Prestatieproblemen met betrekking tot realtime beveiliging oplossen
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender Antivirus
Platforms
- Windows
Als uw systeem een hoog CPU-gebruik of prestatieproblemen heeft met betrekking tot de realtime-beveiligingsservice in Microsoft Defender voor Eindpunt, kunt u een ticket indienen bij Microsoft-ondersteuning. Volg de stappen in Diagnostische gegevens van Microsoft Defender Antivirus verzamelen.
Als beheerder kunt u deze problemen ook zelf oplossen.
Eerst kunt u controleren of het probleem wordt veroorzaakt door andere software. Lees Neem contact op met de leverancier voor bekende problemen met antivirusuitsluitingen.
Anders kunt u bepalen welke software is gerelateerd aan het geïdentificeerde prestatieprobleem door de stappen in Het Microsoft-beveiligingslogboek analyseren te volgen.
U kunt ook andere logboeken opgeven voor uw inzending bij Microsoft-ondersteuning door de stappen in te volgen:
- Proceslogboeken vastleggen met procesmonitor
- Prestatielogboeken vastleggen met Windows Performance Recorder
Zie Prestatieanalyse voor Microsoft Defender Antivirus voor prestatiespecifieke problemen met betrekking tot Microsoft Defender Antivirus.
Neem contact op met de leverancier voor bekende problemen met antivirusproducten
Als u gemakkelijk kunt vaststellen welke software van invloed is op de systeemprestaties, gaat u naar het Knowledge Base of het ondersteuningscentrum van de softwareleverancier. Controleer of er bekende problemen zijn met antivirusproducten. Indien nodig kunt u een ondersteuningsticket met hen openen en hen vragen er een te publiceren.
We raden softwareleveranciers aan de verschillende richtlijnen in Partnering with the industry te volgen om fout-positieven te minimaliseren. De leverancier kan de software indienen via de Microsoft-beveiligingsinformatie portal.
Het Microsoft Protection-logboek analyseren
U vindt het microsoft-beveiligingslogboekbestand in C:\ProgramData\Microsoft\Windows Defender\Support.
In MPLog-xxxxxxxx-xxxxxx.log vindt u de informatie over de geschatte prestatie-impact van het uitvoeren van software als EstimatedImpact:
Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%
Veldnaam | Beschrijving |
---|---|
ProcessImageName | Naam van procesafbeelding |
TotalTime | De cumulatieve duur in milliseconden die wordt besteed aan scans van bestanden die door dit proces worden geopend |
Tellen | Het aantal gescande bestanden dat door dit proces wordt geopend |
MaxTime | De duur in milliseconden in de langste enkele scan van een bestand dat door dit proces wordt geopend |
MaxTimeFile | Het pad van het bestand dat door dit proces is geopend waarvoor de langste scan van MaxTime de duur is vastgelegd |
EstimatedImpact | Het percentage tijd dat is besteed aan scans voor bestanden die door dit proces zijn geopend buiten de periode waarin dit proces scanactiviteit heeft ervaren |
Als de impact op de prestaties hoog is, probeert u het proces toe te voegen aan de pad-/procesuitsluitingen door de stappen in Uitsluitingen configureren en valideren voor Microsoft Defender Antivirus-scans te volgen.
Als de vorige stap het probleem niet oplost, kunt u in de volgende secties meer informatie verzamelen via procesmonitor of Windows Performance Recorder .
Proceslogboeken vastleggen met procesmonitor
Process Monitor (ProcMon) is een geavanceerd bewakingsprogramma waarmee realtime processen kunnen worden weergegeven. U kunt dit hulpprogramma gebruiken om het prestatieprobleem vast te leggen terwijl het zich voordoet.
Download Process Monitor v3.89 naar een map zoals
C:\temp
.De markering van het bestand op het web verwijderen:
Klik met de rechtermuisknop op ProcessMonitor.zip en selecteer Eigenschappen.
Zoek op het tabblad Algemeen naar Beveiliging.
Schakel het selectievakje naast Blokkering opheffen in.
Selecteer Toepassen.
Pak het bestand uit zodat
C:\temp
het mappad isC:\temp\ProcessMonitor
.Kopieer ProcMon.exe naar de Windows-client of Windows-server die u wilt oplossen.
Voordat u ProcMon uitvoert, moet u ervoor zorgen dat alle andere toepassingen die niet zijn gerelateerd aan het probleem met hoog CPU-gebruik, zijn gesloten. Als u deze stap uitvoert, wordt het aantal te controleren processen geminimaliseerd.
U kunt ProcMon op twee manieren starten.
Klik met de rechtermuisknop op ProcMon.exe en selecteer Als administrator uitvoeren.
Omdat logboekregistratie automatisch wordt gestart, selecteert u het vergrootglaspictogram om de huidige opname te stoppen of gebruikt u de sneltoets Ctrl+E.
Als u wilt controleren of u de opname hebt gestopt, controleert u of het vergrootglaspictogram nu wordt weergegeven met een rode X.
Als u de eerdere opname wilt wissen, selecteert u het gumpictogram.
Of gebruik de sneltoets Ctrl+X.
De tweede manier is om de opdrachtregel uit te voeren als beheerder en vervolgens vanuit het pad Procesmonitor de volgende opdracht uit te voeren:
Procmon.exe /AcceptEula /Noconnect /Profiling
Nadat u een van de procedures in stap 6 hebt gevolgd, ziet u een optie voor het instellen van filters. Selecteer OK. U kunt de resultaten altijd filteren nadat de opname is voltooid.
Als u de opname wilt starten, selecteert u nogmaals het vergrootglaspictogram.
Reproduceer het probleem.
Tip
Wacht tot het probleem volledig is gereproduceerd en noteer het tijdstempel wanneer de tracering is gestart.
Zodra u twee tot vier minuten procesactiviteit hebt tijdens het hoge CPU-gebruik, stopt u de opname door het vergrootglaspictogram te selecteren.
Als u de opname wilt opslaan met een unieke naam en met de
.pml
indeling, selecteert u Bestand en vervolgens Opslaan.... Zorg ervoor dat u de keuzerondjes Alle gebeurtenissen en Native Process Monitor Format (PML) selecteert.Voor een betere tracering wijzigt u het standaardpad van
C:\temp\ProcessMonitor\LogFile.PML
inC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML
waar:-
%ComputerName%
is de naam van het apparaat -
MMDDYEAR
is de maand, dag en jaar -
Repro_of_issue
is de naam van het probleem dat u probeert te reproduceren
Tip
Als u een werkend systeem hebt, wilt u misschien een voorbeeldlogboek ophalen om te vergelijken.
-
Zip het
.pml
bestand en verzend het naar Microsoft-ondersteuning.
Prestatielogboeken vastleggen met Windows Performance Recorder
U kunt Windows Performance Recorder (WPR) gebruiken om aanvullende informatie op te nemen in uw inzending bij Microsoft-ondersteuning. WPR is een krachtig opnameprogramma waarmee Gebeurtenistracering voor Windows-opnamen wordt gemaakt.
WPR maakt deel uit van de Windows Assessment and Deployment Kit (Windows ADK) en kan worden gedownload via De Windows ADK downloaden en installeren. U kunt deze ook downloaden als onderdeel van de Windows 10 Software Development Kit op Windows 10 SDK.
U kunt de WPR-gebruikersinterface gebruiken door de stappen te volgen in Prestatielogboeken vastleggen met behulp van de WPR-gebruikersinterface.
U kunt ook het opdrachtregelprogramma wpr.exegebruiken, dat beschikbaar is in Windows 8 en nieuwere versies door de stappen te volgen in Prestatielogboeken vastleggen met behulp van de WPR CLI.
Prestatielogboeken vastleggen met behulp van de WPR-gebruikersinterface
Tip
Als meerdere apparaten dit probleem ondervinden, gebruikt u het apparaat met het meeste RAM-geheugen.
Download en installeer WPR.
Klik onder Windows-kits met de rechtermuisknop op Windows Performance Recorder.
Selecteer Meer. Selecteer Als beheerder uitvoeren.
Wanneer het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, selecteert u Ja.
Download vervolgens het Microsoft Defender voor Eindpunt analyseprofiel en sla het op als
MDAV.wprp
in een map zoalsC:\temp
.Selecteer meer opties in het dialoogvenster WPR.
Selecteer Profielen toevoegen... en blader naar het pad van het
MDAV.wprp
bestand.Daarna ziet u een nieuwe profielset onder Aangepaste metingen met de naam Microsoft Defender voor Eindpunt analyse eronder.
Waarschuwing
Als uw Windows Server 64 GB RAM-geheugen of meer heeft, gebruikt u de aangepaste meting
Microsoft Defender for Endpoint analysis for large servers
in plaats vanMicrosoft Defender for Endpoint analysis
. Anders kan uw systeem een grote hoeveelheid niet-gepaginad poolgeheugen of buffers verbruiken, wat kan leiden tot instabiliteit van het systeem. U kunt kiezen welke profielen u wilt toevoegen door Resourceanalyse uit te vouwen. Dit aangepaste profiel biedt de benodigde context voor diepgaande prestatieanalyse.De aangepaste meting gebruiken Microsoft Defender voor Eindpunt uitgebreid analyseprofiel in de WPR-gebruikersinterface:
Zorg ervoor dat er geen profielen zijn geselecteerd onder de groepen Eerste niveau triage, Resourceanalyse en Scenarioanalyse .
