Teljesítményelemző Microsoft Defender víruskeresőhöz
A következőkre vonatkozik:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender víruskereső
Platformok
- A Windows
Követelmények
Microsoft Defender víruskereső teljesítményelemzője a következő előfeltételekkel rendelkezik:
- Támogatott Windows-verziók: Windows 10, Windows 11, Windows 2012 R2 modern egyesített megoldással és Windows Server 2016 vagy újabb verzióval
- Platformverzió:
4.18.2108.7
vagy újabb - PowerShell-verzió: PowerShell 5.1-es verzió, PowerShell ISE, távoli PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)
Mi az Microsoft Defender víruskereső teljesítményelemzője?
Ha Microsoft Defender víruskeresőt futtató számítógépek teljesítményproblémákat tapasztalnak, a teljesítményelemző használatával javíthatja Microsoft Defender víruskereső teljesítményét. A Windows 10, Windows 11 és Windows Server Microsoft Defender víruskereső teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni azokat a fájlokat, fájlkiterjesztéseket és folyamatokat, amelyek teljesítményproblémákat okozhatnak az egyes végpontokon a víruskereső vizsgálatok során. A teljesítményelemző által gyűjtött információk segítségével felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat.
Ahhoz hasonlóan, ahogyan a mechanika diagnosztikát és szolgáltatást végez a teljesítményproblémákkal rendelkező járműveken, a teljesítményelemző segíthet a Defender víruskereső teljesítményének javításában.
Az elemezendő lehetőségek közé tartoznak a következők:
- A vizsgálati időt befolyásoló leggyakoribb elérési utak
- A vizsgálati időt befolyásoló leggyakoribb fájlok
- A vizsgálati időt befolyásoló legfontosabb folyamatok
- A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
- Kombinációk – például:
- top files per extension
- top paths per extension
- top process per path
- top scans per file
- top scans per file per process
Teljesítményelemző futtatása
A teljesítményelemző futtatásának magas szintű folyamata a következő lépésekből áll:
Futtassa a teljesítményelemzőt a végponton Microsoft Defender víruskereső események teljesítményrögzítéséhez.
Megjegyzés:
A Microsoft-Antimalware-Engine típusú Microsoft Defender víruskereső eseményeinek teljesítményét a teljesítményelemző rögzíti.
Elemezze a vizsgálati eredményeket különböző rögzítési jelentések használatával.
Teljesítményelemző használata
A rendszeresemények rögzítésének megkezdéséhez nyissa meg a PowerShellt felügyeleti módban, és hajtsa végre a következő lépéseket:
A felvétel indításához futtassa a következő parancsot:
New-MpPerformanceRecording -RecordTo <recording.etl>
ahol
-RecordTo
a paraméter megadja a nyomkövetési fájl mentésének teljes elérési útját. További információ a parancsmagokról: Microsoft Defender Víruskereső parancsmagok.Ha vannak olyan folyamatok vagy szolgáltatások, amelyekről úgy gondolták, hogy befolyásolják a teljesítményt, a megfelelő feladatok végrehajtásával reprodukálja a helyzetet.
A felvétel leállításához és mentéséhez nyomja le az ENTER billentyűt , a Felvétel megszakításához pedig a Ctrl+C billentyűkombinációt.
Elemezze az eredményeket a teljesítményelemző paraméterével
Get-MpPerformanceReport
. A parancsGet-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10
végrehajtásakor például a felhasználónak megjelenik a tíz legfontosabb vizsgálat listája, amely a teljesítményt befolyásoló három fájlt tartalmazza.
A parancssori paraméterekkel és beállításokkal kapcsolatos további információkért lásd: New-MpPerformanceRecording és Get-MpPerformanceReport.
Megjegyzés:
Ha egy felvétel futtatásakor a következő hibaüzenet jelenik meg: "Nem indítható el a teljesítmény rögzítése, mert a Windows Teljesítményrögzítő már rögzít", futtassa a következő parancsot a meglévő nyomkövetés leállításához az új paranccsal: wpr -cancel -instancename MSFT_MpPerformanceRecording
Teljesítmény-finomhangolási adatok és információk
A lekérdezés alapján a felhasználó megtekintheti a vizsgálatok számát, időtartamát (összesen/perc/átlag/max/medián), az elérési utat, a folyamatot és a vizsgálat okát. Az alábbi képen mintakimenet látható az első 10 fájl egyszerű lekérdezéséhez a vizsgálati hatás érdekében.
További funkciók: exportálás és konvertálás CSV-fájllá és JSON-fájllá
A teljesítményelemző eredményei CSV- vagy JSON-fájllá is exportálhatók és konvertálhatók. Az "exportálás" és az "átalakítás" folyamatát mintakódokkal leíró példákért tekintse meg a következő szakaszokat.
A Defender verziójától 4.18.2206.X
kezdődően a felhasználók a "SkipReason" oszlopban megtekinthetik a vizsgálat kihagyására vonatkozó okinformációkat. A lehetséges értékek:
- Nincs kihagyva
- Optimalizálás (általában teljesítménybeli okok miatt)
- Felhasználó kihagyva (általában a felhasználó által beállított kizárások miatt)
CSV esetén
- Exportálás:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
- Konvertálás:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation
JSON esetén
- Konvertálás:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1
A más adatfeldolgozási rendszerekkel való exportálás gépi olvasásra alkalmas kimenetének biztosítása érdekében javasoljuk, hogy használja -Raw
a paramétert a következőhöz Get-MpPerformanceReport
: . További részletekért tekintse meg az alábbi szakaszokat.
PowerShell-referencia
Két új PowerShell-parancsmagot használunk a Microsoft Defender víruskereső teljesítményének finomhangolásához:
New-MpPerformanceRecording
A következő szakasz a New-MpPerformanceRecording új PowerShell-parancsmag referenciáját ismerteti. Ez a parancsmag összegyűjti a Microsoft Defender víruskereső vizsgálatainak teljesítményfelvételét.
Szintaxis: New-MpPerformanceRecording
New-MpPerformanceRecording -RecordTo <String>
Leírás: New-MpPerformanceRecording
A New-MpPerformanceRecording
parancsmag összegyűjti a Microsoft Defender víruskereső vizsgálatainak teljesítményfelvételét. Ezek a teljesítményfelvételek Microsoft-Antimalware-Engine és NT kernelfolyamat-eseményeket tartalmaznak, és a Get-MpPerformanceReport parancsmaggal történő adatgyűjtés után elemezhetők.
Ez a New-MpPerformanceRecording
parancsmag betekintést nyújt a problémás fájlokba, amelyek a Microsoft Defender víruskereső teljesítményének romlását okozhatják. Ez az eszköz "AS IS" állapotban érhető el, és nem a kivételekre vonatkozó javaslatok megadására szolgál. A kizárások csökkenthetik a végpontok védelmi szintjét. A kizárásokat ( ha vannak ilyenek) körültekintően kell meghatározni.
A teljesítményelemzőről további információt Teljesítményelemző dokumentációban talál.
Fontos
Ez a parancsmag emelt szintű rendszergazdai jogosultságokat igényel.
Példák: New-MpPerformanceRecording
1. példa: Teljesítményfelvétel gyűjtése és mentése
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl
A fenti parancs összegyűjt egy teljesítményfelvételt, és menti a megadott elérési útra: .\Defender-scans.etl.
2. példa: Teljesítményfelvétel gyűjtése távoli PowerShell-munkamenethez
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s
A fenti parancs egy teljesítményrögzítést gyűjt a Server02 kiszolgálón (a Session paraméter $s argumentuma által meghatározottak szerint), és menti azt a megadott elérési útra: C:\LocalPathOnServer02\trace.etl a Server02 rendszeren.
Paraméterek: New-MpPerformanceRecording
-RecordTo
Megadja a helyet, ahová menteni szeretné a Microsoft Defender Kártevőirtó teljesítményrögzítést.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Munkamenet
Megadja azt a PSSession objektumot, amelyben a Microsoft Defender víruskereső teljesítményrögzítését létre szeretné hozni és menteni. Ha ezt a paramétert használja, a RecordTo paraméter a távoli gép helyi elérési útjára hivatkozik. A Defender platform 4.18.2201.10-es verziójával érhető el.
Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Get-MpPerformanceReport
A következő szakasz a Get-MpPerformanceReport PowerShell-parancsmagot ismerteti. Elemzi és jelentéseket készít Microsoft Defender víruskereső teljesítményrögzítéséről.
