Tietojen kerääminen Windowsin edistynyttä vianmääritystä varten
Koskee seuraavia:
Microsoft Defender for Business
Microsoft Defenderin virustentorjunta
Kun teet yhteistyötä Microsoftin tukiammattilaisten kanssa, sinua saatetaan pyytää käyttämään asiakasanalysaattoria tietojen keräämiseen monimutkaisempien skenaarioiden vianmääritystä varten. Analyzer-komentosarja tukee muita parametreja tähän tarkoitukseen ja voi kerätä tietyn lokijoukon havaittujen oireiden perusteella, jotka on tutkittava.
Suorita MDEClientAnalyzer.cmd /? , niin näet luettelon käytettävissä olevista parametreista ja niiden kuvauksen:
| Kytkin | Kuvaus | Milloin kannattaa käyttää | Prosessi, jota suoritat vianmäärityksessä. |
|---|---|---|---|
-h |
Kutsuu Windowsin suorituskyvyn tallenninta kerätäkseen yksityiskohtaisen yleisen suorituskyvyn jäljityksen tavallisen lokijoukon lisäksi. | Hidas sovelluksen käynnistys/käynnistys. Kun napsautat painiketta sovelluksessa, se kestää x sekuntia kauemmin. | Jokin seuraavista: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-l |
Kutsuu sisäänrakennetun Windowsin suorituskyvyn valvonnan ja kerää kevyen perfmon-jäljityksen. Tästä skenaariosta voi olla hyötyä, kun diagnosoidaan hitaita suorituskyvyn heikkenemisongelmia, jotka ilmenevät ajan mittaan mutta joita on vaikea toistaa pyydettäessä. | Vianmääritys sovelluksen suorituskyvystä, joka voi olla hidas toistumaan (luettelo) itsestään. Suosittelemme, että sieppaat enintään kolme minuuttia (enintään viisi minuuttia), koska tietojoukosta voi tulla liian suuri. | Jokin seuraavista: - MSSense.exe - MsSenseS.exe - SenseIR.exe- SenseNdr.exe - SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-c |
Kutsut prosessitarkkailuun reaaliaikaisen tiedostojärjestelmän, rekisterin ja prosessi/säikeen toiminnan kehittyneen seurannan osalta. Tästä on hyötyä erityisesti eri sovellusten yhteensopivuusskenaarioiden vianmäärityksessä. | Process Monitor (ProcMon) käynnistää käynnistyksen jäljityksen tutkiessaan ohjaimeen, palveluun tai sovelluksen käynnistysviiveisiin liittyvää ongelmaa. Tai jaetussa verkkoresurssissa isännöidyt sovellukset, jotka eivät käytä SMB:n Futuristic Locking (Oplock) -lukitusta, mikä aiheuttaa sovelluksen yhteensopivuusongelmia. | Jokin seuraavista: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-i |
Kutsuu sisäänrakennetun netsh.exe komentoa käynnistääksesi verkon ja Windowsin palomuurin jäljityksen, josta on hyötyä erilaisten verkkoon liittyvien ongelmien vianmäärityksessä. | Kun suoritat verkkoon liittyvien ongelmien vianmääritystä, kuten Defender for Endpointin EDR-telemetriatietoja tai CnC-tietojen lähetysongelmia. Microsoft Defender virustentorjunnan Cloud Protection (MAPS) -raportointiongelmat. Verkon suojaukseen liittyviä ongelmia ja niin edelleen. | Jokin seuraavista prosesseista: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-b |
Sama kuin -c prosessinäytön jäljitys käynnistetään seuraavan käynnistyksen aikana ja pysäytetään vain, kun -b:tä käytetään uudelleen. |
Process Monitor (ProcMon) käynnistää käynnistyksen jäljityksen tutkiessaan ohjaimeen, palveluun tai sovelluksen käynnistysviiveisiin liittyvää ongelmaa. Tätä skenaariota voidaan käyttää myös hitaan käynnistyksen tai hitaan sisäänkirjautumisen tutkimiseen. | Jokin seuraavista prosesseista: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe - SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-e |
Kutsuu Windowsin suorituskyvyn tallenninta keräämään Defender AV -asiakkaan jäljityksen (AM-Engine ja AM-Service) virustentorjuntaohjelman pilvipalveluyhteysongelmien analysointia varten. | Cloud Protectionin (MAPS) raportointivirheiden vianmäärityksessä. | MsMpEng.exe |
-a |
Kutsuu Windowsin suorituskyvyn tallentimeen kerätäkseen yksityiskohtaisen suorituskyvyn jäljityksen, joka liittyy virustentorjuntaprosessiin (MsMpEng.exe) liittyvien suurten suoritinongelmien analyysiin. | Kun suoritat suuren suoritin käytön vianmäärityksen Microsoft Defender virustentorjuntaohjelmalla (haittaohjelmapalvelun suoritustiedosto tai MsMpEng.exe), jos olet jo käyttänyt Microsoft Defender virustentorjuntaohjelman Suorityskyvyn analysointi rajaamaan suorittimen korkeaan käyttöön liittyvää /path/process- tai /path- tai tiedostotunnistetta. Tämän skenaarion avulla voidaan tutkia tarkemmin, mitä sovellus tai palvelu tekee suuren suoritinkäyttöasteen edistämiseksi. | MsMpEng.exe |
-v |
Käyttää virustentorjuntaohjelmanMpCmdRun.exe komentoriviargumenttia ja useimpia verbose-trace-merkintöjä. | Tarkennettua vianmääritystä tarvitaan aina. Tällaisia ovat esimerkiksi Cloud Protectionin (MAPS) vianmäärityksen raportointivirheet, käyttöympäristön päivitysvirheet, moduulin päivitysvirheet, tietoturvatietojen päivitysvirheet, false-negatiiviset jne. Voidaan myös käyttää -, --c, - -htai -parametrin -lkanssa-b. |
MsMpEng.exe |
-t |
Aloittaa kaikkien endpoint DLP:hen liittyvien asiakaspuolen osien yksityiskohtaisen jäljityksen. Tästä on hyötyä tilanteissa, joissa DLP-toimintoja ei tapahdu odotetulla tavalla tiedostoissa. | Kun törmäät ongelmiin, joissa odotetut Microsoftin päätepisteen tietojen menetyksen estämistoiminnot (DLP) eivät ole käynnissä. | MpDlpService.exe |
-q |
Kutsuu analyzer-hakemiston Tools DLPDiagnose.ps1 komentosarjaa, joka vahvistaa päätepisteen DLP:n perusmääritykset ja vaatimukset. |
Tarkistaa Microsoft Endpoint DLP:n perusmääritykset ja vaatimukset | MpDlpService.exe |
-d |
Kerää muistivedoksen (Tunnistinprosessi MsSenseS.exe Windows Server 2016:ssa tai aiemmassa käyttöjärjestelmässä) ja siihen liittyvät prosessit. - * Tätä lippua voi käyttää yllä mainittujen merkintöjen kanssa. - ** PPL-suojattujen prosessien , kuten MsSense.exe tai MsMpEng.exe ei tueta, muistivedoksen tallentamista analysoija tällä hetkellä. |
Windows 7 SP1:ssä, Windows 8.1:ssä, Windows Server 2008 R2:ssa, Windows Server 2012 R2:ssa tai Windows Server 2016:ssa, jossa on w/ MMA-agentti ja suorituskykyongelmia (korkea suoritin tai suuri muistin käyttö) tai sovellusten yhteensopivuusongelmia. | MsSenseS.exe |
-z |
Määrittää tietokoneen rekisteriavaimet valmistelemaan sen tietokoneen koko muistivedosten keräämiseksi CrashOnCtrlScrollin kautta. Tästä on hyötyä tietokoneen lukitusongelmien analysoinnissa. * Pidä ctrl-näppäintä alhaalla ja paina VIERITYSLUKITUS-näppäintä kahdesti. | Koneen ripustus tai reagoimaton tai hidas. Suuri muistin käyttö (muistivuoto): a) Käyttäjätila: Yksityiset tavut b) Ytimen tila: sivutettu varanto tai sivuttamaton uima-altaan muisti, käsittele vuodot. | MSSense.exe Tai MsMpEng.exe |
-k |
NotMyFault-työkalun avulla järjestelmä pakotetaan kaatua ja tietokoneen muistivedos luodaan. Tästä olisi hyötyä erilaisten käyttöjärjestelmän vakausongelmien analysoinnissa. | Sama kuin yllä. | MSSense.exe Tai MsMpEng.exe |
Analyzer ja kaikki tässä artikkelissa luetellut skenaariomerkinnät voidaan käynnistää etäyhteydellä suorittamalla RemoteMDEClientAnalyzer.cmd, joka on myös niputettu analysoijan työkalujoukkoon:
Huomautus
Kun lisämääritysparametria käytetään, analysoija kutsuu myös MpCmdRun.exe kerätäkseen Microsoft Defender virustentorjuntaan liittyviä tukilokeja.
Merkinnän avulla -g voit vahvistaa tietyn palvelinkeskuksen URL-osoitteet, vaikka niitä ei olisi otettu kyseiselle alueelle
Esimerkiksi MDEClientAnalyzer.cmd -g EU pakottaa analysoijan testaamaan pilvipalvelun URL-osoitteita Euroopan alueella.
Muutamia asioita, jotka on syytä pitää mielessä
Kun käytät -sovellustaRemoteMDEClientAnalyzer.cmdpsexec, se kutsuu työkalun ladattavaksi määritetystä jaettavasta tiedostoresurssista ja suorittaa sen sitten paikallisesti -sovelluksen kauttaPsExec.exe.
CMD-komentosarja käyttää -r -merkintää määrittääkseen, että se suoritetaan etäyhteydessä SYSTEM-kontekstissa, joten käyttäjälle ei esitetä kehotetta.
Samaa merkintää voidaan käyttää MDEClientAnalyzer.cmd , jotta käyttäjää ei kehoteta määrittämään tiedonkeruun minuuttimäärää. Otetaan esimerkiksi MDEClientAnalyzer.cmd -r -i -m 5.
-rtarkoittaa, että työkalua suoritetaan etäkontekstista (tai ei-vuorovaikutteisessa kontekstissa).-ion skenaariomerkintä verkkojäljitystietojen keräämiselle muiden liittyvien lokien kanssa.-m #tarkoittaa suoritusaikaminuutteja (esimerkissä käytimme 5 minuuttia).
-komentosarja MDEClientAnalyzer.cmdtarkistaa oikeudet :n avulla net session, mikä edellyttää, että palvelu Server on käynnissä. Jos näin ei ole, saat virhesanoman Komentosarja on käynnissä riittämättömillä oikeuksilla. Suorita se järjestelmänvalvojan oikeuksilla, jos ECHO ei ole käytössä.
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle