hvor sporingsfilen lagres. Som standard lagres den i %user%\Documents\WPR Files\.

  16. Velg Lagre.

    Skjermbilde som viser WPR som samler inn generell sporing.

  17. Når sporingen er slått sammen og lagret, høyreklikker du Åpne mappe.

    Skjermbilde som viser varselet om at WPR-sporing er lagret.

  18. Inkluder både filen og mappen i innsendingen til Microsoft Kundestøtte.

    Skjermbilde som viser detaljene for filen og mappen.

Registrere ytelseslogger ved hjelp av WPR CLI

Slik samler du inn en WPR-sporing ved hjelp av kommandolinjeverktøyet wpr.exe:

  1. Last ned Microsoft Defender for endepunkt sporingsprofil for analyseytelse som MDAV.wprp i en lokal katalog, for eksempel C:\traces.

  2. Høyreklikk startmenyikonet, og velg Windows PowerShell (Admin) eller ledetekst (Admin) for å åpne et Admin ledetekstvindu.

  3. Velg Ja i dialogboksen Brukerkontokontroll.

  4. Kjør følgende kommando i ledeteksten (Admin) for å starte en Microsoft Defender for endepunkt ytelsessporing:

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Advarsel

    Hvis Windows Server har 64 GB RAM eller mer, kan du bruke profiler WDForLargeServers.Light og WDForLargeServers.Verbose i stedet for henholdsvis WD.Light profiler og WD.Verbose. Ellers bruker systemet et stort utvalgsminne eller buffere som ikke er sidesidet, noe som fører til systemustabilitet.

  5. Reprodusere problemet.

    Tips

    Begrens datainnsamlingen til maksimalt fem minutter. Ideelt sett bør du sikte på to til tre minutter, da en betydelig mengde data samles inn.

  6. Kjør følgende kommando i ledeteksten (Admin) for å starte en Microsoft Defender for endepunkt ytelsessporing:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Vent til sporingen er slått sammen.

  8. Inkluder både filen og mappen i innsendingen til Microsoft Kundestøtte.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.