Selecteer Aangepaste metingen.
Selecteer Microsoft Defender voor Eindpunt analyse.
Selecteer Uitgebreid onder Detailniveau .
Selecteer Bestand of Geheugen onder Logboekregistratiemodus.
Belangrijk
Selecteer Bestand om de logboekregistratiemodus voor bestanden te gebruiken als het prestatieprobleem rechtstreeks door de gebruiker kan worden gereproduceerd. De meeste problemen vallen onder deze categorie. Als de gebruiker het probleem echter niet rechtstreeks kan reproduceren, maar het probleem gemakkelijk kan zien zodra het probleem zich voordoet, moet de gebruiker Geheugen selecteren om de geheugenlogboekmodus te gebruiken. Dit zorgt ervoor dat het traceringslogboek niet te hoog wordt vanwege de lange uitvoeringstijd.
U bent nu klaar om gegevens te verzamelen. Sluit alle toepassingen af die niet relevant zijn voor het reproduceren van het prestatieprobleem. U kunt Opties verbergen selecteren om de ruimte die door het WPR-venster wordt bezet, klein te houden.
Tip
Probeer de tracering op een heel aantal seconden te starten. Bijvoorbeeld 01:30:00. Dit maakt het gemakkelijker om de gegevens te analyseren. Probeer ook de tijdstempel bij te houden van precies wanneer het probleem wordt gereproduceerd.
Selecteer Start.
- Reproduceer het probleem.
Tip
Houd de gegevensverzameling op maximaal vijf minuten. Twee tot drie minuten is een goed bereik omdat er veel gegevens worden verzameld.
- Klik op Opslaan.
- Vul het type in een gedetailleerde beschrijving van het probleem in: met informatie over het probleem en hoe u het probleem hebt gereproduceerd.
Selecteer Bestandsnaam: om te bepalen waar uw traceringsbestand wordt opgeslagen. Standaard wordt deze opgeslagen in
%user%\Documents\WPR Files\
.Klik op Opslaan.
Wacht tot de tracering wordt samengevoegd.
- Nadat de tracering is opgeslagen, selecteert u Map openen.
Neem zowel het bestand als de map op in uw inzending naar Microsoft Ondersteuning.
Prestatielogboeken vastleggen met de WPR CLI
Het opdrachtregelprogramma wpr.exe maakt deel uit van het besturingssysteem dat begint met Windows 8. Een WPR-trace verzamelen met behulp van het opdrachtregelprogramma wpr.exe:
Download Microsoft Defender voor Eindpunt analyseprofiel voor prestatietraceringen naar een bestand met de naam
MDAV.wprp
in een lokale map, zoalsC:\traces
.Klik met de rechtermuisknop op het pictogram Startmenu en selecteer Windows PowerShell (Beheer) of Opdrachtprompt (Beheer) om een Beheer opdrachtpromptvenster te openen.
Wanneer het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, selecteert u Ja.
Voer bij de prompt met verhoogde bevoegdheid de volgende opdracht uit om een Microsoft Defender voor Eindpunt prestatietracering te starten:
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
Waarschuwing
Als uw Windows Server 64 GB of RAM-geheugen of meer heeft, gebruikt u profielen
WDForLargeServers.Light
enWDForLargeServers.Verbose
in plaats van profielenWD.Light
enWD.Verbose
respectievelijk. Anders kan uw systeem een grote hoeveelheid niet-gepaginad poolgeheugen of buffers verbruiken, wat kan leiden tot instabiliteit van het systeem.Reproduceer het probleem.
Tip
Houd de gegevensverzameling niet langer dan vijf minuten. Afhankelijk van het scenario is twee tot drie minuten een goed bereik omdat er veel gegevens worden verzameld.
Voer bij de prompt met verhoogde bevoegdheid de volgende opdracht uit om de prestatietracering te stoppen. Zorg ervoor dat u informatie opgeeft over het probleem en hoe u het probleem hebt gereproduceerd:
wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
Wacht totdat de tracering is samengevoegd.
Neem zowel het bestand als de map op in uw inzending bij Microsoft-ondersteuning.
Zie ook
- Diagnostische gegevens van Microsoft Defender Antivirus verzamelen
- Uitsluitingen voor Microsoft Defender Antivirusscans configureren en valideren
- Performance Analyzer voor Microsoft Defender Antivirus
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.