Поделиться через

Устранение проблем с производительностью антивирусной программы Microsoft Defender с помощью WPRUI

  • Статья

Совет

Во-первых, ознакомьтесь с распространенными причинами проблем с производительностью, такими как высокая загрузка ЦП, в статье Устранение проблем с производительностью, связанных с Microsoft Defender антивирусной защитой в режиме реального времени (RTP) или сканированием (по расписанию или по запросу). Затем запустите Анализатор производительности антивирусной программы Microsoft Defender, чтобы проанализировать причину высокой загрузки ЦП в антивирусной программе Microsoft Defender (исполняемый файл службы защиты от вредоносных программ, Microsoft Defender антивирусная служба или MsMpEng.exe). Если антивирусная Анализатор производительности Microsoft Defender не определяет первопричину высокой загрузки ЦП, запустите монитор процессора, чтобы сузить или определить основную причину высокой загрузки ЦП в Microsoft Defender антивирусной программы. Последним средством в наборе средств является запуск пользовательского интерфейса средства записи производительности Windows (WPRUI) или средства записи производительности Windows (командная строка WPR), как описано в этой статье.

Запись журналов производительности с помощью средства записи производительности Windows

Средство записи производительности Windows (WPR) — это мощное средство записи, которое создает трассировку событий для записей Windows и позволяет включать дополнительные сведения в отправку в службу поддержки Майкрософт.

WPR входит в состав комплекта средств оценки и развертывания Windows (Windows ADK) и его можно скачать в разделе Скачивание и установка Windows ADK. Вы также можете скачать его как часть пакета средств разработки программного обеспечения Windows 10 на Windows 10 SDK.

Кроме того, выполните действия, описанные в разделе Запись журналов производительности с помощью пользовательского интерфейса WPR, или используйте программу командной строкиwpr.exeзапись журналов производительности с помощью интерфейса командной строки WPR. Оба доступны в Windows 8 и более поздних версиях.

Существует два способа записи трассировки средства записи производительности Windows (WPRUI):

  1. Использование клиентского анализатора MDE

  2. Вручную

Использование клиентского анализатора MDE

  1. Скачайте анализатор клиента MDE.

  2. Запустите анализатор клиента MDE с помощью динамического ответа или локально.

    Совет

    Перед началом трассировки убедитесь, что проблема воспроизводима. Кроме того, закройте все приложения, которые не способствуют воспроизведению проблемы.

  3. Запустите клиентский анализатор MDE с -a помощью параметров и -v .

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v

Вручную

Сбор журналов производительности с помощью пользовательского интерфейса WPR

Совет

Если эта проблема возникает на нескольких устройствах, используйте одно с наибольшим объемом ОЗУ.

  1. Скачайте и установите WPR.

  2. В разделе Комплекты Windows щелкните правой кнопкой мыши Средство записи производительности Windows.

    Снимок экрана: меню

  3. Выберите Дополнительно. Выберите Запуск от имени администратора.

  4. Щелкните правой кнопкой мыши да , когда откроется диалоговое окно Контроль учетных записей пользователей.

    Снимок экрана: страница контроля учетных записей.

  5. Затем скачайте профиль анализа Microsoft Defender для конечной точки и сохраните MDAV.wprp в папке , например C:\temp.

  6. В диалоговом окне WPR выберите Дополнительные параметры.

    Снимок экрана: страница, на которой можно выбрать дополнительные параметры

  7. Выберите Добавить профили... и перейдите по пути к файлу MDAV.wprp .

  8. В разделе Пользовательские измерения должен появиться новый профиль с именем Microsoft Defender для конечной точки анализа.

    Снимок экрана: файл в файле.

    Предупреждение

    Если Windows Server имеет 64 ГБ ОЗУ или более, используйте настраиваемое измерение Microsoft Defender for Endpoint analysis for large servers вместо Microsoft Defender for Endpoint analysis. В противном случае система может потреблять большой объем памяти или буферов пула, что приводит к нестабильности системы. Чтобы устранить эту проблему, изучите анализ ресурсов , чтобы выбрать профили для добавления. Этот пользовательский профиль предоставляет необходимый контекст для глубокого анализа производительности.

