Поделиться через

Устранение неполадок с производительностью антивирусной программы Microsoft Defender с помощью монитора процессов

  • Статья

Совет

Во-первых, ознакомьтесь с распространенными причинами проблем с производительностью, такими как высокая загрузка ЦП. См. статью Устранение проблем с производительностью, связанных с Microsoft Defender антивирусной защитой в режиме реального времени (RTP) или сканированием (по расписанию или по запросу). Затем запустите Анализатор производительности антивирусной программы Microsoft Defender. Это средство поможет определить причину высокой загрузки ЦП в антивирусной программе Microsoft Defender, будь то исполняемый файл службы защиты от вредоносных программ, служба антивирусной Microsoft Defender или MsMpEng.exe. Если Microsoft Defender Антивирусная Анализатор производительности не определяет первопричину высокой загрузки ЦП, перейдите к запуску монитора процессора. Последнее средство в наборе средств для запуска — пользовательский интерфейс средства записи производительности Windows (WPRUI) или Windows Performance Recorded (командная строка WPR).

Сбор журналов процессов с помощью монитора процессов

Монитор процессов (ProcMon) — это расширенное средство мониторинга, которое предоставляет данные о процессах в режиме реального времени. Его можно использовать для отслеживания проблем с производительностью, таких как высокая загрузка ЦП, и для мониторинга сценариев совместимости приложений по мере их возникновения.

Вы можете записать трассировку монитора процессов (ProcMon) с помощью MDE клиентского анализатора или с помощью процесса вручную.

Использование клиентского анализатора MDE

  1. Скачайте анализатор клиента MDE.

  2. Запустите анализатор клиента MDE с помощью динамического ответа или локально.

    Совет

    Перед началом трассировки убедитесь, что проблема воспроизводима. Кроме того, закройте все приложения, которые не способствуют воспроизведению проблемы.

  3. Запустите клиентский анализатор MDE с -c помощью параметров и-v:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Процесс вручную

  1. Скачайте монитор процессов версии 4.01 в папку, например C:\temp.

  2. Чтобы удалить метку файла в Интернете, выполните следующие действия:

    1. Щелкните правой кнопкой мыши ProcessMonitor.zip и выберите Пункт Свойства.

    2. На вкладке Общие найдите Безопасность.

    3. Установите флажок рядом с разблокировать.

    4. Нажмите Применить.

    Снимок экрана, на котором показано, как удалить

  3. Распакуть файл в C:\temp , чтобы путь к папке был C:\temp\ProcessMonitorравен .

  4. Скопируйте Procmon.exe на клиент Windows или windows server, на который вы пытаетесь устранить неполадки.

    Совет

    Перед запуском ProcMon убедитесь, что все другие приложения, не связанные с высокой загрузкой ЦП, закрыты. Этот шаг помогает свести к минимуму количество процессов, которые необходимо проверка.

  5. ProcMon можно запустить двумя способами: с помощью Procmon.exe или командной строки.

    • Чтобы использовать Procmon.exe, скачайте его и откройте от имени администратора.

      1. Если вы впервые используете ProcMon, нажмите кнопку Принять , чтобы принять лицензионное соглашение о мониторинге обработки.

        Снимок экрана: лицензионное соглашение монитора процесса.

      2. Так как ведение журнала запускается автоматически, остановите запись, нажав кнопку Захват или нажав клавиши CTRL+E.

        Снимок экрана: кнопка для остановки записи ProcMon.

      3. Чтобы убедиться, что запись остановлена, найдите значок паузы на кнопке Захват , а затем удалите зарегистрированные записи, нажав кнопку Очистить или нажав клавиши CTRL+X.

        Снимок экрана: кнопка для запуска записи ProcMon.

        Снимок экрана: кнопка для очистки записей ProcMon.

    • Чтобы использовать командную строку, откройте командную строку от имени администратора. Затем выполните следующую команду:

      Снимок экрана: окно командной строки с повышенными привилегиями для запуска Procmon.exe.

    Совет

    Сделайте окно ProcMon как можно меньше при записи данных, чтобы можно было легко запустить и остановитьтрассировку Снимок экрана: рабочий стол с свернутой procmon.

  6. Задайте фильтры, щелкнув значок Фильтр . Standard фильтры задаются по умолчанию. Вы также можете отфильтровать результаты после завершения записи. Если вы применили какие-либо фильтры, нажмите кнопку Применить и нажмите кнопку ОК.

    Снимок экрана: открытие окна фильтра.

    Снимок экрана: окно фильтра.

  7. Чтобы начать запись, нажмите кнопку Записать еще раз.

  8. Воспроизведите проблему.

    Совет

    Дождитесь воспроизведения проблемы, а затем запишите метку времени, когда начинается трассировка.

  9. После записи от двух до четырех минут активности процесса во время высокой загрузки ЦП остановите запись, нажав кнопку Записать .

  10. Чтобы сохранить запись с уникальным именем в формате, перейдите .pml в файл и нажмите кнопку Сохранить.... Установите переключатели Все события и собственный формат монитора процессов (PML).

    Снимок экрана: страница параметров сохранения.

  11. Для лучшего отслеживания измените путь по умолчанию на C:\temp\ProcessMonitor\LogFile.PMLC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML :

  • %ComputerName% — это имя устройства.
  • MMDDYEAR — месяц, день и год.
  • Repro_of_issue — это имя проблемы, которую вы пытаетесь воспроизвести.

Совет

Если у вас есть рабочая система, может потребоваться получить пример журнала для сравнения.

  1. Запакуйте .pml файл и отправьте его в служба поддержки Майкрософт.