Dela via

Felsöka Microsoft Defender problem med antivirusprestanda med WPRUI

  • Artikel

Tips

Gå först igenom vanliga orsaker till prestandaproblem som hög CPU-användning i Felsöka prestandaproblem som rör Microsoft Defender Antivirus realtidsskydd (RTP) eller genomsökningar (schemalagda eller på begäran). Kör sedan Microsoft Defender Antivirus-Prestandaanalys för att analysera orsaken till hög CPU-användning i Microsoft Defender Antivirus (Körbar tjänst för program mot skadlig kod, Microsoft Defender Antivirus-tjänsten eller MsMpEng.exe). Om Microsoft Defender Antivirus-Prestandaanalys inte identifierar rotorsaken till hög CPU-användning kör du Processorövervakaren för att begränsa eller fastställa rotorsaken till den höga CPU-användningen i Microsoft Defender Antivirus. Det sista verktyget i verktygslådan är att köra Windows Performance Recorder UI (WPRUI) eller Windows Performance Recorder (WPR-kommandoraden) enligt beskrivningen i den här artikeln.

Avbilda prestandaloggar med Windows Performance Recorder

Windows Performance Recorder (WPR) är ett kraftfullt inspelningsverktyg som skapar händelsespårning för Windows-inspelningar och gör att du kan inkludera ytterligare information i din överföring till Microsoft-supporten.

WPR är en del av Windows Assessment and Deployment Kit (Windows ADK) och kan laddas ned från Ladda ned och installera Windows ADK. Du kan också ladda ned det som en del av Windows 10 Software Development Kit på Windows 10 SDK.

Du kan också följa stegen i Avbilda prestandaloggar med hjälp av WPR-användargränssnittet eller använda kommandoradsverktyget wpr.exeAvbilda prestandaloggar med HJÄLP av WPR CLI. Båda är tillgängliga i Windows 8 och senare versioner.

Det finns två sätt att samla in spårningen av Windows Performance Recorder (WPRUI):

  1. Använda MDE Client Analyzer

  2. Manuellt

Använda MDE Client Analyzer

  1. Ladda ned MDE Client Analyzer.

  2. Kör MDE Client Analyzer med livesvar eller lokalt.

    Tips

    Kontrollera att problemet är reproducerbart innan du startar spårningen. Stäng dessutom alla program som inte bidrar till reproduktionen av problemet.

  3. Kör MDE Client Analyzer med switcharna -a och -v .

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v

Manuellt

Samla in prestandaloggar med WPR-användargränssnittet

Tips

Om det här problemet uppstår på flera enheter använder du den som har mest RAM-minne.

  1. Ladda ned och installera WPR.

  2. Under Windows Kits högerklickar du på Windows Performance Recorder.

    Skärmbild som visar Start-menyn

  3. Välj Mer. Välj Kör som administratör.

  4. Högerklicka på Ja när dialogrutan Kontroll av användarkonto visas.

    Skärmbild som visar UAC-sidan.

  5. Ladda sedan ned Microsoft Defender för Endpoint-analysprofilen och spara som MDAV.wprp i en mapp, C:\temptill exempel .

  6. I dialogrutan WPR väljer du Fler alternativ.

    Skärmbild som visar sidan där du kan välja fler alternativ

  7. Välj Lägg till profiler... och bläddra till sökvägen MDAV.wprp till filen.

  8. En ny profil med namnet Microsoft Defender för Endpoint analys bör visas under Anpassade mått.

    Skärmbild som visar i-filen.

    Varning

    Om din Windows Server har 64 GB RAM eller mer använder du den anpassade mätningen Microsoft Defender for Endpoint analysis for large servers i stället för Microsoft Defender for Endpoint analysis. Annars kan systemet förbruka en stor mängd icke-sidsidigt poolminne eller buffertar, vilket leder till systeminstabilitet. Du kan åtgärda detta genom att utforska Resursanalys för att välja profiler att lägga till. Den här anpassade profilen ger den nödvändiga kontexten för djupgående prestandaanalys.

  9. Så här använder du den anpassade mätningen Microsoft Defender för Endpoint utförlig analysprofil i WPR-användargränssnittet:

    1. Se till att inga profiler har valts under grupperna Prioritering på första nivån, Resursanalys och Scenarioanalys .

    2. Välj Anpassade mått.

    3. Välj Microsoft Defender för Endpoint analys.

    4. Välj Utförlig under Detaljnivå .

    5. Välj Fil eller minne under Loggningsläge.

    Viktigt

    Välj Fil för att använda filloggningsläget om du kan återskapa prestandaproblemet direkt. De flesta problem hör till den här kategorin. Men om du inte kan återskapa problemet direkt väljer du Minne för att använda minnesloggningsläget. Detta förhindrar att spårningsloggen blåsas upp för mycket på grund av långa körningstider.

  10. Nu är du redo att samla in data. Stäng alla onödiga program. Välj Dölj alternativ för att hålla utrymmet upptaget av WPR-fönstret litet.

    Skärmbild som visar alternativen Dölj.

  11. Välj Start.

    Skärmbild som visar sidan Registrera systeminformation.

  12. Återskapa problemet.

    Tips

    Begränsa datainsamlingen till högst fem minuter. Vi rekommenderar att du siktar på två till tre minuter, eftersom en betydande mängd data samlas in.

  13. Välj Spara.

    Skärmbild som visar alternativet Spara.

  14. Fyll i Skriv in en detaljerad beskrivning av problemet: med information om problemet och hur du återskapade problemet.

    Skärmbild som visar fönstret som du fyller i.

  15. Välj Filnamn: för att avgöra var spårningsfilen sparas. Som standard sparas den i %user%\Documents\WPR Files\.

  16. Välj Spara.

    Skärmbild som visar WPR-insamling av allmän spårning.

  17. När spårningen har sammanfogats och sparats högerklickar du på Öppna mapp.

    Skärmbild som visar meddelandet att WPR-spårning har sparats.

  18. Inkludera både filen och mappen i din överföring till Microsoft Support.

    Skärmbild som visar information om filen och mappen.

Samla in prestandaloggar med WPR CLI

Samla in en WPR-spårning med hjälp av kommandoradsverktyget wpr.exe:

  1. Ladda ned Microsoft Defender för Endpoint analysprestandaspårningsprofil som MDAV.wprp i en lokal katalog, till exempel C:\traces.

  2. Högerklicka på ikonen Startmeny och välj Windows PowerShell (Admin) eller Kommandotolken (Admin) för att öppna ett Admin kommandotolksfönster.

  3. Välj Ja i dialogrutan Kontroll av användarkonto.

  4. I kommandotolken (Admin)kör du följande kommando för att starta en Microsoft Defender för Endpoint prestandaspårning:

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Varning

    Om din Windows Server har 64 GB RAM eller mer använder du profiler WDForLargeServers.Light och WDForLargeServers.Verbose i stället för profiler WD.LightWD.Verboserespektive . Annars förbrukar systemet en stor mängd icke-sidsidigt poolminne eller buffertar, vilket leder till systeminstabilitet.

  5. Återskapa problemet.

    Tips

    Begränsa datainsamlingen till högst fem minuter. Vi rekommenderar att du siktar på två till tre minuter, eftersom en betydande mängd data samlas in.

  6. I kommandotolken (Admin)kör du följande kommando för att starta en Microsoft Defender för Endpoint prestandaspårning:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Vänta tills spårningen har sammanfogats.

  8. Inkludera både filen och mappen i din överföring till Microsoft Support.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.