疑難排解即時保護相關的效能問題
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender 防毒軟體
平台
- Windows
如果您的系統在 適用於端點的 Microsoft Defender 中遇到與即時保護服務相關的高 CPU 使用量或效能問題,您可以提交票證給Microsoft支援。 請遵循收集 Microsoft Defender 防病毒軟體診斷數據中的步驟。
身為系統管理員,您也可以自行針對這些問題進行疑難解答。
首先,您可能想要檢查問題是否由其他軟體所造成。 如需 防病毒軟體排除專案的已知問題,請參閱洽詢廠商。
否則,您可以遵循 分析Microsoft保護記錄檔中的步驟,來識別與所識別效能問題相關的軟體。
您也可以依照下列步驟,將其他記錄檔提供給您的提交,以Microsoft支援:
如需與 Microsoft Defender 防病毒軟體相關的效能特定問題,請參閱 Microsoft Defender 防病毒軟體的效能分析器。
請洽詢廠商防病毒軟體產品的已知問題
如果您可以立即識別影響系統效能的軟體,請移至軟體廠商的 知識庫 或支援中心。 檢查防病毒軟體產品是否有任何已知問題。 如有必要,您可以與他們開啟支援票證,並要求他們發佈票證。
建議軟體廠商遵循與業界合作中的各種指導方針 ,將誤判降至最低。 廠商可以透過 Microsoft 安全情報 入口網站提交其軟體。
分析Microsoft保護記錄
您可以在 C:\ProgramData\Microsoft\Windows Defender\Support 中找到Microsoft保護記錄檔。
在 MPLog-xxxxxxxx-xxxxxx.log中,您可以將執行軟體的預估效能影響資訊視為 EstimatedImpact:
Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%
| 欄位名稱 | 描述 |
|---|---|
| ProcessImageName | 進程映像名稱 |
| TotalTime | 此程式存取的檔案掃描所花費的累計持續時間,以毫秒為單位 |
| 計數 | 此程式存取的掃描檔案數目 |
| MaxTime | 此程式存取之檔案的最長單一掃描期間,以毫秒為單位 |
| MaxTimeFile | 此程式所存取的檔案路徑,其中已記錄最長持續時間掃描MaxTime |
| EstimatedImpact | 在這個程式經歷掃描活動的期間內,針對此進程存取的檔案所花費的時間百分比 |
如果效能影響很高,請遵循設定和驗證 Microsoft Defender 防病毒軟體掃描的排除專案中的步驟,嘗試將程式新增至路徑/進程排除專案。
如果上一個步驟無法解決問題,您可以在下列各節中透過 進程監視器 或 Windows Performance Recorder 收集詳細資訊。
使用行程監視器擷取進程記錄
進程監視 (ProcMon) 是可顯示即時程式的進階監視工具。 您可以使用此工具來擷取發生效能問題。
將 行程監視器 v3.89 下載至資料夾,例如
C:\temp。若要移除檔案的 Web 標記:
以滑鼠右鍵按兩下 [ProcessMonitor.zip ],然後選取 [ 屬性]。
在 [ 一般] 索引標籤下,尋找 [安全性]。
核取 [ 解除封鎖] 旁邊的方塊。
選取 [套用]。
![顯示 [移除 MOTW] 頁面的螢幕快照。](media/procmon-motw.png)
將中的檔案
C:\temp解壓縮,使資料夾路徑為C:\temp\ProcessMonitor。將 ProcMon.exe 複製到您要進行疑難解答的 Windows 用戶端或 Windows 伺服器。
執行 ProcMon 之前,請確定已關閉與高 CPU 使用量問題無關的所有其他應用程式。 採取此步驟有助於將要檢查的進程數目降至最低。
您可以透過兩種方式啟動 ProcMon。
以滑鼠右鍵按兩下 [ProcMon.exe ],然後選取 [ 以系統管理員身分執行]。
由於記錄會自動啟動,請選取放大鏡圖示來停止目前的擷取,或使用鍵盤快捷方式 Ctrl+E。
若要確認您已停止擷取,請檢查放大鏡圖示現在是否以紅色 X 顯示。
接下來,若要清除先前的擷取,請選取橡皮擦圖示。
或使用鍵盤快捷方式 Ctrl+X。
第二種方式是以系統管理員身分執行 命令行 ,然後從行程監視器路徑執行:
Procmon.exe /AcceptEula /Noconnect /Profiling提示
在擷取數據時,盡可能讓 ProcMon 視窗越小,您就可以輕鬆地啟動和停止追蹤。
遵循步驟 6 中的其中一個程式之後,您接下來會看到設定篩選的選項。 選取 [確定]。 您一律可以在擷取完成後篩選結果。
![此螢幕快照顯示選擇 [系統排除] 作為 [篩選出進程名稱] 的頁面。](media/procmon-filter-options.png)
若要開始擷取,請再次選取放大鏡圖示。
重現問題。
提示
等候問題完全重現,然後記下追蹤開始時的時間戳。
當您在高 CPU 使用量條件期間有兩到四分鐘的處理活動之後,請選取放大鏡圖示來停止擷取。
若要以唯一名稱和
.pml格式儲存擷取,請選取 [檔案 ],然後選取 [儲存 ...]。請務必選取 [ 所有事件 ] 和 [ 原生進程監視器格式] (PML) 單選按鈕。![顯示 [儲存設定] 頁面的螢幕快照](media/procmon-savesettings1.png)
如需更好的追蹤,請將預設路徑從
C:\temp\ProcessMonitor\LogFile.PML變更為C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML位置:-
%ComputerName%是裝置名稱 -
MMDDYEAR是月份、日期和年份 -
Repro_of_issue是您嘗試重現的問題名稱
提示
如果您有運作中的系統,您可能會想要取得要比較的範例記錄檔。
-
將檔案壓縮
.pml並提交給Microsoft支援。
![顯示 [移除 MOTW] 頁面的螢幕快照。](media/procmon-motw.png#lightbox)
![此螢幕快照顯示選擇 [系統排除] 作為 [篩選出進程名稱] 的頁面。](media/procmon-filter-options.png#lightbox)
![顯示 [儲存設定] 頁面的螢幕快照](media/procmon-savesettings1.png#lightbox)
使用 Windows Performance Recorder 擷取效能記錄
您可以使用 Windows Performance Recorder (WPR) ,將其他資訊包含在提交中,以Microsoft支援。 WPR 是一種功能強大的錄製工具,可建立 Windows 錄製的事件追蹤。
WPR 是 Windows ADK (Windows ADK) Windows 評定及部署套件的一部分,可從 下載並安裝 Windows ADK 下載。 您也可以將它下載為 Windows 10 SDK Windows 10 軟體開發工具包的一部分。
您可以遵循 使用 WPR UI 擷取效能記錄中的步驟,使用 WPR 使用者介面。
或者,您也可以依照使用 WPR CLI 擷取效能記錄中的步驟,在 Windows 8 和更新版本中使用命令行工具 wpr.exe。
使用 WPR UI 擷取效能記錄
提示
如果有多個裝置遇到此問題,請使用 RAM 最多的裝置。
下載並安裝 WPR。
在 [Windows 套件] 底下,以滑鼠右鍵按兩下 [Windows 效能錄製器]。
![顯示 [開始] 選單的屏幕顯示](media/wpr-01.png)
選 取 [更多]。 選 取 [以系統管理員身分執行]。
當 [用戶帳戶控制] 對話框出現時,選取 [ 是]。
接下來,下載 適用於端點的 Microsoft Defender 分析配置檔,並另存
MDAV.wprp為 之類的C:\temp資料夾。在 [WPR] 對話框中,選取 [ 更多選項]。
選取 [新增配置檔... ],然後瀏覽至檔案的
MDAV.wprp路徑。之後,您應該會在 [自定義度量] 底下看到名為 適用於端點的 Microsoft Defender 分析] 下的新配置檔集。
警告
如果您的 Windows Server 有 64 GB 的 RAM 或更多 RAM,請使用自定義度量
Microsoft Defender for Endpoint analysis for large servers,而不是Microsoft Defender for Endpoint analysis。 否則,您的系統可能會耗用大量的非分頁集區內存或緩衝區,而導致系統不穩定。 您可以展開 [ 資源分析] 來選擇要新增的設定檔。 此自訂配置檔提供深入效能分析的必要內容。若要使用自訂度量 適用於端點的 Microsoft Defender WPR UI 中的詳細資訊分析設定檔:
請確定未選取 [第一層級分級]、[ 資源分析 ] 和 [ 案例分析 ] 群組底下的配置檔。
選 取 [自定義度量]。
選取 [適用於端點的 Microsoft Defender 分析]。
選取詳細數據層級下的 [詳細資訊]。
在記錄模式下選取 [檔案 ] 或 [ 記憶體 ]。
重要事項
如果使用者可以直接重現效能問題,您應該選取 [ 檔案 ] 以使用檔案記錄模式。 大部分的問題都屬於此類別。 不過,如果使用者無法直接重現問題,但問題發生時可以輕鬆地注意到,使用者應該選取 [記憶體 ] 以使用記憶體記錄模式。 這可確保追蹤記錄檔不會因為運行時間過長而過度增加。
現在您已準備好收集數據。 結束與重現效能問題無關的所有應用程式。 您可以選取 [隱藏] 選項 ,讓 WPR 視窗佔用的空間變小。
![顯示 [隱藏] 選項的螢幕快照。](media/wpr-08.png)
提示
請嘗試以整數秒啟動追蹤。 例如,01:30:00。 這可讓您更輕鬆地分析數據。 也請嘗試追蹤問題重現時的時間戳。
選取 [開始]。
![顯示 [開始] 選單的屏幕顯示](media/wpr-01.png#lightbox)
![顯示 [隱藏] 選項的螢幕快照。](media/wpr-08.png#lightbox)
![顯示 [記錄系統資訊] 頁面的螢幕快照。](media/wpr-09.png#lightbox)
- 重現問題。
提示
將數據收集保留不超過五分鐘。 2 到 3 分鐘是不錯的範圍,因為會收集大量數據。
- 選取 [儲存]。
![顯示 [儲存] 選項的螢幕快照。](media/wpr-10.png#lightbox)
- 在 問題的詳細描述中填入類型: 問題相關信息,以及您重現問題的方式。
選 取 [檔名: ],以判斷追蹤檔案的儲存位置。 根據預設,它會儲存至
%user%\Documents\WPR Files\。選取 [儲存]。
在合併追蹤時等候。
- 儲存追蹤之後,選取 [ 開啟資料夾]。
將檔案和資料夾包含在提交中,以 Microsoft 支援服務。
使用 WPR CLI 擷取效能記錄
命令行工具 wpr.exe 是操作系統的一部分,從 Windows 8 開始。 若要使用命令列工具收集 WPR 追蹤 wpr.exe:
將效能追蹤的 適用於端點的 Microsoft Defender 分析設定檔案下載到本機目錄中名為 的
MDAV.wprp檔案,例如C:\traces。以滑鼠右鍵按兩下 [開始功能表] 圖示,然後選取 Windows PowerShell (管理員) 或命令提示字元 (管理員) 開啟 管理員 命令提示字元視窗。
當 [用戶帳戶控制] 對話框出現時,選取 [ 是]。
在提升許可權的提示字元中,執行下列命令以啟動 適用於端點的 Microsoft Defender 效能追蹤:
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode警告
如果您的 Windows Server 有 64 GB 或 RAM 或更多,請分別使用設定檔
WDForLargeServers.Light和WDForLargeServers.Verbose,而不是設定檔WD.Light和WD.Verbose。 否則,您的系統可能會耗用大量的非分頁集區內存或緩衝區,而導致系統不穩定。重現問題。
提示
將數據收集保留不超過五分鐘。 視案例而定,2 到 3 分鐘是不錯的範圍,因為會收集大量數據。
在提升許可權的提示字元中,執行下列命令來停止效能追蹤,並務必提供問題的相關信息,以及您重現問題的方式:
wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"等候追蹤合併。
在您的提交中同時包含 檔案和資料夾,以Microsoft支援。
另請參閱
- 收集 Microsoft Defender 防病毒軟體診斷數據
- 設定及驗證 Microsoft Defender 防病毒軟體掃描的排除專案
- Microsoft Defender 防病毒軟體的效能分析器
提示
想要深入了解? Engage 技術社群中Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。