排查 WPRUI Microsoft Defender防病毒性能问题

提示

首先，在排查与Microsoft Defender防病毒实时保护相关的性能问题 (RTP) 或扫描 (计划或按需) 中查看性能问题的常见原因，例如 CPU 使用率高。 然后，运行Microsoft Defender防病毒性能分析器，分析Microsoft Defender防病毒 (反恶意软件服务可执行文件、Microsoft Defender防病毒服务或 MsMpEng.exe) 中 CPU 使用率过高的原因。 如果Microsoft Defender防病毒性能分析器未确定 CPU 使用率过高的根本原因，请运行处理器监视器以缩小范围，或确定Microsoft Defender防病毒中 CPU 使用率过高的根本原因。 工具包中的最后一个工具是运行 Windows Performance Recorder UI (WPRUI) 或 Windows Performance Recorder (WPR 命令行) ，如本文所述。

使用 Windows 性能记录器捕获性能日志

Windows Performance Recorder (WPR) 是一个功能强大的录制工具，可为 Windows 录制创建事件跟踪，并允许你在提交中包含其他信息，以Microsoft支持。

WPR 是 Windows 评估和部署工具包 (Windows ADK) 的一部分，可从 下载并安装 Windows ADK 下载。 还可以通过 Windows 10 SDK 下载它作为Windows 10软件开发工具包的一部分。

或者，按照 使用 WPR UI 捕获性能日志中的步骤操作，或使用命令行工具 wpr.exe使用 WPR CLI 捕获性能日志。 两者在 Windows 8 和更高版本中都可用。

可通过两种方法捕获 Windows 性能记录器 (WPRUI) 跟踪：

1. 使用 MDE 客户端分析器

2. 手动

使用 MDE 客户端分析器

1. 下载MDE客户端分析器。

2. 使用实时响应或本地运行MDE客户端分析器。

   提示

   在开始跟踪之前，请确保问题可重现。 此外，请关闭任何不会导致重现问题的应用程序。

3. 使用 -a 和 -v 开关运行MDE客户端分析器。

   PowerShellCopy

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -a -v
   

手动

使用 WPR UI 捕获性能日志

提示

如果多个设备遇到此问题，请使用 RAM 最多的设备。

1. 下载并安装 WPR。

2. 在 “Windows 工具包”下，右键单击“ Windows 性能记录器”。

   

3. 选择“ 更多”。 选择“ 以管理员身份运行”。

4. 出现“用户帐户控制”对话框时，右键单击“ 是 ”。

   

5. 接下来，下载Microsoft Defender for Endpoint分析配置文件，并将其另存为MDAV.wprp文件夹，例如 C:\temp。

6. 在“WPR”对话框中，选择“ 更多选项”。

   

7. 选择“ 添加配置文件...” ，然后浏览到文件的路径 MDAV.wprp 。

8. 名为 Microsoft Defender for Endpoint 分析的新配置文件应显示在“自定义度量”下。

   

   警告

   如果Windows Server具有 64 GB 或更大的 RAM，请使用自定义度量Microsoft Defender for Endpoint analysis for large servers值而不是 Microsoft Defender for Endpoint analysis。 否则，系统可能会消耗大量非分页池内存或缓冲区，从而导致系统不稳定。 若要解决此问题，请浏览 资源分析 以选择要添加的配置文件。 此自定义配置文件为深入性能分析提供必要的上下文。

9. 若要在 WPR UI 中使用自定义度量Microsoft Defender for Endpoint详细分析配置文件，请执行以下操作：

   1. 确保在“一级会审”、“资源分析和方案分析”组下未选择任何配置文件。

   2. 选择“ 自定义度量”。

   3. 选择“Microsoft Defender for Endpoint分析”。

   4. 在“详细信息级别”下选择“详细”。

   5. 在“日志记录”模式下选择“ 文件 ”或“ 内存 ”。

   重要

   如果可以直接重现性能问题，请选择“ 文件 ”以使用文件日志记录模式。 大多数问题属于此类别。 但是，如果无法直接重现问题，请选择“ 内存 ”以使用内存日志记录模式。 这可以防止跟踪日志由于长时间运行而过度膨胀。

10. 现在可以收集数据了。 关闭所有不必要的应用程序。 选择“ 隐藏选项 ”，使 WPR 窗口占用的空间保持较小。

    

11. 选择“开始”。

    

12. 重现问题。

    提示

    将数据收集限制为最多 5 分钟。 理想情况下，目标是 2 到 3 分钟，因为正在收集大量数据。

13. 选择“保存”。

    

14. 填写 键入问题的详细说明： 包含有关问题以及如何重现问题的信息。

    

15. 选择“ 文件名： ”确定跟踪文件的保存位置。 默认情况下，它保存到 %user%\Documents\WPR Files\。

16. 选择“保存”。

    

17. 合并并保存跟踪后，右键单击“ 打开文件夹”。

    

18. 在提交中包括文件和文件夹，以Microsoft 支持部门。

    

使用 WPR CLI 捕获性能日志

若要使用命令行工具收集 WPR 跟踪，wpr.exe：

1. 下载Microsoft Defender for Endpoint分析性能跟踪配置文件，如 MDAV.wprp 在本地目录中，例如 C:\traces。

2. 右键单击“开始菜单”图标，然后选择“Windows PowerShell (管理员) ”或“命令提示符” (管理员) 打开管理员命令提示符窗口。

3. 在“用户帐户控制”对话框中选择“ 是 ”。

4. 在命令提示符 (管理员) 运行以下命令以启动Microsoft Defender for Endpoint性能跟踪：

   
   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   
   

   警告

   如果Windows Server具有 64 GB 或更大的 RAM，请分别使用配置文件 WDForLargeServers.Light 和 WDForLargeServers.Verbose 而不是配置文件WD.Light和 WD.Verbose。 否则，系统会消耗大量非分页池内存或缓冲区，从而导致系统不稳定。

5. 重现问题。

   提示

   将数据收集限制为最多 5 分钟。 理想情况下，目标是 2 到 3 分钟，因为正在收集大量数据。

6. 在命令提示符 (管理员) 运行以下命令以启动Microsoft Defender for Endpoint性能跟踪：

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. 等待跟踪合并。

8. 在提交中包括文件和文件夹，以Microsoft 支持部门。

另请参阅

• 在 Windows 上运行客户端分析器

• 收集Microsoft Defender防病毒诊断数据

• 排查Microsoft Defender防病毒设置问题

• 配置并验证Microsoft Defender防病毒扫描的排除项

• 排查与Microsoft Defender防病毒相关的性能问题

• 用于Microsoft Defender防病毒的性能分析器

• 排查进程监视器Microsoft Defender防病毒性能问题

• 排查 WPRUI Microsoft Defender防病毒性能问题

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。