Datensammlung für erweiterte Problembehandlung unter Windows

Gilt für:

• Microsoft Defender für Endpunkt Plan 1

• Microsoft Defender für Endpunkt Plan 2

• Microsoft Defender für Unternehmen

• Microsoft Defender Antivirus

Bei der Zusammenarbeit mit Microsoft-Supportexperten werden Sie möglicherweise aufgefordert, das Clientanalysetool zu verwenden, um Daten für die Problembehandlung komplexerer Szenarien zu sammeln. Das Analysetoolskript unterstützt andere Parameter für diesen Zweck und kann einen bestimmten Protokollsatz basierend auf den beobachteten Symptomen erfassen, die untersucht werden müssen.

Führen Sie aus MDEClientAnalyzer.cmd /? , um die Liste der verfügbaren Parameter und deren Beschreibung anzuzeigen:

Option	Beschreibung	Geeignet in folgender Situation	Prozess, bei dem Sie die Problembehandlung durchführen.
-h	Ruft windows Performance Recorder auf, um zusätzlich zum Standardprotokollsatz eine ausführliche allgemeine Leistungsablaufverfolgung zu sammeln.	Langsamer Anwendungsstart/-start. Wenn Sie auf eine Schaltfläche in der App klicken, dauert dies x Sekunden länger.	Eine der folgenden Varianten: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-l	Aufrufe in integrierte Windows-Leistungsmonitor, um eine einfache Perfmon-Ablaufverfolgung zu sammeln. Dieses Szenario kann nützlich sein, wenn Langsame Leistungseinbußen diagnostizieren, die im Laufe der Zeit auftreten, aber schwer bei Bedarf zu reproduzieren sind.	Problembehandlung bei der Anwendungsleistung, die sich möglicherweise nur langsam reproduzieren (Manifest) selbst. Es wird empfohlen, bis zu drei Minuten (höchstens fünf Minuten) zu erfassen, da Ihr Dataset möglicherweise zu groß werden kann.	Eine der folgenden Varianten: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-c	Aufrufe in den Prozessmonitor zur erweiterten Überwachung von Echtzeitdateisystem-, Registrierungs- und Prozess-/Threadaktivität. Dies ist besonders nützlich bei der Problembehandlung verschiedener Anwendungskompatibilitätsszenarien.	Prozessmonitor (ProcMon) zum Initiieren einer Startablaufverfolgung bei der Untersuchung eines Problems im Zusammenhang mit treiber- oder dienst- oder Anwendungsstartverzögerung. Oder Anwendungen, die auf einer Netzwerkfreigabe gehostet werden und keine SMB Opportunistic Locking (Oplock) verwenden, verursachen ordnungsgemäß Anwendungskompatibilitätsprobleme.	Eine der folgenden Varianten: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-i	Ruft den integrierten netsh.exe Befehl auf, um eine Netzwerk- und Windows-Firewall-Ablaufverfolgung zu starten, die bei der Behandlung verschiedener netzwerkbezogener Probleme nützlich ist.	Bei der Behandlung von netzwerkbezogenen Problemen wie Defender für Endpunkt-EDR-Telemetrie oder CnC-Datenübermittlungsproblemen. Microsoft Defender Antivirus Cloud Protection (MAPS) meldet Probleme. Probleme im Zusammenhang mit dem Netzwerkschutz usw.	Einer der folgenden Prozesse: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-b	Identisch mit -c , aber die Prozessüberwachungsablaufverfolgung wird beim nächsten Start initiiert und nur beendet, wenn -b erneut verwendet wird.	Prozessmonitor (ProcMon) zum Initiieren einer Startablaufverfolgung bei der Untersuchung eines Problems im Zusammenhang mit treiber- oder dienst- oder Anwendungsstartverzögerung. Dieses Szenario kann auch verwendet werden, um einen langsamen Start oder eine langsame Anmeldung zu untersuchen.	Einer der folgenden Prozesse: - MSSense.exe - MsSenseS.exe - SenseIR.exe - SenseNdr.exe - SenseTVM.exe - SenseAadAuthenticator.exe - SenseGPParser.exe - SenseImdsCollector.exe - SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe
-e	Ruft Windows Performance Recorder auf, um die Defender AV-Clientablaufverfolgung (AM-Engine und AM-Service) für die Analyse von Problemen mit der Antivirus-Cloudkonnektivität zu erfassen.	Bei der Problembehandlung von Cloud Protection (MAPS) bei der Meldung von Fehlern.	MsMpEng.exe
-a	Ruft Windows Performance Recorder auf, um eine ausführliche Leistungsablaufverfolgung zu erfassen, die speziell für die Analyse von problemen mit hoher CPU-Auslastung im Zusammenhang mit dem Antivirenprozess (MsMpEng.exe) spezifisch ist.	Bei der Problembehandlung bei hoher CPU-Auslastung mit Microsoft Defender Antivirus (ausführbare Datei des Antischadsoftwarediensts oder MsMpEng.exe), wenn Sie bereits die Microsoft Defender Antivirus-Leistungsanalyse verwendet haben, um die Dateierweiterung /path/process oder /path einzugrenzen, die zur hohen CPU-Auslastung beiträgt. In diesem Szenario können Sie genauer untersuchen, was die Anwendung oder der Dienst tut, um zur hohen CPU-Auslastung beizutragen.	MsMpEng.exe
-v	Verwendet Antivirus MpCmdRun.exe Befehlszeilenargument mit den meisten ausführlichen -trace-Flags.	Immer dann, wenn eine erweiterte Problembehandlung erforderlich ist. Beispielsweise bei der Problembehandlung bei Der Cloud Protection (MAPS) melden Fehler, Plattformupdatefehler, Engine Update-Fehler, Security Intelligence Update-Fehler, Falsch negative Ergebnisse usw. Kann auch mit -b, -c, -hoder -lverwendet werden.	MsMpEng.exe
-t	Startet die ausführliche Ablaufverfolgung aller clientseitigen Komponenten, die für Endpunkt-DLP relevant sind. Dies ist nützlich für Szenarien, in denen DLP-Aktionen für Dateien nicht wie erwartet ausgeführt werden.	Wenn Probleme auftreten, bei denen die erwarteten Aktionen zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) von Microsoft Endpoint nicht auftreten.	MpDlpService.exe
-q	Aufrufe DLPDiagnose.ps1 Skripts aus dem Analyseverzeichnis Tools , das die grundlegende Konfiguration und die Anforderungen für Endpunkt-DLP überprüft.	Überprüft die grundlegenden Konfigurationen und Anforderungen für Microsoft Endpoint DLP	MpDlpService.exe
-d	Erfasst ein Speicherabbild von MsSenseS.exe (der Sensorprozess auf Windows Server 2016 oder einem älteren Betriebssystem) und verwandten Prozessen. - * Dieses Flag kann mit oben genannten Flags verwendet werden. - ** Das Erfassen eines Speicherabbilds von PPL-geschützten Prozessen wie MsSense.exe oder MsMpEng.exe wird derzeit vom Analysetool nicht unterstützt.	Unter Windows 7 SP1 Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 oder Windows Server 2016, die mit dem MMA-Agent ausgeführt werden und Leistungsprobleme (hohe CPU-Auslastung oder hohe Arbeitsspeicherauslastung) oder Anwendungskompatibilitätsprobleme aufweisen.	MsSenseS.exe
-z	Konfiguriert Registrierungsschlüssel auf dem Computer, um ihn für die vollständige Speicherabbildsammlung des Computers über CrashOnCtrlScroll vorzubereiten. Dies wäre nützlich für die Analyse von Problemen mit dem Einfrieren von Computern. * Halten Sie die STRG-Taste ganz rechts gedrückt, und drücken Sie dann zweimal die SCROLL-TASTE.	Der Computer hängt oder reagiert nicht oder langsam. Hohe Arbeitsspeicherauslastung (Arbeitsspeicherverlust): a) Benutzermodus: Private Bytes b) Kernelmodus: Auslagerungspool oder nicht ausgelagerter Poolspeicher, Behandeln von Verlusten.	MSSense.exe oder MsMpEng.exe
-k	Verwendet das NotMyFault-Tool , um den Absturz des Systems zu erzwingen und ein Computerspeicherabbild zu generieren. Dies wäre nützlich für die Analyse verschiedener Stabilitätsprobleme des Betriebssystems.	Wie oben.	MSSense.exe oder MsMpEng.exe