  9. Чтобы использовать настраиваемый Microsoft Defender для конечной точки профиль подробного анализа в пользовательском интерфейсе WPR, выполните следующие действия.

    1. Убедитесь, что профили не выбраны в группах Анализ ресурсов первого уровня, Анализ ресурсов и Анализ сценариев .

    2. Выберите Пользовательские измерения.

    3. Выберите Microsoft Defender для конечной точки анализ.

    4. Выберите Подробный в разделе Уровень сведений .

    5. Выберите Файл или Память в разделе Режим ведения журнала.

    Важно!

    Выберите Файл , чтобы использовать режим ведения журнала файлов, если вы можете напрямую воспроизвести проблему с производительностью. Большинство проблем относятся к этой категории. Однако если вы не можете напрямую воспроизвести проблему, выберите Память , чтобы использовать режим ведения журнала в памяти. Это предотвращает чрезмерное увеличение журнала трассировки из-за длительного времени выполнения.

  10. Теперь вы готовы к сбору данных. Закройте все ненужные приложения. Выберите Скрыть параметры , чтобы сохранить пространство, занимаемое окном WPR, небольшим.

    Снимок экрана: параметры скрытия.

  11. Нажмите кнопку Пуск.

    Снимок экрана: страница сведений о системе записи.

  12. Воспроизведите проблему.

    Совет

    Ограничьте сбор данных максимум пятью минутами. В идеале нацелитесь на две-три минуты, так как собирается значительный объем данных.

  13. Выберите Сохранить.

    Снимок экрана: параметр

  14. Введите подробное описание проблемы: со сведениями о проблеме и способом воспроизведения проблемы.

    Снимок экрана: область, в которой вы заполняете.

  15. Выберите Имя файла, чтобы определить, где хранится файл трассировки. По умолчанию он сохраняется в %user%\Documents\WPR Files\.

  16. Выберите Сохранить.

    Снимок экрана: общая трассировка сбора WPR.

  17. После объединения и сохранения трассировки щелкните правой кнопкой мыши команду Открыть папку.

    Снимок экрана: уведомление о сохранении трассировки WPR.

  18. Включите файл и папку в отправку в служба поддержки Майкрософт.

    Снимок экрана: сведения о файле и папке.

Сбор журналов производительности с помощью интерфейса командной строки WPR

Чтобы собрать трассировку WPR с помощью средства командной строки wpr.exe:

  1. Скачайте Microsoft Defender для конечной точки профиль трассировки производительности анализа в MDAV.wprp локальном каталоге, C:\tracesнапример .

  2. Щелкните правой кнопкой мыши значок меню "Пуск" и выберите Windows PowerShell (Администратор) или Командная строка (Администратор), чтобы открыть окно командной строки Администратор.

  3. Выберите Да в диалоговом окне Контроль учетных записей пользователей.

  4. В командной строке (Администратор) выполните следующую команду, чтобы запустить трассировку производительности Microsoft Defender для конечной точки:

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Предупреждение

    Если Windows Server имеет 64 ГБ ОЗУ или более, используйте профили WDForLargeServers.Light и WDForLargeServers.Verbose вместо профилей WD.Light и WD.Verboseсоответственно. В противном случае система потребляет большой объем памяти или буферов, не затраченных пулом, что приводит к нестабильности системы.

  5. Воспроизведите проблему.

    Совет

    Ограничьте сбор данных максимум пятью минутами. В идеале нацелитесь на две-три минуты, так как собирается значительный объем данных.

  6. В командной строке (Администратор) выполните следующую команду, чтобы запустить трассировку производительности Microsoft Defender для конечной точки:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Подождите, пока трассировка не будет объединена.

  8. Включите файл и папку в отправку в служба поддержки Майкрософт.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.