Felsöka Microsoft Defender problem med antivirusprestanda med Process Monitor

Artikel
01/11/2025

Tips

Gå först igenom vanliga orsaker till prestandaproblem, till exempel hög CPU-användning. Se Felsöka prestandaproblem som rör Microsoft Defender Antivirus realtidsskydd (rtp) eller genomsökningar (schemalagda eller på begäran). Kör sedan **Microsoft Defender Antivirus Prestandaanalys**Det här verktyget hjälper dig att identifiera orsaken till hög CPU-användning i Microsoft Defender Antivirus, oavsett om det är den körbara tjänsten Antimalware, Microsoft Defender Antivirus-tjänsten eller MsMpEng.exe. Om Microsoft Defender Antivirus-Prestandaanalys inte identifierar rotorsaken till den höga CPU-användningen fortsätter du med att köra Processorövervakaren. Det sista verktyget i verktygslådan som ska köras är WINDOWS Performance Recorder UI (WPRUI) eller Windows Performance Recorded (WPR-kommandoraden).

Avbilda processloggar med processövervakaren

Process Monitor (ProcMon) är ett avancerat övervakningsverktyg som tillhandahåller realtidsdata om processer. Den kan användas för att samla in prestandaproblem, till exempel hög CPU-användning, och för att övervaka programkompatibilitetsscenarier när de inträffar.

Det finns två sätt att samla in en Process Monitor-spårning (ProcMon):

Använda MDE Client Analyzer
Manuellt

Använda MDE Client Analyzer

Ladda ned MDE Client Analyzer.
Kör MDE Client Analyzer med livesvar eller lokalt.

Tips

Kontrollera att problemet är reproducerbart innan du startar spårningen. Stäng dessutom alla program som inte bidrar till reproduktionen av problemet.

Kör MDE Client Analyzer med -c- och -v-växlarna

C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Manuellt

Ladda ned Process Monitor v3.89 till en mapp som C:\temp.
Så här tar du bort filens webbmärke:
1. Högerklicka på ProcessMonitor.zip och välj Egenskaper.
2. Under fliken Allmänt letar du efter Säkerhet.
3. Markera kryssrutan bredvid Avblockera.
4. Välj Använd.
Packa upp filen i C:\temp så att mappsökvägen är C:\temp\ProcessMonitor.
Kopiera ProcMon.exe till Windows-klienten eller Windows-servern som du felsöker.

Tips

Innan du kör ProcMon kontrollerar du att alla andra program som inte är relaterade till problemet med hög CPU-användning är stängda. Det här steget hjälper till att minimera antalet processer som ska kontrolleras.
Du kan starta ProcMon på två sätt.
1. Högerklicka på ProcMon.exe och välj Kör som administratör.
- Eftersom loggningen startar automatiskt stoppar du avbildningen genom att välja förstoringsglasikonen eller trycka på Ctrl+E.
1. Kontrollera att avbildningen har stoppats genom att leta efter ett rött X på förstoringsglasikonen.
2. Kör kommandoraden som administratör och kör sedan från sökvägen För processövervakaren:
Tips

Gör ProcMon-fönstret så litet som möjligt när du samlar in data så att du enkelt kan starta och stoppa spårningen.
När du har slutfört steg 6 anger du filter genom att välja OK. Du kan filtrera resultaten när avbildningen är klar.
Starta avbildningen genom att välja förstoringsglasikonen igen.
Återskapa problemet.

Tips

Vänta tills problemet har återskapats och notera sedan tidsstämpeln när spårningen börjar.
När du har fångat två till fyra minuters processaktivitet under hög CPU-användning stoppar du avbildningen genom att klicka på förstoringsglasikonen.
Om du vill spara avbildningen med ett unikt namn i .pml formatet går du till Arkiv och klickar sedan på Spara.... Se till att du väljer alternativknapparna Alla händelser och PML (Native Process Monitor Format).
För bättre spårning ändrar du standardsökvägen från C:\temp\ProcessMonitor\LogFile.PML till C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML där: