Справочник по Анализатор производительности антивирусной программы Microsoft Defender

Справочные материалы по PowerShell

Для настройки производительности Microsoft Defender антивирусной программы можно использовать следующие новые командлеты PowerShell:

• New-MpPerformanceRecording
• Get-MpPerformanceReport

New-MpPerformanceRecording

В следующем разделе описывается справочник по новому командлету New-MpPerformanceRecordingPowerShell . Этот командлет собирает запись производительности Microsoft Defender проверок антивирусной программы.

Синтаксис: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Описание: New-MpPerformanceRecording

Командлет New-MpPerformanceRecording собирает запись производительности Microsoft Defender проверок антивирусной программы. Эти записи производительности содержат события процессов ядра Microsoft-Antimalware-Engine и NT и могут быть проанализированы после сбора с помощью командлета Get-MpPerformanceReport .

Этот New-MpPerformanceRecording командлет предоставляет представление о проблемных файлах, которые могут привести к снижению производительности Microsoft Defender антивирусной программы. Это средство предоставляется как есть и не предназначено для предоставления предложений по исключениям. Исключения могут снизить уровень защиты конечных точек. Исключения, если таковые есть, следует определять с осторожностью.

Дополнительные сведения об анализаторе производительности см. в документации по Анализатор производительности.

Важно!

Для этого командлета требуются повышенные права администратора.

Примеры: New-MpPerformanceRecording

Пример 1. Сбор записи производительности и ее сохранение

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

Команда собирает запись производительности и сохраняет ее по указанному пути: .\Defender-scans.etl.

Пример 2. Сбор записи производительности для удаленного сеанса PowerShell

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

Команда собирает запись производительности в Server02 (как указано аргументом $s параметра Session) и сохраняет ее по указанному пути: C:\LocalPathOnServer02\trace.etl в Server02.

Параметры: New-MpPerformanceRecording

-RecordTo

Указывает расположение для сохранения записи производительности Microsoft Defender Защиты от вредоносных программ.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Сеанс

Указывает объект, PSSession в котором необходимо создать и сохранить запись производительности Microsoft Defender Антивирусная программа. При использовании этой команды RecordTo параметр ссылается на локальный путь на удаленном компьютере. Доступно в версии платформы Defender и более поздних версий 4.18.2201.10 .

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

В следующем разделе описывается Get-MpPerformanceReport командлет PowerShell. Анализирует и сообщает о записи производительности антивирусной программы Microsoft Defender.

Синтаксис: Get-MpPerformanceReport

    Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile 
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath 
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>] 
    [-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>] 
    [-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>] 
    [-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>] 
    [-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>] 
    [-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>] 
    [-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>] 
    [-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>] 
    [-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw] 
    [<CommonParameters>]

Описание: Get-MpPerformanceReport

Командлет Get-MpPerformanceReport анализирует ранее собранный Microsoft Defender записи производительности антивирусной программы (New-MpPerformanceRecording) и сообщает о путях к файлам, расширениях файлов и процессах, которые оказывают наибольшее влияние на Microsoft Defender проверки антивирусной программы.

Анализатор производительности предоставляет аналитические сведения о проблемных файлах, которые могут привести к снижению производительности Microsoft Defender антивирусной программы. Это средство предоставляется "как есть" и не предназначено для предоставления предложений по исключениям. Исключения могут снизить уровень защиты конечных точек. Исключения, если таковые есть, следует определять с осторожностью.

Дополнительные сведения об анализаторе производительности см. в документации по Анализатор производительности.

Поддерживаемые версии ОС:

Windows версии 10 и более поздних.

Примечание.

Эта функция доступна начиная с версии 4.18.2108.X платформы и более поздних версий.

Примеры: Get-MpPerformanceReport

Пример 1. Один запрос

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

Пример 2. Несколько запросов

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

Пример 3. Вложенные запросы

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

Пример 4. Использование параметра -MinDuration

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

Пример 5. Использование параметра -Raw

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

Использование -Raw в команде указывает, что выходные данные должны быть машиночитаемыми и легко преобразуемыми в формат сериализации, например JSON.

Параметры: Get-MpPerformanceReport

-TopPaths

Запрашивает отчет по верхним путям и указывает, сколько верхних путей к выходным данным отсортировано по длительности. Агрегирует проверки на основе пути и каталога. Пользователь может указать, сколько каталогов должно отображаться на каждом уровне и глубину выделения.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

Задает рекурсивную глубину, которая используется для группировки и отображения агрегированных результатов пути. Например, C:\ соответствует глубине 1, а C:\Users\Foo — глубине 3.

Этот флаг может сопровождать все остальные параметры верхнего пути. Если этот параметр отсутствует, предполагается значение по умолчанию 3. Значение не может быть равным 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

flag	определение
-TopScansPerPath	Указывает, сколько верхних сканирований необходимо указать для каждого верхнего пути.
-TopFilesPerPath	Указывает, сколько верхних файлов следует указать для каждого верхнего пути.
-TopScansPerFilePerPath	Указывает, сколько самых верхних проверок будет выводиться для каждого верхнего файла по каждому верхнему пути, отсортированное по длительности.
-TopExtensionsPerPath	Указывает, сколько верхних расширений будет выводиться для каждого верхнего пути.
-TopScansPerExtensionPerPath	Указывает, сколько проверок верхнего уровня выводится для каждого верхнего расширения для каждого верхнего пути.
-TopProcessesPerPath	Указывает, сколько основных процессов необходимо вывести для каждого верхнего пути.
-TopScansPerProcessPerPath	Указывает, сколько проверок верхнего уровня необходимо вывести для каждого верхнего процесса для каждого верхнего пути.
-TopPathsPerExtension	Указывает, сколько верхних путей для вывода для каждого верхнего расширения
-TopScansPerPathPerExtension	Указывает, сколько проверок верхнего уровня выводится для каждого верхнего пути для каждого верхнего расширения.
-TopPathsPerProcess	Указывает, сколько верхних путей для вывода для каждого верхнего процесса
-TopScansPerPathPerProcess	Указывает, сколько проверок верхнего уровня необходимо вывести для каждого верхнего пути для каждого верхнего процесса.

-MinDuration

Указывает минимальную длительность любой проверки или общую длительность сканирования файлов, расширений и процессов, включенных в отчет; принимает такие значения, как 0.1234567sec, 0.1234ms, 0.1usили допустимый диапазон времени.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Путь

Указывает путь или пути к одному или нескольким расположениям.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Сырой

Указывает, что выходные данные записи производительности должны быть машиночитаемыми и легко преобразуемыми в форматы сериализации, такие как JSON (например, с помощью команды Convert-to-JSON). Эта конфигурация рекомендуется для пользователей, заинтересованных в пакетной обработке с помощью других систем обработки данных.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensions

Указывает, сколько верхних расширений для вывода, отсортированных по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Указывает, сколько верхних расширений будет выводиться для каждого верхнего процесса, отсортированного по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiles

Запрашивает отчет о верхних файлах и указывает, сколько лучших файлов будет выводиться, отсортированных по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Указывает, сколько лучших файлов будет выводиться для каждого верхнего расширения, отсортированного по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Указывает, сколько лучших файлов будет выводиться для каждого верхнего процесса, отсортированного по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcesses

Запрашивает отчет о топ-процессах и указывает, сколько основных процессов будет выводиться, отсортированных по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Указывает, сколько основных процессов необходимо вывести для каждого верхнего расширения, отсортированного по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Указывает, сколько основных процессов необходимо вывести для каждого верхнего файла, отсортированного по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Запрашивает отчет о проверке сверху и указывает, сколько отсортировано по длительности проверок.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Указывает, сколько основных проверок будет выводиться для каждого верхнего расширения, отсортированного по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Указывает, сколько основных проверок будет выводиться для каждого верхнего расширения для каждого верхнего процесса, отсортированного по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Указывает, сколько отсортированных по длительности сканирований для каждого верхнего файла будет выводиться.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Указывает, сколько отсортированных по длительности проверок для каждого верхнего файла для каждого верхнего расширения.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Указывает, сколько результатов проверки на наличие выходных данных для каждого верхнего файла для каждого верхнего процесса с сортировкой по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Указывает, сколько основных проверок будет выводиться для каждого верхнего процесса в отчете Основные процессы, отсортированных по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Указывает, сколько основных проверок на выходные данные для каждого верхнего процесса для каждого верхнего расширения с сортировкой по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Указывает, сколько основных сканирует выходные данные для каждого верхнего процесса для каждого верхнего файла, отсортированного по длительности.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.