用于Microsoft Defender防病毒的性能分析器

适用对象

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 防病毒

平台

• Windows

要求

Microsoft Defender防病毒性能分析器具有以下先决条件：

• 支持的 Windows 版本：
  • Windows 10
  • Windows 11
  • Windows Server 2016 及更高版本
  • 使用新式统一解决方案) 加入时，Windows Server 2012 R2 (
  • 对于Windows Server 2012 R2，需要 Windows ADK (Windows Performance Toolkit) 。 下载并安装 Windows ADK
• 平台版本： 4.18.2108.7 或更高版本
• PowerShell 版本：PowerShell 版本 5.1、PowerShell ISE、远程 PowerShell (4.18.2201.10+) 、PowerShell 7.x (4.18.2201.10+)

什么是Microsoft Defender防病毒性能分析器？

如果运行Microsoft Defender防病毒的设备遇到性能问题，则可以使用性能分析器来提高Microsoft Defender防病毒的性能。 性能分析器是一种 PowerShell 命令行工具，可帮助你确定在防病毒扫描期间可能导致单个终结点性能问题的文件、文件扩展名和进程。 可以使用性能分析器收集的信息来评估性能问题并应用修正操作。

与机械师在有性能问题的车辆上执行诊断和服务的方式类似，性能分析器可以帮助你提高Microsoft Defender防病毒性能。

要分析的一些选项包括：

• 影响扫描时间的首要路径
• 影响扫描时间的热门文件
• 影响扫描时间的顶级进程
• 影响扫描时间的热门文件扩展名
• 组合 - 例如：
  • 每个扩展名的排名靠前的文件数
  • 每个扩展的顶部路径
  • 每个路径的顶级进程数
  • 每个文件的顶级扫描数
  • 每个进程的每个文件扫描数

运行性能分析器

运行性能分析器的高级过程涉及以下步骤：

1. 运行性能分析器以收集终结点上Microsoft Defender防病毒事件的性能记录。

   注意

   Microsoft Defender 类型的Microsoft-Antimalware-Engine防病毒事件的性能通过性能分析器进行记录。

2. 使用不同的记录报告分析扫描结果。

使用性能分析器

若要开始记录系统事件，请在管理员模式下打开 PowerShell 并执行以下步骤：

1. 运行以下命令以开始录制：

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   其中 -RecordTo ，参数指定保存跟踪文件的完整路径位置。 有关 cmdlet 的详细信息，请参阅 Microsoft Defender防病毒 cmdlet。

2. 如果认为存在影响性能的进程或服务，请通过执行相关任务来重现情况。

3. 按 Enter 可停止并保存录制，按 Ctrl+C 可取消录制。

4. 使用性能分析器的 Get-MpPerformanceReport 参数分析结果。 例如，在执行 命令 Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10时，会向用户提供影响性能的前三个文件的十大扫描列表。

   有关命令行参数和选项的详细信息，请参阅 New-MpPerformanceRecording 和 Get-MpPerformanceReport。

注意

运行录制时，如果收到错误“无法启动性能录制，因为 Windows 性能录制器已在录制”，请运行以下命令，使用新命令停止现有跟踪： wpr -cancel -instancename MSFT_MpPerformanceRecording。

性能优化数据和信息

根据查询，用户能够查看扫描计数、持续时间 (total/min/average/max/median/median) 、路径、进程和扫描原因的数据。 下图显示了扫描影响排名前 10 的文件的简单查询的示例输出。

导出并转换为 CSV 和 JSON

性能分析器的结果也可以导出并转换为 CSV 或 JSON 文件。 本文包含通过示例代码描述“导出”和“转换”过程的示例。

从 Defender 版本 4.18.2206.X开始，用户能够查看列下的 SkipReason 扫描跳过原因信息。 可能的值有：

• 未跳过
• 优化 (通常是由于性能原因)
• 用户跳过 (通常是由于用户集排除)

对于 CSV

• 若要导出：：

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• 若要转换，请：

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

对于 JSON

• 若要转换，请：

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

为确保使用其他数据处理系统导出的计算机可读输出，建议对 Get-MpPerformanceReport使用 -Raw 参数。 有关更多详细信息，请参阅以下部分。

Microsoft Defender防病毒性能分析器参考

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。