Partilhar via


Resolução de problemas de desempenho relacionados com a proteção em tempo real

Aplica-se a:

Plataformas

  • Windows

Se o seu sistema estiver a ter problemas de utilização elevada da CPU ou de desempenho relacionados com o serviço de proteção em tempo real no Microsoft Defender para Endpoint, pode submeter um pedido de suporte à Microsoft. Siga os passos em Recolher Microsoft Defender dados de diagnóstico do Antivírus.

Enquanto administrador, também pode resolver estes problemas por conta própria.

Primeiro, poderá querer verificar se o problema é causado por outro software. Leia Consulte o fornecedor para obter problemas conhecidos com exclusões de antivírus.

Caso contrário, pode identificar que software está relacionado com o problema de desempenho identificado ao seguir os passos em Analisar o Registo de Proteção da Microsoft.

Também pode fornecer outros registos à sua submissão ao suporte da Microsoft ao seguir os passos em:

Para problemas específicos de desempenho relacionados com o Antivírus Microsoft Defender, veja Analisador de desempenho do Antivírus Microsoft Defender.

Contacte o fornecedor para ver se existem problemas conhecidos com produtos antivírus

Se conseguir identificar facilmente o software que afeta o desempenho do sistema, aceda ao centro de suporte ou base de dados de conhecimento do fornecedor de software. Verifique se existem problemas conhecidos com produtos antivírus. Se necessário, pode abrir um pedido de suporte com eles e pedir-lhes para publicarem um.

Recomendamos que os fornecedores de software sigam as várias diretrizes em Parceria com a indústria para minimizar os falsos positivos. O fornecedor pode submeter o software através do portal Informações de Segurança da Microsoft.

Analisar o Registo de Proteção da Microsoft

Pode encontrar o ficheiro de registo de proteção da Microsoft em C:\ProgramData\Microsoft\Windows Defender\Support.

No MPLog-xxxxxxxx-xxxxxx.log, pode encontrar as informações de impacto estimado no desempenho da execução do software como EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

Nome do campo Descrição
ProcessImageName Nome da imagem do processo
TotalTime A duração cumulativa em milissegundos despendida em análises de ficheiros acedidos por este processo
Contagem O número de ficheiros analisados acedidos por este processo
MaxTime A duração em milissegundos na análise única mais longa de um ficheiro acedido por este processo
MaxTimeFile O caminho do ficheiro acedido por este processo para o qual foi registada a análise mais longa da MaxTime duração
EstimatedImpact A percentagem de tempo despendido nas análises de ficheiros acedidos por este processo fora do período em que este processo experimentou a atividade de análise

Se o impacto no desempenho for elevado, experimente adicionar o processo às exclusões caminho/processo ao seguir os passos em Configurar e validar exclusões para Microsoft Defender análises de Antivírus.

Se o passo anterior não resolver o problema, pode recolher mais informações através do Monitor de Processos ou do Gravador de Desempenho do Windows nas secções seguintes.

Capturar registos de processos com o Monitor de Processos

O Monitor de Processos (ProcMon) é uma ferramenta de monitorização avançada que pode mostrar processos em tempo real. Pode utilizar esta ferramenta para capturar o problema de desempenho à medida que está a ocorrer.

  1. Transfira o Monitor de Processos v3.89 para uma pasta como C:\temp.

  2. Para remover a marca do ficheiro da Web:

    1. Clique com o botão direito do ratoProcessMonitor.zip e selecione Propriedades.

    2. No separador Geral , procure Segurança.

    3. Selecione a caixa junto a Desbloquear.

    4. Selecione Aplicar.

    Captura de ecrã a mostrar a página Remover MOTW.

  3. Deszipe o ficheiro no C:\temp para que o caminho da pasta seja C:\temp\ProcessMonitor.

  4. Copie ProcMon.exe para o cliente Windows ou para o servidor Windows que está a resolver.

  5. Antes de executar o ProcMon, certifique-se de que todas as outras aplicações não relacionadas com o problema de utilização elevada da CPU estão fechadas. Seguir este passo ajuda a minimizar o número de processos a verificar.

  6. Pode iniciar o ProcMon de duas formas.

    1. Clique com o botão direito do ratoProcMon.exe e selecione Executar como administrador.

      Uma vez que o registo é iniciado automaticamente, selecione o ícone de lupa para parar a captura atual ou utilize o atalho de teclado Ctrl+E.

      Captura de ecrã a mostrar o ícone de lupa.

      Para verificar se parou a captura, verifique se o ícone de lupa aparece agora com um X vermelho.

      Captura de ecrã a mostrar uma barra vermelha.

      Em seguida, para limpar a captura anterior, selecione o ícone de borracha.