Das Analysetool und alle in diesem Artikel aufgeführten Szenarioflags können remote durch Ausführen RemoteMDEClientAnalyzer.cmdvon initiiert werden, das ebenfalls im Analysetoolset gebündelt ist:

Hinweis

Wenn ein erweiterter Problembehandlungsparameter verwendet wird, ruft das Analysetool auch MpCmdRun.exe auf, um Microsoft Defender Antivirus-Supportprotokolle zu sammeln. Sie können das Flag verwenden -g , um URLs für eine bestimmte Rechenzentrumsregion zu überprüfen, auch ohne in diese Region integriert zu werden.
Beispielsweise zwingt das Analysetool, MDEClientAnalyzer.cmd -g EU Cloud-URLs in der Region Europa zu testen.

Einige Punkte, die Sie beachten sollten

Wenn Sie verwenden RemoteMDEClientAnalyzer.cmd, wird in psexec aufgerufen, um das Tool aus der konfigurierten Dateifreigabe herunterzuladen und dann lokal über PsExec.exeauszuführen.

Das CMD-Skript verwendet das -r Flag, um anzugeben, dass es remote im SYSTEM-Kontext ausgeführt wird, sodass dem Benutzer keine Eingabeaufforderung angezeigt wird.

Das gleiche Flag kann mit MDEClientAnalyzer.cmd verwendet werden, um zu vermeiden, dass der Benutzer aufgefordert wird, die Anzahl der Minuten für die Datensammlung anzugeben. Betrachten Sie MDEClientAnalyzer.cmd -r -i -m 5beispielsweise .

• -r gibt an, dass das Tool über remote (oder nicht interaktiven Kontext) ausgeführt wird.
• -i ist das Szenarioflag für die Sammlung der Netzwerkablaufverfolgung zusammen mit anderen zugehörigen Protokollen.
• -m # gibt die Anzahl von Minuten an, die ausgeführt werden sollen (in unserem Beispiel haben wir 5 Minuten verwendet).

Bei Verwendung von MDEClientAnalyzer.cmdsucht das Skript mithilfe von net sessionauf Berechtigungen, sodass der Dienst Server ausgeführt werden muss. Wenn dies nicht der Fall ist, erhalten Sie die Fehlermeldung Skript wird mit unzureichenden Berechtigungen ausgeführt. Führen Sie es mit Administratorrechten aus, wenn ECHO deaktiviert ist.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.