Ytelsesanalyse for Microsoft Defender Antivirus

Gjelder for

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender Antivirus

Plattformer

• Windows

Krav

Microsoft Defender antivirusytelsesanalyse har følgende forutsetninger:

• Støttede Windows-versjoner:
  • Windows 10
  • Windows 11
  • Windows Server 2016 og nyere
  • Windows Server 2012 R2 (ved innlasting ved hjelp av moderne, enhetlig løsning)
  • Windows ADK (Windows Performance Toolkit) er nødvendig for Windows Server 2012 R2. Last ned og installer Windows ADK
• Plattformversjon: 4.18.2108.7 eller nyere
• PowerShell-versjon: PowerShell versjon 5.1, PowerShell ISE, ekstern PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Hva er Microsoft Defender antivirusytelsesanalyse?

Hvis enheter som kjører Microsoft Defender Antivirus opplever ytelsesproblemer, kan du bruke ytelsesanalysen til å forbedre ytelsen til Microsoft Defender Antivirus. Ytelsesanalysen er et powershell-kommandolinjeverktøy som hjelper deg med å bestemme filer, filtyper og prosesser som kan forårsake ytelsesproblemer på individuelle endepunkter under antivirusskanninger. Du kan bruke informasjonen som samles inn av ytelsesanalyse, til å vurdere ytelsesproblemer og bruke utbedringshandlinger.

På samme måte som mekanikere utfører diagnostikk og tjenester på et kjøretøy som har ytelsesproblemer, kan ytelsesanalysen hjelpe deg med å forbedre Microsoft Defender antivirusytelse.

Noen alternativer for analyse inkluderer:

• De øverste banene som påvirker skannetiden
• Populære filer som påvirker skannetiden
• De viktigste prosessene som påvirker skannetiden
• De mest populære filtypene som påvirker skannetiden
• Kombinasjoner – for eksempel:
  • toppfiler per filtype
  • øverste baner per utvidelse
  • øverste prosesser per bane
  • toppskanninger per fil
  • toppskanninger per fil per prosess

Kjører ytelsesanalyse

Prosessen på høyt nivå for å kjøre ytelsesanalysen omfatter følgende trinn:

1. Kjør ytelsesanalysen for å samle inn et ytelsesopptak av Microsoft Defender Antivirus-hendelser på endepunktet.

   Obs!

   Ytelsen til Microsoft Defender antivirushendelser av typen Microsoft-Antimalware-Engine registreres gjennom ytelsesanalysen.

2. Analyser skanneresultatene ved hjelp av ulike opptaksrapporter.

Bruke ytelsesanalyse

Hvis du vil starte registrering av systemhendelser, åpner du PowerShell i administratormodus og utfører følgende trinn:

1. Kjør følgende kommando for å starte innspillingen:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   der -RecordTo parameteren angir fullstendig baneplassering der sporingsfilen lagres. Hvis du vil ha mer cmdlet-informasjon, kan du se Microsoft Defender Antivirus-cmdleter.

2. Hvis det er prosesser eller tjenester som antas å påvirke ytelsen, reproduserer du situasjonen ved å utføre de relevante oppgavene.

3. Trykk ENTER for å stoppe og lagre innspillingen, eller CTRL+C for å avbryte innspillingen.

4. Analyser resultatene ved hjelp av parameteren for ytelsesanalyse Get-MpPerformanceReport . Når du for eksempel utfører kommandoen Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10, leveres brukeren med en liste over de ti mest populære skanningene etter de tre mest populære filene som påvirker ytelsen.

   Hvis du vil ha mer informasjon om kommandolinjeparametere og alternativer, kan du se New-MpPerformanceRecording og Get-MpPerformanceReport.

Obs!

Når du kjører en innspilling, kjører du følgende kommando hvis du får feilmeldingen «Kan ikke starte opptak av ytelse fordi Windows Performance Recorder allerede tar opp». Kjør følgende kommando for å stoppe den eksisterende sporingen med den nye kommandoen: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Ytelsesjusteringsdata og informasjon

Basert på spørringen kan brukeren vise data for skanneantall, varighet (total/min/gjennomsnitt/maks/median), bane, prosess og årsak til skanning. Bildet nedenfor viser eksempelutdata for en enkel spørring av de 10 beste filene for skanningsinnvirkning.

Eksportere og konvertere til CSV og JSON

Resultatene av ytelsesanalysen kan også eksporteres og konverteres til en CSV- eller JSON-fil. Denne artikkelen inneholder eksempler som beskriver prosessen med «eksport» og «konverter» gjennom eksempelkode.

Fra og med Defender-versjonen 4.18.2206.Xkan brukere vise informasjon om skannede hopp over årsaker under SkipReason kolonnen. Mulig verdier er:

• Ikke hoppet over
• Optimalisering (vanligvis på grunn av ytelsesårsaker)
• Brukeren hoppet over (vanligvis på grunn av brukersettutelukkelser)

For CSV

• Slik eksporterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Slik konverterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

For JSON

• Slik konverterer du:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

For å sikre maskinlesbar utdata for eksport med andre databehandlingssystemer, anbefales det å bruke -Raw parameteren for Get-MpPerformanceReport. Se avsnittene nedenfor for mer informasjon.

Microsoft Defender antivirus-Ytelsesanalyse referanse

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.