      Captura de ecrã a mostrar o ícone desmarcado

      Em alternativa, utilize o atalho de teclado Ctrl+X.

    2. A segunda forma é executar a linha de comandos como administrador e, em seguida, a partir do caminho do Monitor de Processos, execute:

      Captura de ecrã a mostrar o cmd procmon.

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Sugestão

      Torne a janela ProcMon o mais pequena possível ao capturar dados para que possa iniciar e parar facilmente o rastreio.

      Captura de ecrã a mostrar a página com o Procmon minimizado.

  7. Depois de seguir um dos procedimentos no passo 6, verá em seguida uma opção para definir filtros. Selecione OK. Pode sempre filtrar os resultados após a conclusão da captura.

    Captura de ecrã a mostrar a página onde a opção Excluir Sistema é escolhida como o Nome do Processo de Filtragem.

  8. Para iniciar a captura, selecione novamente o ícone de lupa.

  9. Reproduza o problema.

    Sugestão

    Aguarde até que o problema seja totalmente reproduzido e, em seguida, tome nota do carimbo de data/hora quando o rastreio começou.

  10. Depois de ter dois a quatro minutos de atividade do processo durante a condição de utilização elevada da CPU, pare a captura ao selecionar o ícone de lupa.

  11. Para guardar a captura com um nome exclusivo e com o .pml formato , selecione Ficheiro e, em seguida, selecione Guardar.... Certifique-se de que seleciona os botões de opção Todos os eventos e Formato de Monitor de Processo Nativo (PML).

    Captura de ecrã a mostrar a página guardar definições

  12. Para um melhor controlo, altere o caminho predefinido de C:\temp\ProcessMonitor\LogFile.PML para C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML onde:

    • %ComputerName% é o nome do dispositivo
    • MMDDYEAR é o mês, dia e ano
    • Repro_of_issue é o nome do problema que está a tentar reproduzir

    Sugestão

    Se tiver um sistema de trabalho, poderá querer obter um registo de exemplo para comparar.

  13. Zipe o ficheiro e submeta-o .pml ao suporte da Microsoft.

Capturar registos de desempenho com o Gravador de Desempenho do Windows

Pode utilizar o Gravador de Desempenho do Windows (WPR) para incluir informações adicionais na sua submissão ao suporte da Microsoft. O WPR é uma poderosa ferramenta de gravação que cria o Rastreio de Eventos para gravações do Windows.

O WPR faz parte do Windows Assessment and Deployment Kit (Windows ADK) e pode ser transferido a partir de Transferir e instalar o Windows ADK. Também pode transferi-lo como parte do Windows 10 Software Development Kit no Windows 10 SDK.

Pode utilizar a interface de utilizador WPR ao seguir os passos em Capturar registos de desempenho com a IU da WPR.

Em alternativa, também pode utilizar a ferramenta de linha de comandos wpr.exe, que está disponível em versões Windows 8 e posteriores ao seguir os passos em Capturar registos de desempenho com a CLI do WPR.

Capturar registos de desempenho com a IU da WPR

Sugestão

Se vários dispositivos estiverem a ter este problema, utilize aquele que tem mais RAM.

  1. Transfira e instale o WPR.

  2. Em Windows Kits, clique com o botão direito do rato em Gravador de Desempenho do Windows.

    Apresentação de ecrãs a mostrar o menu Iniciar

    Selecione Mais. Selecione Executar como administrador.

  3. Quando for apresentada a caixa de diálogo Controlo de Conta de Utilizador, selecione Sim.

    Captura de ecrã a mostrar a página UAC.

  4. Em seguida, transfira o perfil de análise de Microsoft Defender para Endpoint e guarde como MDAV.wprp numa pasta como C:\temp.

  5. Na caixa de diálogo WPR, selecione Mais opções.

    Captura de ecrã a mostrar a página onde pode selecionar mais opções

  6. Selecione Adicionar Perfis... e navegue para o caminho do MDAV.wprp ficheiro.

  7. Depois disso, deverá ver um novo conjunto de perfis em Medidas personalizadas com o nome Microsoft Defender para Endpoint análise abaixo.

    Captura de ecrã a mostrar o ficheiro.

    Aviso

    Se o Windows Server tiver 64 GB de RAM ou mais, utilize a medida Microsoft Defender for Endpoint analysis for large servers personalizada em vez de Microsoft Defender for Endpoint analysis. Caso contrário, o seu sistema pode consumir uma elevada quantidade de memória ou memória intermédia do conjunto não paginada, o que pode levar à instabilidade do sistema. Pode escolher os perfis a adicionar ao expandir a Análise de Recursos. Este perfil personalizado fornece o contexto necessário para uma análise de desempenho aprofundada.

  8. Para utilizar a medição personalizada Microsoft Defender para Endpoint perfil de análise verboso na IU da WPR:

    1. Certifique-se de que não estão selecionados perfis nos grupos de Triagem de primeiro nível, Análise de Recursos e Análise de Cenários .

    2. Selecione Medidas personalizadas.

    3. Selecione Microsoft Defender para Endpoint análise.

    4. Selecione Verboso em Nível de detalhe .

    5. Selecione Ficheiro ou Memória em Modo de registo.

    Importante

    Deve selecionar Ficheiro para utilizar o modo de registo de ficheiros se o problema de desempenho puder ser reproduzido diretamente pelo utilizador. A maioria dos problemas enquadra-se nesta categoria. No entanto, se o utilizador não conseguir reproduzir diretamente o problema, mas conseguir notá-lo facilmente assim que o problema ocorrer, o utilizador deve selecionar Memória para utilizar o modo de registo de memória. Isto garante que o registo de rastreio não irá inflacionar excessivamente devido ao tempo de execução prolongada.

  9. Agora, está pronto para recolher dados. Saia de todas as aplicações que não são relevantes para reproduzir o problema de desempenho. Pode selecionar Ocultar opções para manter o espaço ocupado pela janela WPR pequena.

    Captura de ecrã a mostrar as opções Ocultar.

    Sugestão

    Experimente iniciar o rastreio em segundos numéricos inteiros. Por exemplo, 01:30:00. Desta forma, será mais fácil analisar os dados. Tente também controlar o carimbo de data/hora exatamente quando o problema é reproduzido.

  10. Selecione Iniciar.

Captura de ecrã a mostrar a página Informações do sistema de registos.

  1. Reproduza o problema.

Sugestão

Mantenha a recolha de dados num limite de cinco minutos. Dois a três minutos é um bom intervalo, uma vez que estão a ser recolhidos muitos dados.

  1. Seleccione Guardar.

Captura de ecrã a mostrar a opção Guardar.

  1. Preencha Escreva uma descrição detalhada do problema: com informações sobre o problema e como reproduziu o problema.

Captura de ecrã a mostrar o painel no qual preenche.

  1. Selecione Nome do Ficheiro: para determinar onde o ficheiro de rastreio é guardado. Por predefinição, é guardado em %user%\Documents\WPR Files\.

  2. Seleccione Guardar.

  3. Aguarde enquanto o rastreio está a ser intercalado.

Captura de ecrã a mostrar o rastreio geral de recolha de WPR.

  1. Depois de guardar o rastreio, selecione Abrir pasta.

Captura de ecrã a mostrar a notificação de que o rastreio WPR foi guardado.

Inclua o ficheiro e a pasta na sua submissão para Suporte da Microsoft.

Captura de ecrã a mostrar os detalhes do ficheiro e da pasta.

Capturar registos de desempenho com a CLI do WPR

A ferramenta de linha de comandos wpr.exe faz parte do sistema operativo que começa com Windows 8. Para recolher um rastreio WPR com a ferramenta de linha de comandos wpr.exe:

  1. Transfira Microsoft Defender para Endpoint perfil de análise para rastreios de desempenho para um ficheiro com o nome MDAV.wprp num diretório local, como C:\traces.

  2. Clique com o botão direito do rato no ícone Menu Iniciar e selecione Windows PowerShell (Administração) ou Linha de Comandos (Administração) para abrir uma janela da linha de comandos Administração.

  3. Quando for apresentada a caixa de diálogo Controlo de Conta de Utilizador, selecione Sim.

  4. Na linha de comandos elevada, execute o seguinte comando para iniciar um rastreio de desempenho Microsoft Defender para Endpoint:

    
    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    
    

    Aviso

    Se o Windows Server tiver 64 GB ou RAM ou mais, utilize perfis WDForLargeServers.Light e WDForLargeServers.Verbose em vez de perfis WD.Light e WD.Verbose, respetivamente. Caso contrário, o seu sistema pode consumir uma elevada quantidade de memória ou memória intermédia do conjunto não paginada, o que pode levar à instabilidade do sistema.

  5. Reproduza o problema.

    Sugestão

    Mantenha a recolha de dados no até mais de cinco minutos. Consoante o cenário, dois a três minutos é um bom intervalo, uma vez que muitos dados estão a ser recolhidos.

  6. Na linha de comandos elevada, execute o seguinte comando para parar o rastreio de desempenho, certificando-se de que fornece informações sobre o problema e como reproduziu o problema:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. Aguarde até que o rastreio seja intercalado.

  8. Inclua o ficheiro e a pasta na sua submissão ao suporte da Microsoft.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.