Szintaxis: Get-MpPerformanceReport
Get-MpPerformanceReport [-Path] <String>
[-TopScans [<Int32>]]
[-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
[-TopScansPerPath [<Int32>]]
[-TopFilesPerPath [<Int32>]
[-TopScansPerFilePerPath [<Int32>]]
]
[-TopExtensionsPerPath [<Int32>]
[-TopScansPerExtensionPerPath [<Int32>]]
]
[-TopProcessesPerPath [<Int32>]
[-TopScansPerProcessPerPath [<Int32>]]
]
]
[-TopFiles [<Int32>]
[-TopScansPerFile [<Int32>]]
[-TopProcessesPerFile [<Int32>]
[-TopScansPerProcessPerFile [<Int32>]]
]
]
[-TopExtensions [<Int32>]
[-TopScansPerExtension [<Int32>]
[-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerExtension [<Int32>]]
]
[-TopProcessesPerExtension [<Int32>]
[-TopScansPerProcessPerExtension [<Int32>]]
]
[-TopFilesPerExtension [<Int32>]
[-TopScansPerFilePerExtension [<Int32>]]
]
]
[-TopProcesses [<Int32>]
[-TopScansPerProcess [<Int32>]]
[-TopExtensionsPerProcess [<Int32>]
[-TopScansPerExtensionPerProcess [<Int32>]]
]
[-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerProcess [<Int32>]]
]
[-TopFilesPerProcess [<Int32>]
[-TopScansPerFilePerProcess [<Int32>]]
]
]
[-MinDuration <String>]
[-Raw]
Leírás: Get-MpPerformanceReport
A Get-MpPerformanceReport
parancsmag egy korábban összegyűjtött Microsoft Defender víruskereső teljesítményfelvételét (New-MpPerformanceRecording) elemzi, és jelenti azokat a fájlelérési utakat, fájlkiterjesztéseket és folyamatokat, amelyek a legnagyobb hatással vannak Microsoft Defender víruskereső vizsgálatára.
A teljesítményelemző betekintést nyújt a problémás fájlokba, amelyek a Microsoft Defender víruskereső teljesítményének romlását okozhatják. Ez az eszköz "AS IS" állapotban érhető el, és nem a kivételekre vonatkozó javaslatok megadására szolgál. A kizárások csökkenthetik a végpontok védelmi szintjét. A kizárásokat ( ha vannak ilyenek) körültekintően kell meghatározni.
A teljesítményelemzőről további információt Teljesítményelemző dokumentációban talál.
Támogatott operációsrendszer-verziók:
Windows 10-es és újabb verziók.
Megjegyzés:
Ez a funkció a 4.18.2108.X és újabb platformverziótól kezdve érhető el.
Példák: Get-MpPerformanceReport
1. példa: Egyetlen lekérdezés
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
2. példa: Több lekérdezés
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
3. példa: Beágyazott lekérdezések
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
4. példa: A -MinDuration paraméter használata
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
5. példa: A -Raw paraméter használata
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json
A -Raw használata a fenti parancsban azt határozza meg, hogy a kimenetnek géppel olvashatónak kell lennie, és könnyen átalakíthatónak kell lennie szerializálási formátumokra, például JSON-ra.
Paraméterek: Get-MpPerformanceReport
-TopPaths
Felső elérési utakat kérő jelentést kér, és meghatározza, hogy hány felső elérési utat kell kimenetként megadni, időtartam szerint rendezve. A vizsgálatok összesítése az elérési útjuk és a könyvtáruk alapján. A felhasználó megadhatja, hogy az egyes szinteken hány címtár jelenjen meg, és hogy mekkora legyen a kijelölés mélysége.
- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth
A rekurzív mélységet adja meg, amely az összesített elérési utak eredményeinek csoportosítására és megjelenítésére szolgál. A "C:" például 1 mélységnek felel meg, a "C:\Users\Foo" pedig a 3 mélységnek.
Ez a jelző az összes többi felső elérési út beállításhoz is használható. Ha hiányzik, a rendszer a 3 alapértelmezett értéket feltételezi. Az érték nem lehet 0.
- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
Zászló | Meghatározás |
---|---|
-TopScansPerPath | Meghatározza, hogy az egyes felső elérési utakhoz hány felső vizsgálatot kell megadni. |
-TopFilesPerPath | Meghatározza, hogy az egyes felső elérési utakhoz hány felső fájlt kell megadni. |
-TopScansPerFilePerPath | Meghatározza, hogy az egyes felső fájlokhoz hány felső vizsgálat legyen kimenet az egyes felső elérési utakhoz, "Duration" (Időtartam) szerint rendezve |
-TopExtensionsPerPath | Meghatározza, hogy az egyes felső elérési utakhoz hány felső bővítményt kell kimenetként megadni |
-TopScansPerExtensionPerPath | Meghatározza, hogy az egyes felső elérési utakhoz hány felső vizsgálat legyen kimenet az egyes felső bővítményekhez |
-TopProcessesPerPath | Meghatározza, hogy az egyes felső elérési utakhoz hány felső folyamat legyen kimenetként |
-TopScansPerProcessPerPath | Meghatározza, hogy az egyes felső folyamatokhoz hány felső vizsgálat legyen kimenetként az egyes felső elérési utakhoz |
-TopPathsPerExtension | Meghatározza, hogy az egyes felső bővítmények hány felső elérési útját kell kimenetként megadni |
-TopScansPerPathPerExtension | Meghatározza, hogy az egyes felső bővítmények felső elérési útjaihoz hány felső vizsgálat legyen kimenet. |
-TopPathsPerProcess | Meghatározza, hogy az egyes felső folyamatokhoz hány felső elérési utat kell kimenetként megadni |
-TopScansPerPathPerProcess | Meghatározza, hogy az egyes felső folyamatokhoz az egyes felső elérési utakhoz hány felső vizsgálat legyen kimenet. |
-MinDuration
Meghatározza a jelentésben szereplő fájlok, bővítmények és folyamatok vizsgálatának minimális időtartamát vagy teljes vizsgálati időtartamát; olyan értékeket fogad el, mint a 0,1234567sec, 0,1234 ms, 0,1us vagy érvényes TimeSpan.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Elérési út
Megadja egy vagy több hely elérési útját vagy elérési útját.
Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-Nyers
Meghatározza, hogy a teljesítményrögzítés kimenetének gépi olvashatónak kell lennie, és könnyen átalakíthatónak kell lennie a JSON-hoz hasonló szerializálási formátumokra (például Konvertálás JSON-ra parancson keresztül). Ez a konfiguráció olyan felhasználóknak ajánlott, akik más adatfeldolgozási rendszerekkel szeretnének kötegelt feldolgozást végezni.
Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensions
Meghatározza, hogy hány felső bővítményt kell kimenetként megadni, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess
Meghatározza, hogy az egyes felső folyamatokhoz hány felső bővítmény legyen kimenetként, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiles
Lekér egy legfelső szintű fájlokat tartalmazó jelentést, és megadja, hogy hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension
Meghatározza, hogy az egyes felső kiterjesztésekhez hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess
Meghatározza, hogy az egyes felső folyamatokhoz hány fájlt kell kimenetként kiadni, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcesses
Lekér egy legfelső szintű jelentést, és meghatározza, hogy hány felső folyamatot kell kimenetként kiadni, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension
Meghatározza, hogy az egyes felső bővítményekhez hány felső folyamat legyen kimenet, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile
Meghatározza, hogy az egyes felső fájlokhoz hány felső folyamat legyen kimenetként, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans
Lekér egy top-scans jelentést, és meghatározza, hogy hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension
Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess
Meghatározza, hogy az egyes felső bővítmények esetében hány felső vizsgálat legyen kimenet az egyes felső folyamatokhoz, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile
Meghatározza, hogy az egyes felső fájlokhoz hány vizsgálat legyen kimenetként, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension
Meghatározza, hogy az egyes felső kiterjesztésekhez hány felső vizsgálat legyen kimenetként az egyes felső kiterjesztésekhez, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess
Meghatározza, hogy az egyes legfelső folyamatokhoz hány legfelső szintű vizsgálattal kell kimenetet keresni, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess
Meghatározza, hogy a Top Processes (Top Processes) jelentésben az egyes felső folyamatokhoz hány felső vizsgálat legyen kimenet, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension
Meghatározza, hogy az egyes felső bővítmények egyes felső folyamatainak kimenetét hány felső vizsgálat vizsgálja, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile
Azt adja meg, hogy az egyes felső folyamatokhoz hány legfelső szintű vizsgálattal kell kimenetet keresni az egyes felső fájlokhoz, időtartam szerint rendezve.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
További források
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, tekintse meg a következőt:
- Végponthoz készült Microsoft Defender beállítása macOS rendszeren
- Végponthoz készült Microsoft Defender Macen
- MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
- Végponthoz készült Microsoft Defender beállítása Linux rendszeren
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: