Shromažďování dat pro pokročilé řešení potíží ve Windows
Platí pro:
Microsoft Defender pro firmy
Antivirová ochrana v programu Microsoft Defender
Když spolupracujete s pracovníky podpory Microsoftu, můžete být požádáni o použití analyzátoru klienta ke shromažďování dat pro řešení potíží se složitějšími scénáři. Skript analyzátoru pro tento účel podporuje další parametry a může shromáždit konkrétní sadu protokolů na základě pozorovaných příznaků, které je potřeba prozkoumat.
Spuštěním příkazu MDEClientAnalyzer.cmd /? zobrazte seznam dostupných parametrů a jejich popis:
| Přepnout | Popis | Kdy použít | Proces, který řešíte. |
|---|---|---|---|
-h |
Volání do služby Windows Performance Recorder za účelem shromáždění podrobného obecného trasování výkonu kromě standardní sady protokolů. | Pomalé spuštění/spuštění aplikace Když v aplikaci kliknete na tlačítko, trvá to o x sekund déle. | Jedna z následujících možností: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-l |
Voláním do integrovaného systému Windows Sledování výkonu shromáždíte jednoduché trasování perfmonu. Tento scénář může být užitečný při diagnostice problémů s pomalým snížením výkonu, ke kterým dochází v průběhu času, ale obtížně se reprodukují na vyžádání. | Řešení potíží s výkonem aplikace, který může být pomalý při samotné reprodukci (manifestu). Doporučujeme zachytávat až tři minuty (maximálně pět minut), protože vaše datová sada může být příliš velká. | Jedna z následujících možností: - MSSense.exe - MsSenseS.exe - SenseIR.exe- SenseNdr.exe - SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-c |
Volání do monitorování procesů pro pokročilé monitorování systému souborů, registru a aktivit procesů/vláken v reálném čase. To je užitečné zejména při řešení potíží s různými scénáři kompatibility aplikací. | Process Monitor (ProcMon) pro zahájení trasování spouštění při vyšetřování problému souvisejícího se zpožděním spuštění ovladače, služby nebo aplikace. Nebo aplikace hostované ve sdílené síťové složce, které nepoužívají opportunistické uzamčení PROTOKOLU SMB (Oplock) správně způsobující problémy s kompatibilitou aplikací. | Jedna z následujících možností: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-i |
Voláním integrovaného příkazunetsh.exe spustíte trasování sítě a brány Windows Firewall, které je užitečné při řešení různých problémů souvisejících se sítí. | Při řešení potíží souvisejících se sítí, jako jsou telemetrie Defenderu for Endpoint EDR nebo problémy s odesíláním dat CnC. Microsoft Defender hlásí problémy s antivirovou ochranou v cloudu (MAPS). Problémy související s ochranou sítě atd. | Jeden z následujících procesů: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-b |
Stejné jako -c , ale trasování monitorování procesu se zahájí při příštím spuštění a zastaví se, pouze když se znovu použije -b. |
Process Monitor (ProcMon) pro zahájení trasování spouštění při vyšetřování problému souvisejícího se zpožděním spuštění ovladače, služby nebo aplikace. Tento scénář lze také použít k prozkoumání pomalého spouštění nebo pomalého přihlašování. | Jeden z následujících procesů: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe - SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-e |
Volání do služby Windows Performance Recorder za účelem shromáždění trasování klienta Defender AV (AM-Engine a AM-Service) pro analýzu problémů s antivirovým připojením ke cloudu. | Při řešení potíží se selháními generování sestav služby Cloud Protection (MAPS). | MsMpEng.exe |
-a |
Volání služby Windows Performance Recorder za účelem shromáždění podrobného trasování výkonu specifického pro analýzu problémů s vysokým využitím procesoru souvisejících s antivirovým procesem (MsMpEng.exe). | Při řešení potíží s vysokým využitím procesoru pomocí Microsoft Defender Antivirus (spustitelný soubor antimalwarové služby nebo MsMpEng.exe), pokud jste už použili Microsoft Defender Antivirus Analyzátor výkonu k zúžení přípony /path/process nebo /path nebo souboru, které přispívají k vysokému využití procesoru. Tento scénář umožňuje dále prozkoumat, co aplikace nebo služba dělá, aby přispěla k vysokému využití procesoru. | MsMpEng.exe |
-v |
Používá antivirový MpCmdRun.exe argument příkazového řádku s většinou podrobných příznaků -trace. | Kdykoli je potřeba pokročilé řešení potíží. Například při řešení potíží se selháním hlášení služby Cloud Protection (MAPS), selháním aktualizace platformy, selháním aktualizací modulu, selháním aktualizace zabezpečení, falešně negativními zprávami atd. Lze použít také s -b, -c, -hnebo -l. |
MsMpEng.exe |
-t |
Spustí podrobné trasování všech komponent na straně klienta, které jsou relevantní pro řešení ochrany před únikem informací o koncovém bodu, což je užitečné ve scénářích, kdy u souborů nedochází k očekávaným akcím ochrany před únikem informací. | Pokud dochází k problémům, kdy neběží očekávané akce ochrany před únikem informací (DLP) microsoft Endpoint. | MpDlpService.exe |
-q |
Zavolá skript DLPDiagnose.ps1 z adresáře analyzátoru Tools , který ověří základní konfiguraci a požadavky na únik před únikem informací o koncovém bodu. |
Zkontroluje základní konfiguraci a požadavky na ochrany před únikem informací o koncovém bodu Microsoftu. | MpDlpService.exe |
-d |
Shromažďuje výpis MsSenseS.exe paměti (proces senzoru v Windows Server 2016 nebo starším operačním systému) a souvisejících procesů. - * Tento příznak lze použít s výše uvedenými příznaky. - ** Zachytávání výpisu paměti procesů chráněných PPL , jako MsSense.exe je nebo MsMpEng.exe , není v tuto chvíli analyzátorem podporováno. |
Ve Windows 7 SP1 Windows 8.1, Windows Server 2008 R2 Windows Server 2012 R2 nebo Windows Server 2016 spuštěný s agentem MMA a s výkonem (vysokým využitím procesoru nebo paměti) nebo s kompatibilitou aplikací. | MsSenseS.exe |
-z |
Nakonfiguruje klíče registru na počítači, aby ho připravily na úplné shromažďování výpisů paměti počítače prostřednictvím CrashOnCtrlScroll. To by bylo užitečné při analýze problémů se zablokováním počítače. * Podržte stisknutou klávesu CTRL nejvíce vpravo a pak stiskněte klávesu SCROLL LOCK dvakrát. | Počítač se zablokuje nebo nereaguje nebo je pomalý. Vysoké využití paměti (nevracení paměti): a) Uživatelský režim: Privátní bajty b) Režim jádra: stránkovaný fond nebo nestránkovaná paměť fondu, zpracování nevracení. | MSSense.exe Nebo MsMpEng.exe |
-k |
Pomocí nástroje NotMyFault vynutí chybové ukončení systému a vygeneruje výpis paměti počítače. To by bylo užitečné pro analýzu různých problémů se stabilitou operačního systému. | Stejné jako výše uvedené. | MSSense.exe Nebo MsMpEng.exe |
Analyzátor a všechny příznaky scénářů uvedené v tomto článku je možné spustit vzdáleně spuštěním RemoteMDEClientAnalyzer.cmdpříkazu , který je také součástí sady nástrojů analyzátoru:
Poznámka
Při použití jakéhokoli pokročilého parametru pro řešení potíží volá analyzátor také MpCmdRun.exe, aby shromáždil protokoly podpory související s Microsoft Defender antivirovou sadou.
Příznak můžete použít -g k ověření adres URL pro konkrétní oblast datacentra i bez připojení k této oblasti.
Analyzátor například MDEClientAnalyzer.cmd -g EU vynutí otestovat cloudové adresy URL v oblasti Evropa.
Několik bodů, které je třeba mít na paměti
Když použijete RemoteMDEClientAnalyzer.cmd, zavolá nástroj ke psexec stažení nástroje z nakonfigurované sdílené složky a pak ho místně spustí přes PsExec.exe.
Skript CMD používá -r příznak k určení, že běží vzdáleně v kontextu SYSTÉMU, a proto se uživateli nezobrazí žádná výzva.
Stejný příznak lze použít s MDEClientAnalyzer.cmd , aby se zabránilo zobrazení výzvy uživateli k zadání počtu minut pro shromažďování dat. Představte si MDEClientAnalyzer.cmd -r -i -m 5například .
-roznačuje, že se nástroj spouští ze vzdáleného (nebo neinteraktivního kontextu).-ije příznak scénáře pro shromažďování trasování sítě spolu s dalšími souvisejícími protokoly.-m #označuje počet minut, které se mají spustit (v našem příkladu jsme použili 5 minut).
Při použití MDEClientAnalyzer.cmdzkontroluje skript oprávnění pomocí příkazu net session, který vyžaduje, aby byla služba Server spuštěná. Pokud není, zobrazí se chybová zpráva Skript je spuštěný s nedostatečnými oprávněními. Pokud je funkce ECHO vypnutá, spusťte ji s oprávněními správce.
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro