Delen via


Prestatieproblemen met betrekking tot realtime beveiliging oplossen

Van toepassing op:

Platforms

  • Windows

Als uw systeem een hoog CPU-gebruik of prestatieproblemen heeft met betrekking tot de realtime-beveiligingsservice in Microsoft Defender voor Eindpunt, kunt u een ticket indienen bij Microsoft-ondersteuning. Volg de stappen in Diagnostische gegevens van Microsoft Defender Antivirus verzamelen.

Als beheerder kunt u deze problemen ook zelf oplossen.

Eerst kunt u controleren of het probleem wordt veroorzaakt door andere software. Lees Neem contact op met de leverancier voor bekende problemen met antivirusuitsluitingen.

Anders kunt u bepalen welke software is gerelateerd aan het geïdentificeerde prestatieprobleem door de stappen in Het Microsoft-beveiligingslogboek analyseren te volgen.

U kunt ook andere logboeken opgeven voor uw inzending bij Microsoft-ondersteuning door de stappen in te volgen:

Zie Prestatieanalyse voor Microsoft Defender Antivirus voor prestatiespecifieke problemen met betrekking tot Microsoft Defender Antivirus.

Neem contact op met de leverancier voor bekende problemen met antivirusproducten

Als u gemakkelijk kunt vaststellen welke software van invloed is op de systeemprestaties, gaat u naar het Knowledge Base of het ondersteuningscentrum van de softwareleverancier. Controleer of er bekende problemen zijn met antivirusproducten. Indien nodig kunt u een ondersteuningsticket met hen openen en hen vragen er een te publiceren.

We raden softwareleveranciers aan de verschillende richtlijnen in Partnering with the industry te volgen om fout-positieven te minimaliseren. De leverancier kan de software indienen via de Microsoft-beveiligingsinformatie portal.

Het Microsoft Protection-logboek analyseren

U vindt het microsoft-beveiligingslogboekbestand in C:\ProgramData\Microsoft\Windows Defender\Support.

In MPLog-xxxxxxxx-xxxxxx.log vindt u de informatie over de geschatte prestatie-impact van het uitvoeren van software als EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

Veldnaam Beschrijving
ProcessImageName Naam van procesafbeelding
TotalTime De cumulatieve duur in milliseconden die wordt besteed aan scans van bestanden die door dit proces worden geopend
Tellen Het aantal gescande bestanden dat door dit proces wordt geopend
MaxTime De duur in milliseconden in de langste enkele scan van een bestand dat door dit proces wordt geopend
MaxTimeFile Het pad van het bestand dat door dit proces is geopend waarvoor de langste scan van MaxTime de duur is vastgelegd
EstimatedImpact Het percentage tijd dat is besteed aan scans voor bestanden die door dit proces zijn geopend buiten de periode waarin dit proces scanactiviteit heeft ervaren

Als de impact op de prestaties hoog is, probeert u het proces toe te voegen aan de pad-/procesuitsluitingen door de stappen in Uitsluitingen configureren en valideren voor Microsoft Defender Antivirus-scans te volgen.

Als de vorige stap het probleem niet oplost, kunt u in de volgende secties meer informatie verzamelen via procesmonitor of Windows Performance Recorder .

Proceslogboeken vastleggen met procesmonitor

Process Monitor (ProcMon) is een geavanceerd bewakingsprogramma waarmee realtime processen kunnen worden weergegeven. U kunt dit hulpprogramma gebruiken om het prestatieprobleem vast te leggen terwijl het zich voordoet.

  1. Download Process Monitor v3.89 naar een map zoals C:\temp.

  2. De markering van het bestand op het web verwijderen:

    1. Klik met de rechtermuisknop op ProcessMonitor.zip en selecteer Eigenschappen.

    2. Zoek op het tabblad Algemeen naar Beveiliging.

    3. Schakel het selectievakje naast Blokkering opheffen in.

    4. Selecteer Toepassen.

    Schermopname van de pagina MOTW verwijderen.

  3. Pak het bestand uit zodat C:\temp het mappad is C:\temp\ProcessMonitor.

  4. Kopieer ProcMon.exe naar de Windows-client of Windows-server die u wilt oplossen.

  5. Voordat u ProcMon uitvoert, moet u ervoor zorgen dat alle andere toepassingen die niet zijn gerelateerd aan het probleem met hoog CPU-gebruik, zijn gesloten. Als u deze stap uitvoert, wordt het aantal te controleren processen geminimaliseerd.

  6. U kunt ProcMon op twee manieren starten.

    1. Klik met de rechtermuisknop op ProcMon.exe en selecteer Als administrator uitvoeren.

      Omdat logboekregistratie automatisch wordt gestart, selecteert u het vergrootglaspictogram om de huidige opname te stoppen of gebruikt u de sneltoets Ctrl+E.

      Schermopname van het vergrootglaspictogram.

      Als u wilt controleren of u de opname hebt gestopt, controleert u of het vergrootglaspictogram nu wordt weergegeven met een rode X.

