Microsoft Defender 防病毒軟體 效能分析器 參考
PowerShell 參考
您可以使用下列新的 PowerShell Cmdlet 來微調 Microsoft Defender 防病毒軟體的效能:
New-MpPerformanceRecording
下一節描述新 PowerShell Cmdlet New-MpPerformanceRecording的參考。 此 Cmdlet 會收集 Microsoft Defender 防病毒軟體掃描的效能記錄。
語法:New-MpPerformanceRecording
New-MpPerformanceRecording -RecordTo <String>
描述:New-MpPerformanceRecording
Cmdlet New-MpPerformanceRecording 會收集 Microsoft Defender 防病毒軟體掃描的效能記錄。 這些效能記錄包含Microsoft反惡意代碼引擎和NT核心進程事件,而且可以在使用 Get-MpPerformanceReport Cmdlet 收集之後進行分析。
此 New-MpPerformanceRecording Cmdlet 可讓您深入瞭解可能導致防病毒軟體效能降低的問題檔案 Microsoft Defender。 此工具會依原樣提供,且不適合提供 排除項目的建議。 排除專案可以降低端點的保護層級。 如果有的話,應該謹慎定義排除專案。
如需效能分析器的詳細資訊,請參閱 效能分析器 檔。
重要事項
此 Cmdlet 需要提高的系統管理員許可權。
範例:New-MpPerformanceRecording
範例 1:收集效能錄製並儲存
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl
命令會收集效能錄製,並將其儲存至指定的路徑: .\Defender-scans.etl。
範例 2:收集遠端 PowerShell 工作階段的效能錄製
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s
命令會收集 (上的 Server02 效能記錄,如參數 Session) 的自變數$s所指定,並將它儲存至指定的路徑: C:\LocalPathOnServer02\trace.etl 在 上 Server02。
參數:New-MpPerformanceRecording
-RecordTo
指定儲存反惡意代碼 Microsoft Defender 效能記錄的位置。
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-會期
指定PSSession要在其中建立和儲存 Microsoft Defender 防病毒軟體效能記錄的物件。 當您使用此命令時, RecordTo 參數會參考遠端電腦上的本機路徑。 適用於 Defender 平臺版本和更新版本 4.18.2201.10 。
Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Get-MpPerformanceReport
下一節說明 Get-MpPerformanceReport PowerShell Cmdlet。 分析和報告 Microsoft Defender 防病毒軟體效能記錄。
語法:Get-MpPerformanceReport
Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>]
[-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>]
[-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>]
[-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>]
[-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>]
[-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>]
[-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>]
[-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>]
[-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw]
[<CommonParameters>]
描述:Get-MpPerformanceReport
此 Get-MpPerformanceReport Cmdlet 會分析先前收集的 Microsoft Defender 防病毒軟體效能記錄 (New-MpPerformanceRecording) ,並報告對 Microsoft Defender 防病毒軟體掃描造成最大影響的檔案路徑、擴展名和程式。
效能分析器可讓您深入瞭解可能導致防病毒軟體效能降低的問題檔案 Microsoft Defender。 此工具是以「原樣」提供,不是為了提供排除項目的建議。 排除專案可以降低端點的保護層級。 如果有的話,應該謹慎定義排除專案。
如需效能分析器的詳細資訊,請參閱 效能分析器 檔。
支援的作業系統版本:
Windows 版本 10 和更新版本。
注意事項
此功能可從平臺版本和更新版本 4.18.2108.X 開始提供。
範例:Get-MpPerformanceReport
範例 1:單一查詢
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
範例 2:多重查詢
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
範例 3:巢狀查詢
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
範例 4:使用 -MinDuration 參數
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
範例 5:使用 -Raw 參數
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json
在 命令中使用 -Raw 會指定輸出應為計算機可讀取且可立即轉換成串行化格式,例如 JSON。
參數:Get-MpPerformanceReport
-TopPaths
要求最上層路徑報表,並指定要輸出的熱門路徑數目,依持續時間排序。 根據掃描的路徑和目錄匯總掃描。 用戶可以指定每個層級應該顯示多少目錄,以及選取範圍的深度。
- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth
指定用來分組和顯示匯總路徑結果的遞歸深度。 例如 C:\ ,對應至 1 的深度,並且 C:\Users\Foo 對應至 3 的深度。
此旗標可以隨附所有其他 [最上層路徑] 選項。 如果遺漏,則會假設預設值為 3。 值不能是 0。
- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
| 旗 | 定義 |
|---|---|
-TopScansPerPath |
指定要為每個頂端路徑指定的頂端掃描數目。 |
-TopFilesPerPath |
指定要為每個頂端路徑指定的頂端檔案數目。 |
-TopScansPerFilePerPath |
指定每個最上層路徑的每個頂端檔案要輸出的頂端掃描數目,依「持續時間」排序 |
-TopExtensionsPerPath |
指定每個頂端路徑要輸出的頂端延伸模組數目 |
-TopScansPerExtensionPerPath |
指定每個頂端路徑每個頂端延伸模組要輸出的頂端掃描數目 |
-TopProcessesPerPath |
指定每個最上層路徑要輸出的頂端進程數目 |
-TopScansPerProcessPerPath |
指定每個最上層路徑的每個最上層進程要輸出的頂端掃描數目 |
-TopPathsPerExtension |
指定每個頂端延伸模組要輸出的頂端路徑數目 |
-TopScansPerPathPerExtension |
指定每個頂端延伸模組的每個最上層路徑要輸出的頂端掃描數目 |
-TopPathsPerProcess |
指定每個最上層進程要輸出的頂端路徑數目 |
-TopScansPerPathPerProcess |
指定每個最上層進程的每個最上層路徑要輸出的頂端掃描數目 |
-MinDuration
指定報表中所包含檔案、擴充功能和進程的任何掃描或總掃描持續時間的最小持續時間;接受、0.1234ms、 0.1us或有效 TimeSpan 等0.1234567sec值。
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Path
指定一或多個位置的路徑。
Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-生
指定效能記錄的輸出應該是機器可讀取且可立即轉換成串行化格式,例如透過轉換成 JSON 命令 () 。 建議您為有興趣使用其他數據處理系統進行批處理的使用者使用此設定。
Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensions
指定要輸出的頂端延伸模組數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess
指定每個最上層進程要輸出的頂端延伸模組數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiles
要求最上層檔案報表,並指定要輸出的頂端檔案數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension
指定每個頂端延伸模組要輸出的頂端檔案數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess
指定每個最上層進程要輸出的頂端檔案數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcesses
要求最上層進程報表,並指定要輸出的熱門進程數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension
指定每個最上層延伸模組要輸出的熱門進程數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile
指定每個頂端檔案要輸出的頂端進程數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans
要求最上層掃描報表,並指定輸出的頂端掃描數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension
指定每個頂端延伸模組要輸出的頂端掃描數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess
指定每個最上層進程的每個最上層延伸模組要輸出的頂端掃描數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile
指定每個最上層檔案要輸出的頂端掃描數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension
指定每個最上層擴展名的每個頂端檔案要輸出的頂端掃描數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess
指定每個最上層進程中每個最上層檔案的輸出最上層掃描數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess
指定依持續時間排序的 Top Process 報表中每個最上層進程要輸出的頂端掃描數目。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension
指定每個最上層延伸模組每個最上層進程的輸出最上層掃描數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile
指定每個最上層檔案每個最上層進程的輸出最上層掃描數目,依持續時間排序。
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。