Resolução de problemas de desempenho relacionados com a proteção em tempo real
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Antivírus do Microsoft Defender
Plataformas
- Windows
Se o seu sistema estiver a ter problemas de utilização elevada da CPU ou de desempenho relacionados com o serviço de proteção em tempo real no Microsoft Defender para Endpoint, pode submeter um pedido de suporte à Microsoft. Siga os passos em Recolher Microsoft Defender dados de diagnóstico do Antivírus.
Enquanto administrador, também pode resolver estes problemas por conta própria.
Primeiro, poderá querer verificar se o problema é causado por outro software. Leia Consulte o fornecedor para obter problemas conhecidos com exclusões de antivírus.
Caso contrário, pode identificar que software está relacionado com o problema de desempenho identificado ao seguir os passos em Analisar o Registo de Proteção da Microsoft.
Também pode fornecer outros registos à sua submissão ao suporte da Microsoft ao seguir os passos em:
- Capturar registos de processos com o Monitor de Processos
- Capturar registos de desempenho com o Gravador de Desempenho do Windows
Para problemas específicos de desempenho relacionados com o Antivírus Microsoft Defender, veja Analisador de desempenho do Antivírus Microsoft Defender.
Contacte o fornecedor para ver se existem problemas conhecidos com produtos antivírus
Se conseguir identificar facilmente o software que afeta o desempenho do sistema, aceda ao centro de suporte ou base de dados de conhecimento do fornecedor de software. Verifique se existem problemas conhecidos com produtos antivírus. Se necessário, pode abrir um pedido de suporte com eles e pedir-lhes para publicarem um.
Recomendamos que os fornecedores de software sigam as várias diretrizes em Parceria com a indústria para minimizar os falsos positivos. O fornecedor pode submeter o software através do portal Informações de Segurança da Microsoft.
Analisar o Registo de Proteção da Microsoft
Pode encontrar o ficheiro de registo de proteção da Microsoft em C:\ProgramData\Microsoft\Windows Defender\Support.
No MPLog-xxxxxxxx-xxxxxx.log, pode encontrar as informações de impacto estimado no desempenho da execução do software como EstimatedImpact:
Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%
Nome do campo | Descrição |
---|---|
ProcessImageName | Nome da imagem do processo |
TotalTime | A duração cumulativa em milissegundos despendida em análises de ficheiros acedidos por este processo |
Contagem | O número de ficheiros analisados acedidos por este processo |
MaxTime | A duração em milissegundos na análise única mais longa de um ficheiro acedido por este processo |
MaxTimeFile | O caminho do ficheiro acedido por este processo para o qual foi registada a análise mais longa da MaxTime duração |
EstimatedImpact | A percentagem de tempo despendido nas análises de ficheiros acedidos por este processo fora do período em que este processo experimentou a atividade de análise |
Se o impacto no desempenho for elevado, experimente adicionar o processo às exclusões caminho/processo ao seguir os passos em Configurar e validar exclusões para Microsoft Defender análises de Antivírus.
Se o passo anterior não resolver o problema, pode recolher mais informações através do Monitor de Processos ou do Gravador de Desempenho do Windows nas secções seguintes.
Capturar registos de processos com o Monitor de Processos
O Monitor de Processos (ProcMon) é uma ferramenta de monitorização avançada que pode mostrar processos em tempo real. Pode utilizar esta ferramenta para capturar o problema de desempenho à medida que está a ocorrer.
Transfira o Monitor de Processos v3.89 para uma pasta como
C:\temp
.Para remover a marca do ficheiro da Web:
Clique com o botão direito do ratoProcessMonitor.zip e selecione Propriedades.
No separador Geral , procure Segurança.
Selecione a caixa junto a Desbloquear.
Selecione Aplicar.
Deszipe o ficheiro no
C:\temp
para que o caminho da pasta sejaC:\temp\ProcessMonitor
.Copie ProcMon.exe para o cliente Windows ou para o servidor Windows que está a resolver.
Antes de executar o ProcMon, certifique-se de que todas as outras aplicações não relacionadas com o problema de utilização elevada da CPU estão fechadas. Seguir este passo ajuda a minimizar o número de processos a verificar.
Pode iniciar o ProcMon de duas formas.
Clique com o botão direito do ratoProcMon.exe e selecione Executar como administrador.
Uma vez que o registo é iniciado automaticamente, selecione o ícone de lupa para parar a captura atual ou utilize o atalho de teclado Ctrl+E.
Para verificar se parou a captura, verifique se o ícone de lupa aparece agora com um X vermelho.
Em seguida, para limpar a captura anterior, selecione o ícone de borracha.
Em alternativa, utilize o atalho de teclado Ctrl+X.
A segunda forma é executar a linha de comandos como administrador e, em seguida, a partir do caminho do Monitor de Processos, execute:
Procmon.exe /AcceptEula /Noconnect /Profiling
Depois de seguir um dos procedimentos no passo 6, verá em seguida uma opção para definir filtros. Selecione OK. Pode sempre filtrar os resultados após a conclusão da captura.
Para iniciar a captura, selecione novamente o ícone de lupa.
Reproduza o problema.
Sugestão
Aguarde até que o problema seja totalmente reproduzido e, em seguida, tome nota do carimbo de data/hora quando o rastreio começou.
Depois de ter dois a quatro minutos de atividade do processo durante a condição de utilização elevada da CPU, pare a captura ao selecionar o ícone de lupa.
Para guardar a captura com um nome exclusivo e com o
.pml
formato , selecione Ficheiro e, em seguida, selecione Guardar.... Certifique-se de que seleciona os botões de opção Todos os eventos e Formato de Monitor de Processo Nativo (PML).Para um melhor controlo, altere o caminho predefinido de
C:\temp\ProcessMonitor\LogFile.PML
paraC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML
onde:-
%ComputerName%
é o nome do dispositivo -
MMDDYEAR
é o mês, dia e ano -
Repro_of_issue
é o nome do problema que está a tentar reproduzir
Sugestão
Se tiver um sistema de trabalho, poderá querer obter um registo de exemplo para comparar.
-
Zipe o ficheiro e submeta-o
.pml
ao suporte da Microsoft.
Capturar registos de desempenho com o Gravador de Desempenho do Windows
Pode utilizar o Gravador de Desempenho do Windows (WPR) para incluir informações adicionais na sua submissão ao suporte da Microsoft. O WPR é uma poderosa ferramenta de gravação que cria o Rastreio de Eventos para gravações do Windows.
O WPR faz parte do Windows Assessment and Deployment Kit (Windows ADK) e pode ser transferido a partir de Transferir e instalar o Windows ADK. Também pode transferi-lo como parte do Windows 10 Software Development Kit no Windows 10 SDK.
Pode utilizar a interface de utilizador WPR ao seguir os passos em Capturar registos de desempenho com a IU da WPR.
Em alternativa, também pode utilizar a ferramenta de linha de comandos wpr.exe, que está disponível em versões Windows 8 e posteriores ao seguir os passos em Capturar registos de desempenho com a CLI do WPR.
Capturar registos de desempenho com a IU da WPR
Sugestão
Se vários dispositivos estiverem a ter este problema, utilize aquele que tem mais RAM.
Transfira e instale o WPR.
Em Windows Kits, clique com o botão direito do rato em Gravador de Desempenho do Windows.
Selecione Mais. Selecione Executar como administrador.
Quando for apresentada a caixa de diálogo Controlo de Conta de Utilizador, selecione Sim.
Em seguida, transfira o perfil de análise de Microsoft Defender para Endpoint e guarde como
MDAV.wprp
numa pasta comoC:\temp
.Na caixa de diálogo WPR, selecione Mais opções.
Selecione Adicionar Perfis... e navegue para o caminho do
MDAV.wprp
ficheiro.Depois disso, deverá ver um novo conjunto de perfis em Medidas personalizadas com o nome Microsoft Defender para Endpoint análise abaixo.
Aviso
Se o Windows Server tiver 64 GB de RAM ou mais, utilize a medida
Microsoft Defender for Endpoint analysis for large servers
personalizada em vez deMicrosoft Defender for Endpoint analysis
. Caso contrário, o seu sistema pode consumir uma elevada quantidade de memória ou memória intermédia do conjunto não paginada, o que pode levar à instabilidade do sistema. Pode escolher os perfis a adicionar ao expandir a Análise de Recursos. Este perfil personalizado fornece o contexto necessário para uma análise de desempenho aprofundada.Para utilizar a medição personalizada Microsoft Defender para Endpoint perfil de análise verboso na IU da WPR:
Certifique-se de que não estão selecionados perfis nos grupos de Triagem de primeiro nível, Análise de Recursos e Análise de Cenários .
Selecione Medidas personalizadas.
Selecione Microsoft Defender para Endpoint análise.
Selecione Verboso em Nível de detalhe .
Selecione Ficheiro ou Memória em Modo de registo.
Importante
Deve selecionar Ficheiro para utilizar o modo de registo de ficheiros se o problema de desempenho puder ser reproduzido diretamente pelo utilizador. A maioria dos problemas enquadra-se nesta categoria. No entanto, se o utilizador não conseguir reproduzir diretamente o problema, mas conseguir notá-lo facilmente assim que o problema ocorrer, o utilizador deve selecionar Memória para utilizar o modo de registo de memória. Isto garante que o registo de rastreio não irá inflacionar excessivamente devido ao tempo de execução prolongada.
Agora, está pronto para recolher dados. Saia de todas as aplicações que não são relevantes para reproduzir o problema de desempenho. Pode selecionar Ocultar opções para manter o espaço ocupado pela janela WPR pequena.
Sugestão
Experimente iniciar o rastreio em segundos numéricos inteiros. Por exemplo, 01:30:00. Desta forma, será mais fácil analisar os dados. Tente também controlar o carimbo de data/hora exatamente quando o problema é reproduzido.
Selecione Iniciar.
- Reproduza o problema.
Sugestão
Mantenha a recolha de dados num limite de cinco minutos. Dois a três minutos é um bom intervalo, uma vez que estão a ser recolhidos muitos dados.
- Seleccione Guardar.
- Preencha Escreva uma descrição detalhada do problema: com informações sobre o problema e como reproduziu o problema.
Selecione Nome do Ficheiro: para determinar onde o ficheiro de rastreio é guardado. Por predefinição, é guardado em
%user%\Documents\WPR Files\
.Seleccione Guardar.
Aguarde enquanto o rastreio está a ser intercalado.
- Depois de guardar o rastreio, selecione Abrir pasta.
Inclua o ficheiro e a pasta na sua submissão para Suporte da Microsoft.
Capturar registos de desempenho com a CLI do WPR
A ferramenta de linha de comandos wpr.exe faz parte do sistema operativo que começa com Windows 8. Para recolher um rastreio WPR com a ferramenta de linha de comandos wpr.exe:
Transfira Microsoft Defender para Endpoint perfil de análise para rastreios de desempenho para um ficheiro com o nome
MDAV.wprp
num diretório local, comoC:\traces
.Clique com o botão direito do rato no ícone Menu Iniciar e selecione Windows PowerShell (Administração) ou Linha de Comandos (Administração) para abrir uma janela da linha de comandos Administração.
Quando for apresentada a caixa de diálogo Controlo de Conta de Utilizador, selecione Sim.
Na linha de comandos elevada, execute o seguinte comando para iniciar um rastreio de desempenho Microsoft Defender para Endpoint:
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
Aviso
Se o Windows Server tiver 64 GB ou RAM ou mais, utilize perfis
WDForLargeServers.Light
eWDForLargeServers.Verbose
em vez de perfisWD.Light
eWD.Verbose
, respetivamente. Caso contrário, o seu sistema pode consumir uma elevada quantidade de memória ou memória intermédia do conjunto não paginada, o que pode levar à instabilidade do sistema.Reproduza o problema.
Sugestão
Mantenha a recolha de dados no até mais de cinco minutos. Consoante o cenário, dois a três minutos é um bom intervalo, uma vez que muitos dados estão a ser recolhidos.
Na linha de comandos elevada, execute o seguinte comando para parar o rastreio de desempenho, certificando-se de que fornece informações sobre o problema e como reproduziu o problema:
wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
Aguarde até que o rastreio seja intercalado.
Inclua o ficheiro e a pasta na sua submissão ao suporte da Microsoft.
Consulte também
- Recolher Microsoft Defender dados de diagnóstico do Antivírus
- Configurar e validar exclusões para análises de Antivírus Microsoft Defender
- Analisador de desempenho do Antivírus do Microsoft Defender
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.