Udostępnij za pośrednictwem

Rozwiązywanie problemów z wydajnością programu antywirusowego Microsoft Defender z monitorem procesów

  • Artykuł

Porada

Najpierw przejrzyj typowe przyczyny problemów z wydajnością, takie jak wysokie użycie procesora CPU. Zobacz Rozwiązywanie problemów z wydajnością związanych z ochroną antywirusową Microsoft Defender w czasie rzeczywistym (rtp) lub skanowaniami (zaplanowane lub na żądanie). Następnie uruchom Analizator wydajności antywirusowego Microsoft Defender. To narzędzie pomoże zidentyfikować przyczynę wysokiego użycia procesora CPU w programie antywirusowym Microsoft Defender, niezależnie od tego, czy jest to plik wykonywalny usługi ochrony przed złośliwym kodem, usługa antywirusowa Microsoft Defender, czy MsMpEng.exe. Jeśli Analizator wydajności antywirusowy Microsoft Defender nie identyfikuje głównej przyczyny wysokiego wykorzystania procesora CPU, kontynuuj uruchamianie monitora procesora. Ostatnim narzędziem w zestawie narzędzi do uruchomienia jest interfejs użytkownika rejestratora wydajności systemu Windows (WPRUI) lub Zarejestrowano wydajność systemu Windows (wiersz polecenia WPR).

Przechwytywanie dzienników procesów przy użyciu monitora procesów

Process Monitor (ProcMon) to zaawansowane narzędzie do monitorowania, które udostępnia dane procesów w czasie rzeczywistym. Może służyć do przechwytywania problemów z wydajnością, takich jak wysokie użycie procesora CPU, oraz do monitorowania scenariuszy zgodności aplikacji w miarę ich występowania.

Ślad monitora procesów (ProcMon) można przechwycić za pomocą MDE Client Analyzer lub przy użyciu procesu ręcznego.

Korzystanie z analizatora klienta MDE

  1. Pobierz analizator klienta MDE.

  2. Uruchom MDE Client Analyzer przy użyciu odpowiedzi na żywo lub lokalnie.

    Porada

    Przed rozpoczęciem śledzenia upewnij się, że problem jest powtarzalny. Ponadto zamknij wszystkie aplikacje, które nie przyczyniają się do odtworzenia problemu.

  3. Uruchom MDE Client Analyzer z przełącznikami -c i-v:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Proces ręczny

  1. Pobierz monitor procesów w wersji 4.01 do folderu takiego jak C:\temp.

  2. Aby usunąć znacznik pliku sieci Web:

    1. Kliknij prawym przyciskiem myszy ProcessMonitor.zip i wybierz pozycję Właściwości.

    2. Na karcie Ogólne poszukaj pozycji Zabezpieczenia.

    3. Zaznacz pole wyboru obok pozycji Odblokuj.

    4. Wybierz pozycję Zastosuj.

    Zrzut ekranu przedstawiający sposób usuwania znaku

  3. Rozpakuj plik w C:\temp pliku, aby ścieżka folderu to C:\temp\ProcessMonitor.

  4. Skopiuj Procmon.exe do klienta systemu Windows lub serwera z systemem Windows, z którym są rozwiązywane problemy.

    Porada

    Przed uruchomieniem narzędzia ProcMon upewnij się, że wszystkie inne aplikacje niezwiązane z problemem z wysokim użyciem procesora CPU zostały zamknięte. Wykonanie tego kroku pomaga zminimalizować liczbę procesów do sprawdzenia.

  5. Narzędzie ProcMon można uruchomić na dwa sposoby: przy użyciu Procmon.exe lub wiersza polecenia.

    • Aby użyć Procmon.exe, pobierz go i otwórz jako administrator.

      1. Jeśli używasz aplikacji ProcMon po raz pierwszy, kliknij przycisk Zaakceptuj , aby zaakceptować umowę licencyjną monitora procesów.

        Zrzut ekranu przedstawiający umowę licencyjną monitora procesów.

      2. Ponieważ rejestrowanie rozpoczyna się automatycznie, zatrzymaj przechwytywanie, wybierając przycisk Przechwytywanie lub naciskając Ctrl+E.

        Zrzut ekranu przedstawiający przycisk zatrzymania przechwytywania ProcMon.

      3. Aby potwierdzić zatrzymanie przechwytywania, poszukaj ikony wstrzymania na przycisku Przechwytywanie , a następnie usuń zarejestrowane wpisy, wybierając przycisk Wyczyść lub naciskając Ctrl+X.

        Zrzut ekranu przedstawiający przycisk uruchamiania przechwytywania ProcMon.

        Zrzut ekranu przedstawiający przycisk umożliwiający wyczyszczanie wpisów ProcMon.

    • Aby użyć wiersza polecenia, otwórz wiersz polecenia jako administrator. Następnie uruchom następujące polecenie:

      Zrzut ekranu przedstawiający okno wiersza polecenia z podwyższonym poziomem uprawnień do uruchamiania Procmon.exe.

    Porada

    Ustaw okno ProcMon tak małe, jak to możliwe podczas przechwytywania danych, aby można było łatwo uruchomić i zatrzymać śledzenieZrzut ekranu przedstawiający pulpit z zminimalizowaną aplikacją Procmon.

  6. Ustaw filtry, wybierając ikonę Filtr . Filtry standardowe są domyślnie ustawiane. Możesz również filtrować wyniki po zakończeniu przechwytywania. Jeśli zastosowano jakiekolwiek filtry, kliknij przycisk Zastosuj , a następnie przycisk OK.

    Zrzut ekranu przedstawiający sposób otwierania okna Filtr.

    Zrzut ekranu przedstawiający okno Filtr.

  7. Aby uruchomić przechwytywanie, ponownie wybierz przycisk Przechwyć .

  8. Odtwórz problem.

    Porada

    Poczekaj na odtworzenie problemu, a następnie zanotuj znacznik czasu po rozpoczęciu śledzenia.

  9. Po przechwyceniu od dwóch do czterech minut działania procesu podczas wysokiego użycia procesora CPU zatrzymaj przechwytywanie, klikając przycisk Przechwytywanie .

  10. Aby zapisać przechwytywanie z unikatową nazwą .pml w formacie, przejdź do pozycji Plik, a następnie kliknij pozycję Zapisz.... Upewnij się, że wybrano przyciski radiowe Wszystkie zdarzenia i Format natywnego monitora procesów (PML).

    Zrzut ekranu przedstawiający stronę ustawień zapisywania.

  11. Aby lepiej śledzić, zmień domyślną ścieżkę z C:\temp\ProcessMonitor\LogFile.PML miejsca:C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML

  • %ComputerName% to nazwa urządzenia
  • MMDDYEAR to miesiąc, dzień i rok
  • Repro_of_issue to nazwa problemu, który próbujesz odtworzyć

Porada

Jeśli masz działający system, możesz pobrać przykładowy dziennik do porównania.

  1. Skompresuj .pml plik i prześlij go do pomoc techniczna firmy Microsoft.