Recolha de dados para resolução de problemas avançados no Windows
Aplica-se a:
Microsoft Defender para Empresas
Antivírus do Microsoft Defender
Ao colaborar com profissionais de suporte da Microsoft, poderá ser-lhe pedido que utilize o analisador de cliente para recolher dados para a resolução de problemas de cenários mais complexos. O script do analisador suporta outros parâmetros para esse fim e pode recolher um conjunto de registos específico com base nos sintomas observados que precisam de ser investigados.
Execute MDEClientAnalyzer.cmd /?
para ver a lista de parâmetros disponíveis e a respetiva descrição:
Mudar | Descrição | Quando utilizar | Processo que está a resolver. |
---|---|---|---|
-h |
Chama o Gravador de Desempenho do Windows para recolher um rastreio de desempenho geral verboso, além do conjunto de registos padrão. | Início/início lento da aplicação. Ao clicar num botão na aplicação, a duração de x segundos é maior. | Uma das seguintes opções: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-l |
Chama o Monitor de Desempenho do Windows incorporado para recolher um rastreio de perfmon leve. Este cenário pode ser útil ao diagnosticar problemas de degradação do desempenho lento que ocorrem ao longo do tempo, mas difíceis de reproduzir a pedido. | Resolver problemas de desempenho da aplicação que podem demorar a reproduzir-se (manifesto). Recomendamos que capture até três minutos (no máximo, cinco minutos), porque o conjunto de dados pode ficar demasiado grande. | Uma das seguintes opções: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-c |
Chamadas para a monitorização de processos para monitorização avançada do sistema de ficheiros em tempo real, registo e atividade de processo/thread. Isto é especialmente útil ao resolver vários cenários de compatibilidade de aplicações. | Monitor de Processos (ProcMon) para iniciar um rastreio de arranque ao investigar um problema relacionado com o atraso do arranque de um controlador, serviço ou aplicação. Ou as aplicações alojadas numa partilha de rede que não estão a utilizar o Bloqueio Oportunista SMB (Oplock) estão a causar corretamente problemas de compatibilidade de aplicações. | Uma das seguintes opções: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-i |
Chama o comando netsh.exe incorporado para iniciar uma rede e o rastreio da Firewall do Windows que é útil ao resolver vários problemas relacionados com a rede. | Ao resolver problemas relacionados com a rede, como telemetria EDR do Defender para Endpoint ou problemas de submissão de dados CnC. Microsoft Defender problemas de relatórios da Proteção da Cloud do Antivírus (MAPS). Problemas relacionados com a proteção de rede, etc. | Um dos seguintes processos: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-b |
-c O mesmo que, mas o rastreio do monitor de processos será iniciado durante o arranque seguinte e parado apenas quando o -b for utilizado novamente. |
Monitor de Processos (ProcMon) para iniciar um rastreio de arranque ao investigar um problema relacionado com o atraso do arranque de um controlador, serviço ou aplicação. Este cenário também pode ser utilizado para investigar um arranque lento ou início de sessão lento. | Um dos seguintes processos: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-e |
Chamadas para o Gravador de Desempenho do Windows para recolher o rastreio do Cliente Defender AV (AM-Engine e AM-Service) para análise de problemas de conectividade da cloud antivírus. | Ao resolver problemas de falhas de relatórios do Cloud Protection (MAPS). | MsMpEng.exe |
-a |
Chama o Gravador de Desempenho do Windows para recolher um rastreio de desempenho verboso específico da análise de problemas de CPU elevada relacionados com o processo antivírus (MsMpEng.exe). | Ao resolver problemas de utilização elevada da cpu com o Antivírus Microsoft Defender (Executável ou MsMpEng.exe do Serviço Antimalware) se já tiver utilizado a Microsoft Defender Antivírus Analisador de Desempenho para reduzir o /path/process ou /path ou a extensão de ficheiro que contribui para a utilização elevada da cpu. Este cenário permite investigar melhor o que a aplicação ou o serviço está a fazer para contribuir para a utilização elevada da cpu. | MsMpEng.exe |
-v |
Utiliza o antivírus MpCmdRun.exe argumento da linha de comandos com a maioria dos sinalizadores de rastreio verboso. | Sempre que for necessária uma resolução de problemas avançada. Por exemplo, quando a resolução de problemas do Cloud Protection (MAPS) comunica falhas, falhas de Atualização da Plataforma, Falhas de atualização do motor, falhas de Atualização de Informações de Segurança, Falsos negativos, etc. Também pode ser utilizado com -b , -c , -h ou -l . |
MsMpEng.exe |
-t |
Inicia o rastreio verboso de todos os componentes do lado do cliente relevantes para o Endpoint DLP, o que é útil para cenários em que as ações DLP não estão a acontecer conforme esperado para ficheiros. | Ao detetar problemas em que as ações de Prevenção de Perda de Dados (DLP) do Ponto Final da Microsoft esperadas não estão a ocorrer. | MpDlpService.exe |
-q |
Chama para DLPDiagnose.ps1 script do diretório do analisador Tools que valida a configuração básica e os requisitos do DLP do Ponto Final. |
Verifica a configuração básica e os requisitos do DLP do Ponto Final da Microsoft | MpDlpService.exe |
-d |
Recolhe uma captura de memória de (o processo do MsSenseS.exe sensor no Windows Server 2016 ou no SO mais antigo) e processos relacionados. - * Este sinalizador pode ser utilizado com sinalizadores mencionados acima. - ** Capturar uma captura de memória de processos protegidos pelo PPL , como MsSense.exe ou MsMpEng.exe não é suportado pelo analisador neste momento. |
No Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 ou Windows Server 2016 em execução com o agente MMA e com desempenho (utilização elevada da cpu ou memória) ou problemas de compatibilidade da aplicação. | MsSenseS.exe |
-z |
Configura as chaves de registo no computador para prepará-lo para a recolha completa de informações de memória do computador através de CrashOnCtrlScroll. Isto seria útil para a análise de problemas de congelamento do computador. * Mantenha premida a tecla CTRL mais à direita e, em seguida, prima a tecla SCROLL LOCK duas vezes. | Computador suspenso ou sem resposta ou lento. Utilização de memória elevada (Fuga de memória): a) Modo de utilizador: Modo de kernel bytes privados b): conjunto paginado ou memória de conjunto não paginada, lidar com fugas. |
MSSense.exe ou MsMpEng.exe |
-k |
Utiliza a ferramenta NotMyFault para forçar o sistema a falhar e gerar uma captura de memória do computador. Isto seria útil para a análise de vários problemas de estabilidade do SO. | O mesmo que acima. |
MSSense.exe ou MsMpEng.exe |
O analisador e todos os sinalizadores de cenário listados neste artigo podem ser iniciados remotamente ao executar RemoteMDEClientAnalyzer.cmd
, que também está agrupado no conjunto de ferramentas do analisador:
Nota
Quando é utilizado qualquer parâmetro de resolução de problemas avançado, o analisador também chama oMpCmdRun.exe para recolher Microsoft Defender registos de suporte relacionados com o Antivírus.
Pode utilizar -g
o sinalizador para validar URLs para uma região de datacenter específica, mesmo sem ser integrado nessa região
Por exemplo, MDEClientAnalyzer.cmd -g EU
força o analisador a testar OS URLs da cloud na região da Europa.
Alguns pontos a ter em conta
Quando utiliza RemoteMDEClientAnalyzer.cmd
o , chama psexec
para transferir a ferramenta a partir da partilha de ficheiros configurada e, em seguida, executá-la localmente através do PsExec.exe
.
O script CMD utiliza o -r
sinalizador para especificar que está a ser executado remotamente no contexto SYSTEM, pelo que não é apresentada nenhuma mensagem ao utilizador.
Esse mesmo sinalizador pode ser utilizado para MDEClientAnalyzer.cmd
evitar um pedido ao utilizador para especificar o número de minutos para a recolha de dados. Por exemplo, considere MDEClientAnalyzer.cmd -r -i -m 5
.
-
-r
indica que a ferramenta está a ser executada a partir de contexto remoto (ou não interativo). -
-i
é o sinalizador de cenário para a recolha de rastreio de rede juntamente com outros registos relacionados. -
-m #
indica o número de minutos a executar (utilizámos 5 minutos no nosso exemplo).
Ao utilizar MDEClientAnalyzer.cmd
o , o script verifica a existência de privilégios com net session
, o que requer que o serviço Server
esteja em execução. Se não estiver, obterá a mensagem de erro Script está em execução com privilégios insuficientes. Execute-o com privilégios de administrador se o ECHO estiver desativado.
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.