排查进程监视器Microsoft Defender防病毒性能问题

提示

首先，查看性能问题的常见原因，例如 CPU 使用率过高。 请参阅排查与Microsoft Defender防病毒实时保护相关的性能问题 (rtp) 或扫描 (计划或按需扫描。 然后，运行“Microsoft Defender防病毒性能分析器**此工具将帮助确定Microsoft Defender防病毒中 CPU 使用率过高的原因，无论是反恶意软件服务可执行文件、Microsoft Defender防病毒服务还是 MsMpEng.exe。 如果Microsoft Defender防病毒性能分析器无法确定 CPU 使用率过高的根本原因，请继续运行处理器监视器。 工具包中要运行的最后一个工具是 Windows Performance Recorder UI (WPRUI) 或 Windows Performance Recorded (WPR 命令行) 。

使用进程监视器捕获进程日志

进程监视器 (ProcMon) 是一种高级监视工具，可提供进程的实时数据。 它可用于捕获性能问题（例如 CPU 使用率过高），以及监视应用程序兼容性方案的发生。

有两种方法可以捕获进程监视器 (ProcMon) 跟踪：

1. 使用 MDE 客户端分析器

2. 手动

使用 MDE 客户端分析器

1. 下载MDE客户端分析器。

2. 使用实时响应或本地运行MDE客户端分析器。

   提示

   在开始跟踪之前，请确保问题可重现。 此外，请关闭任何不有助于重现问题的应用程序。

3. 使用 -c 和 -v 开关运行MDE客户端分析器

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v
   

手动

1. 将 进程监视器 v3.89 下载到文件夹，例如 C:\temp。

2. 若要删除文件的 Web 标记，请执行以下操作：

   1. 右键单击 “ProcessMonitor.zip ”，然后选择“ 属性”。

   2. 在“ 常规 ”选项卡下，查找 “安全性”。

   3. 选中“ 取消阻止”旁边的框。

   4. 选择“应用”。

      

3. 将文件解压缩到 中 C:\temp ，使文件夹路径为 C:\temp\ProcessMonitor。

4. 将 ProcMon.exe 复制到要进行故障排除的 Windows 客户端或 Windows 服务器。

   提示

   在运行 ProcMon 之前，请确保关闭与 CPU 使用率过高问题无关的所有其他应用程序。 执行此步骤有助于最大程度地减少要检查的进程数。

5. 可以通过两种方式启动 ProcMon。

   1. 右键单击 “ProcMon.exe ”，然后选择“ 以管理员身份运行”。

   • 由于日志记录会自动启动，请通过选择放大镜图标或按 Ctrl+E 停止捕获。

     

   2. 若要确认捕获已停止，请在放大镜图标上查找红色 X。

      

   3. 以管理员身份运行 命令行 ，然后从进程监视器路径运行：

      

   提示

   在捕获数据时，尽可能缩小 ProcMon 窗口，以便轻松启动和停止跟踪。

6. 完成步骤 6 后，通过选择“ 确定”设置筛选器。 捕获完成后，可以筛选结果。

   

7. 若要开始捕获，请再次选择放大镜图标。

8. 重现问题。

   提示

   等待问题重现，然后记下跟踪开始时的时间戳。

9. 在 CPU 使用率过高期间捕获了 2 到 4 分钟的进程活动后，单击放大镜图标停止捕获。

10. 若要以格式使用唯一名称 .pml 保存捕获，请转到 “文件 ”，然后单击“ 保存...”。确保选择“ 所有事件 ”和 “本机进程监视器格式”单选按钮， (PML) 。

    

11. 为了更好地跟踪，请将默认路径从 C:\temp\ProcessMonitor\LogFile.PML 更改为 C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML ，其中：

• %ComputerName% 是设备名称
• MMDDYEAR 是月份、日和年
• Repro_of_issue 是你尝试重现的问题的名称

提示

如果你有一个工作系统，你可能想要获取一个示例日志进行比较。

12. 压缩文件并将其.pml提交到Microsoft 支持部门。