Felsöka Microsoft Defender problem med antivirusprestanda med WPRUI
Tips
Gå först igenom vanliga orsaker till prestandaproblem som hög CPU-användning i Felsöka prestandaproblem som rör Microsoft Defender Antivirus realtidsskydd (RTP) eller genomsökningar (schemalagda eller på begäran). Kör sedan Microsoft Defender Antivirus-Prestandaanalys för att analysera orsaken till hög CPU-användning i Microsoft Defender Antivirus (Körbar tjänst för program mot skadlig kod, Microsoft Defender Antivirus-tjänsten eller MsMpEng.exe). Om Microsoft Defender Antivirus-Prestandaanalys inte identifierar rotorsaken till hög CPU-användning kör du Processorövervakaren för att begränsa eller fastställa rotorsaken till den höga CPU-användningen i Microsoft Defender Antivirus. Det sista verktyget i verktygslådan är att köra Windows Performance Recorder UI (WPRUI) eller Windows Performance Recorder (WPR-kommandoraden) enligt beskrivningen i den här artikeln.
Avbilda prestandaloggar med Windows Performance Recorder
Windows Performance Recorder (WPR) är ett kraftfullt inspelningsverktyg som skapar händelsespårning för Windows-inspelningar och gör att du kan inkludera ytterligare information i din överföring till Microsoft-supporten.
WPR är en del av Windows Assessment and Deployment Kit (Windows ADK) och kan laddas ned från Ladda ned och installera Windows ADK. Du kan också ladda ned det som en del av Windows 10 Software Development Kit på Windows 10 SDK.
Du kan också följa stegen i Avbilda prestandaloggar med hjälp av WPR-användargränssnittet eller använda kommandoradsverktyget wpr.exeAvbilda prestandaloggar med HJÄLP av WPR CLI. Båda är tillgängliga i Windows 8 och senare versioner.
Det finns två sätt att samla in spårningen av Windows Performance Recorder (WPRUI):
Använda MDE Client Analyzer
Manuellt
Använda MDE Client Analyzer
Ladda ned MDE Client Analyzer.
Kör MDE Client Analyzer med livesvar eller lokalt.
Tips
Kontrollera att problemet är reproducerbart innan du startar spårningen. Stäng dessutom alla program som inte bidrar till reproduktionen av problemet.
Kör MDE Client Analyzer med switcharna
-a
och-v
.PowerShellCopy
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v
Manuellt
Samla in prestandaloggar med WPR-användargränssnittet
Tips
Om det här problemet uppstår på flera enheter använder du den som har mest RAM-minne.
Ladda ned och installera WPR.
Under Windows Kits högerklickar du på Windows Performance Recorder.
Välj Mer. Välj Kör som administratör.
Högerklicka på Ja när dialogrutan Kontroll av användarkonto visas.
Ladda sedan ned Microsoft Defender för Endpoint-analysprofilen och spara som
MDAV.wprp
i en mapp,C:\temp
till exempel .I dialogrutan WPR väljer du Fler alternativ.
Välj Lägg till profiler... och bläddra till sökvägen
MDAV.wprp
till filen.En ny profil med namnet Microsoft Defender för Endpoint analys bör visas under Anpassade mått.
Varning
Om din Windows Server har 64 GB RAM eller mer använder du den anpassade mätningen
Microsoft Defender for Endpoint analysis for large servers
i stället förMicrosoft Defender for Endpoint analysis
. Annars kan systemet förbruka en stor mängd icke-sidsidigt poolminne eller buffertar, vilket leder till systeminstabilitet. Du kan åtgärda detta genom att utforska Resursanalys för att välja profiler att lägga till. Den här anpassade profilen ger den nödvändiga kontexten för djupgående prestandaanalys.Så här använder du den anpassade mätningen Microsoft Defender för Endpoint utförlig analysprofil i WPR-användargränssnittet:
Se till att inga profiler har valts under grupperna Prioritering på första nivån, Resursanalys och Scenarioanalys .
Välj Anpassade mått.
Välj Microsoft Defender för Endpoint analys.
Välj Utförlig under Detaljnivå .
Välj Fil eller minne under Loggningsläge.
Viktigt
Välj Fil för att använda filloggningsläget om du kan återskapa prestandaproblemet direkt. De flesta problem hör till den här kategorin. Men om du inte kan återskapa problemet direkt väljer du Minne för att använda minnesloggningsläget. Detta förhindrar att spårningsloggen blåsas upp för mycket på grund av långa körningstider.
Nu är du redo att samla in data. Stäng alla onödiga program. Välj Dölj alternativ för att hålla utrymmet upptaget av WPR-fönstret litet.
Välj Start.
Återskapa problemet.
Tips
Begränsa datainsamlingen till högst fem minuter. Vi rekommenderar att du siktar på två till tre minuter, eftersom en betydande mängd data samlas in.
Välj Spara.
Fyll i Skriv in en detaljerad beskrivning av problemet: med information om problemet och hur du återskapade problemet.
Välj Filnamn: för att avgöra var spårningsfilen sparas. Som standard sparas den i
%user%\Documents\WPR Files\
.Välj Spara.
När spårningen har sammanfogats och sparats högerklickar du på Öppna mapp.
Inkludera både filen och mappen i din överföring till Microsoft Support.
Samla in prestandaloggar med WPR CLI
Samla in en WPR-spårning med hjälp av kommandoradsverktyget wpr.exe:
Ladda ned Microsoft Defender för Endpoint analysprestandaspårningsprofil som
MDAV.wprp
i en lokal katalog, till exempelC:\traces
.Högerklicka på ikonen Startmeny och välj Windows PowerShell (Admin) eller Kommandotolken (Admin) för att öppna ett Admin kommandotolksfönster.
Välj Ja i dialogrutan Kontroll av användarkonto.
I kommandotolken (Admin)kör du följande kommando för att starta en Microsoft Defender för Endpoint prestandaspårning:
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
Varning
Om din Windows Server har 64 GB RAM eller mer använder du profiler
WDForLargeServers.Light
ochWDForLargeServers.Verbose
i stället för profilerWD.Light
WD.Verbose
respektive . Annars förbrukar systemet en stor mängd icke-sidsidigt poolminne eller buffertar, vilket leder till systeminstabilitet.Återskapa problemet.
Tips
Begränsa datainsamlingen till högst fem minuter. Vi rekommenderar att du siktar på två till tre minuter, eftersom en betydande mängd data samlas in.
I kommandotolken (Admin)kör du följande kommando för att starta en Microsoft Defender för Endpoint prestandaspårning:
wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
Vänta tills spårningen har sammanfogats.
Inkludera både filen och mappen i din överföring till Microsoft Support.
Se även
Samla in diagnostikdata för Microsoft Defender antivirusprogram
Konfigurera och validera undantag för Microsoft Defender Antivirus-genomsökningar
Felsöka prestandaproblem som rör Microsoft Defender Antivirus
Felsöka Microsoft Defender problem med antivirusprestanda med Process Monitor
Felsöka Microsoft Defender problem med antivirusprestanda med WPRUI
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.