      Schermopname van een rode slash.

      Als u de eerdere opname wilt wissen, selecteert u het gumpictogram.

      Schermopname van het pictogram Wissen

      Of gebruik de sneltoets Ctrl+X.

    2. De tweede manier is om de opdrachtregel uit te voeren als beheerder en vervolgens vanuit het pad Procesmonitor de volgende opdracht uit te voeren:

      Schermopname van de cmd-procmon.

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Tip

      Maak het ProcMon-venster zo klein mogelijk bij het vastleggen van gegevens, zodat u de tracering eenvoudig kunt starten en stoppen.

      Schermopname van de pagina met Procmon geminimaliseerd.

  7. Nadat u een van de procedures in stap 6 hebt gevolgd, ziet u een optie voor het instellen van filters. Selecteer OK. U kunt de resultaten altijd filteren nadat de opname is voltooid.

    Schermopname van de pagina waarop Systeem uitsluiten is gekozen als de filterprocesnaam.

  8. Als u de opname wilt starten, selecteert u nogmaals het vergrootglaspictogram.

  9. Reproduceer het probleem.

    Tip

    Wacht tot het probleem volledig is gereproduceerd en noteer het tijdstempel wanneer de tracering is gestart.

  10. Zodra u twee tot vier minuten procesactiviteit hebt tijdens het hoge CPU-gebruik, stopt u de opname door het vergrootglaspictogram te selecteren.

  11. Als u de opname wilt opslaan met een unieke naam en met de .pml indeling, selecteert u Bestand en vervolgens Opslaan.... Zorg ervoor dat u de keuzerondjes Alle gebeurtenissen en Native Process Monitor Format (PML) selecteert.

    Schermopname van de pagina Instellingen opslaan

  12. Voor een betere tracering wijzigt u het standaardpad van C:\temp\ProcessMonitor\LogFile.PML in C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML waar:

    • %ComputerName% is de naam van het apparaat
    • MMDDYEAR is de maand, dag en jaar
    • Repro_of_issue is de naam van het probleem dat u probeert te reproduceren

    Tip

    Als u een werkend systeem hebt, wilt u misschien een voorbeeldlogboek ophalen om te vergelijken.

  13. Zip het .pml bestand en verzend het naar Microsoft-ondersteuning.

Prestatielogboeken vastleggen met Windows Performance Recorder

U kunt Windows Performance Recorder (WPR) gebruiken om aanvullende informatie op te nemen in uw inzending bij Microsoft-ondersteuning. WPR is een krachtig opnameprogramma waarmee Gebeurtenistracering voor Windows-opnamen wordt gemaakt.

WPR maakt deel uit van de Windows Assessment and Deployment Kit (Windows ADK) en kan worden gedownload via De Windows ADK downloaden en installeren. U kunt deze ook downloaden als onderdeel van de Windows 10 Software Development Kit op Windows 10 SDK.

U kunt de WPR-gebruikersinterface gebruiken door de stappen te volgen in Prestatielogboeken vastleggen met behulp van de WPR-gebruikersinterface.

U kunt ook het opdrachtregelprogramma wpr.exegebruiken, dat beschikbaar is in Windows 8 en nieuwere versies door de stappen te volgen in Prestatielogboeken vastleggen met behulp van de WPR CLI.

Prestatielogboeken vastleggen met behulp van de WPR-gebruikersinterface

Tip

Als meerdere apparaten dit probleem ondervinden, gebruikt u het apparaat met het meeste RAM-geheugen.

  1. Download en installeer WPR.

  2. Klik onder Windows-kits met de rechtermuisknop op Windows Performance Recorder.

    Schermvoorstelling met het Startmenu

    Selecteer Meer. Selecteer Als beheerder uitvoeren.

  3. Wanneer het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, selecteert u Ja.

    Schermopname van de UAC-pagina.

  4. Download vervolgens het Microsoft Defender voor Eindpunt analyseprofiel en sla het op als MDAV.wprp in een map zoals C:\temp.

  5. Selecteer meer opties in het dialoogvenster WPR.

    Schermopname van de pagina waar u meer opties kunt selecteren

  6. Selecteer Profielen toevoegen... en blader naar het pad van het MDAV.wprp bestand.

  7. Daarna ziet u een nieuwe profielset onder Aangepaste metingen met de naam Microsoft Defender voor Eindpunt analyse eronder.

    Schermopname van het in-bestand.

    Waarschuwing

    Als uw Windows Server 64 GB RAM-geheugen of meer heeft, gebruikt u de aangepaste meting Microsoft Defender for Endpoint analysis for large servers in plaats van Microsoft Defender for Endpoint analysis. Anders kan uw systeem een grote hoeveelheid niet-gepaginad poolgeheugen of buffers verbruiken, wat kan leiden tot instabiliteit van het systeem. U kunt kiezen welke profielen u wilt toevoegen door Resourceanalyse uit te vouwen. Dit aangepaste profiel biedt de benodigde context voor diepgaande prestatieanalyse.

  8. De aangepaste meting gebruiken Microsoft Defender voor Eindpunt uitgebreid analyseprofiel in de WPR-gebruikersinterface:

    1. Zorg ervoor dat er geen profielen zijn geselecteerd onder de groepen Eerste niveau triage, Resourceanalyse en Scenarioanalyse .

    2. Selecteer Aangepaste metingen.

    3. Selecteer Microsoft Defender voor Eindpunt analyse.

    4. Selecteer Uitgebreid onder Detailniveau .

    5. Selecteer Bestand of Geheugen onder Logboekregistratiemodus.

    Belangrijk

    Selecteer Bestand om de logboekregistratiemodus voor bestanden te gebruiken als het prestatieprobleem rechtstreeks door de gebruiker kan worden gereproduceerd. De meeste problemen vallen onder deze categorie. Als de gebruiker het probleem echter niet rechtstreeks kan reproduceren, maar het probleem gemakkelijk kan zien zodra het probleem zich voordoet, moet de gebruiker Geheugen selecteren om de geheugenlogboekmodus te gebruiken. Dit zorgt ervoor dat het traceringslogboek niet te hoog wordt vanwege de lange uitvoeringstijd.

  9. U bent nu klaar om gegevens te verzamelen. Sluit alle toepassingen af die niet relevant zijn voor het reproduceren van het prestatieprobleem. U kunt Opties verbergen selecteren om de ruimte die door het WPR-venster wordt bezet, klein te houden.

    Schermopname van de opties verbergen.

    Tip

    Probeer de tracering op een heel aantal seconden te starten. Bijvoorbeeld 01:30:00. Dit maakt het gemakkelijker om de gegevens te analyseren. Probeer ook de tijdstempel bij te houden van precies wanneer het probleem wordt gereproduceerd.

  10. Selecteer Start.

Schermopname van de pagina Systeemgegevens opnemen.

  1. Reproduceer het probleem.

Tip

Houd de gegevensverzameling op maximaal vijf minuten. Twee tot drie minuten is een goed bereik omdat er veel gegevens worden verzameld.

  1. Klik op Opslaan.

Schermopname van de optie Opslaan.

  1. Vul het type in een gedetailleerde beschrijving van het probleem in: met informatie over het probleem en hoe u het probleem hebt gereproduceerd.

Schermopname van het deelvenster waarin u vult.

  1. Selecteer Bestandsnaam: om te bepalen waar uw traceringsbestand wordt opgeslagen. Standaard wordt deze opgeslagen in %user%\Documents\WPR Files\.

  2. Klik op Opslaan.

  3. Wacht tot de tracering wordt samengevoegd.

Schermopname van de WPR-verzameling van de algemene tracering.

  1. Nadat de tracering is opgeslagen, selecteert u Map openen.

Schermopname van de melding dat de WPR-trace is opgeslagen.

Neem zowel het bestand als de map op in uw inzending naar Microsoft Ondersteuning.

Schermopname van de details van het bestand en de map.

Prestatielogboeken vastleggen met de WPR CLI

Het opdrachtregelprogramma wpr.exe maakt deel uit van het besturingssysteem dat begint met Windows 8. Een WPR-trace verzamelen met behulp van het opdrachtregelprogramma wpr.exe:

  1. Download Microsoft Defender voor Eindpunt analyseprofiel voor prestatietraceringen naar een bestand met de naam MDAV.wprp in een lokale map, zoals C:\traces.

  2. Klik met de rechtermuisknop op het pictogram Startmenu en selecteer Windows PowerShell (Beheer) of Opdrachtprompt (Beheer) om een Beheer opdrachtpromptvenster te openen.

  3. Wanneer het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, selecteert u Ja.

  4. Voer bij de prompt met verhoogde bevoegdheid de volgende opdracht uit om een Microsoft Defender voor Eindpunt prestatietracering te starten:

    
    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    
    

    Waarschuwing

    Als uw Windows Server 64 GB of RAM-geheugen of meer heeft, gebruikt u profielen WDForLargeServers.Light en WDForLargeServers.Verbose in plaats van profielen WD.Light en WD.Verboserespectievelijk. Anders kan uw systeem een grote hoeveelheid niet-gepaginad poolgeheugen of buffers verbruiken, wat kan leiden tot instabiliteit van het systeem.

  5. Reproduceer het probleem.

    Tip

    Houd de gegevensverzameling niet langer dan vijf minuten. Afhankelijk van het scenario is twee tot drie minuten een goed bereik omdat er veel gegevens worden verzameld.

  6. Voer bij de prompt met verhoogde bevoegdheid de volgende opdracht uit om de prestatietracering te stoppen. Zorg ervoor dat u informatie opgeeft over het probleem en hoe u het probleem hebt gereproduceerd:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. Wacht totdat de tracering is samengevoegd.

  8. Neem zowel het bestand als de map op in uw inzending bij Microsoft-ondersteuning.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.