リアルタイム保護に関連するパフォーマンスの問題のトラブルシューティング

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender ウイルス対策

プラットフォーム

• Windows

Microsoft Defender for Endpointのリアルタイム保護サービスに関連する CPU 使用率またはパフォーマンスの問題が高い場合は、Microsoft サポートにチケットを送信できます。 「Microsoft Defenderウイルス対策診断データを収集する」の手順に従います。

管理者は、これらの問題を自分でトラブルシューティングすることもできます。

まず、問題が別のソフトウェアによって引き起こされている場合は、チェックすることをお勧めします。 「ベンダーにウイルス対策の除外を確認する」を参照してください。

それ以外の場合は、「 Microsoft 保護ログの分析」の手順に従って、特定されたパフォーマンスの問題に関連するソフトウェアを特定できます。

次の手順に従って、Microsoft サポートへの提出に追加のログを提供することもできます。

• プロセス モニターを使用してプロセス ログをキャプチャする
• Windows パフォーマンス レコーダーを使用してパフォーマンス ログをキャプチャする

Microsoft Defender ウイルス対策に関連するパフォーマンス固有の問題については、「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。

ベンダーにウイルス対策の除外を確認する

システムのパフォーマンスに影響を与えるソフトウェアを簡単に特定できる場合は、ソフトウェア ベンダーのサポート情報またはサポート センターにアクセスしてください。 ウイルス対策の除外に関する推奨事項がある場合は、Searchします。 ベンダーの Web サイトに含まれていない場合は、サポート チケットを開き、発行するように依頼できます。

ソフトウェア ベンダーは、 誤検知を最小限に抑えるために、業界との提携に関するさまざまなガイドラインに従うことをお勧めします。 ベンダーは、Microsoft セキュリティ インテリジェンス ポータルからソフトウェアを送信できます。

Microsoft Protection ログを分析する

Microsoft 保護ログ ファイルは C:\ProgramData\Microsoft\Windows Defender\Support にあります。

MPLog-xxxxxxxx-xxxxxx.logでは、実行中のソフトウェアのパフォーマンスへの影響の見積もり情報を EstimatedImpact として確認できます。

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

---

フィールド名	説明
ProcessImageName	プロセス イメージ名
TotalTime	このプロセスによってアクセスされたファイルのスキャンに費やされた累積時間 (ミリ秒単位)
カウント	このプロセスによってアクセスされたスキャンされたファイルの数
MaxTime	このプロセスによってアクセスされたファイルの最も長い単一スキャンの期間 (ミリ秒単位)
MaxTimeFile	このプロセスによってアクセスされたファイルのパスで、最長の MaxTime スキャンが記録されました
EstimatedImpact	このプロセスでスキャン アクティビティが発生した期間のうち、このプロセスによってアクセスされたファイルのスキャンに費やされた時間の割合

パフォーマンスへの影響が大きい場合は、「Microsoft Defenderウイルス対策スキャンの除外を構成して検証する」の手順に従って、パス/プロセスの除外にプロセスを追加してみてください。

前の手順で問題が解決しない場合は、次のセクションの プロセス モニター または Windows パフォーマンス レコーダー を使用して詳細情報を収集できます。

プロセス モニターを使用してプロセス ログをキャプチャする

プロセス モニター (ProcMon) は、リアルタイム プロセスを表示できる高度な監視ツールです。 これを使用して、発生しているパフォーマンスの問題をキャプチャできます。

1. Process Monitor v3.89 を のようなC:\tempフォルダーにダウンロードします。

2. ファイルの Web マークを削除するには:

   1. ProcessMonitor.zip を右クリックし、[プロパティ] を選択します。
   2. [ 全般 ] タブで、[セキュリティ] を探 します。
   3. [ブロック解除] の横にあるチェック ボックスをオンにします。
   4. [適用] を選択します。

   

3. フォルダー パスC:\temp\ProcessMonitorが になるように でファイルC:\tempを解凍します。

4. トラブルシューティング を 行っている Windows クライアントまたは Windows サーバーにProcMon.exeをコピーします。

5. ProcMon を実行する前に、CPU 使用率の高い問題に関連しない他のすべてのアプリケーションが閉じられていることを確認してください。 これにより、チェックするプロセスの数が最小限に抑えられます。

6. ProcMon は 2 つの方法で起動できます。

   1. ProcMon.exe を右クリックし、[管理者として実行] を選択します。

      ログ記録が自動的に開始されるので、虫眼鏡アイコンを選択して現在のキャプチャを停止するか、キーボード ショートカット Ctrl + E を使用します。

      

      キャプチャを停止したことを確認するには、虫眼鏡アイコンが赤い X で表示されるかどうかをチェックします。

      

      次に、前のキャプチャをクリアするには、消しゴム アイコンを選択します。

      

      または、キーボード ショートカット Ctrl + X を使用します。

   2. 2 つ目の方法は、 管理者としてコマンド ライン を実行し、プロセス モニター パスから次を実行することです。

      

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      ヒント

      トレースを簡単に開始および停止できるように、データをキャプチャするときに ProcMon ウィンドウをできるだけ小さくします。

      

7. 手順 6 の手順のいずれかに従うと、フィルターを設定するオプションが表示されます。 [OK] を選択します。 キャプチャが完了した後は、常に結果をフィルター処理できます。

   

8. キャプチャを開始するには、虫眼鏡アイコンをもう一度選択します。

9. 問題を再現します。

   ヒント

   問題が完全に再現されるまで待ってから、トレースの開始時にタイムスタンプを書き留めます。

10. CPU 使用率が高い状態で 2 分から 4 分のプロセス アクティビティが発生したら、虫眼鏡アイコンを選択してキャプチャを停止します。

11. キャプチャを一意の名前と .pml 形式で保存するには、[ ファイル ] を選択し、[ 保存.] を選択します。ラジオ ボタン [ すべてのイベント ] と [ネイティブ プロセス モニター形式 (PML)] を選択してください。

    

12. 追跡を向上させるために、既定のパスを 次の場所にC:\temp\ProcessMonitor\LogFile.PMLC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML変更します。

    • %ComputerName% はデバイス名です
    • MMDDYEAR は月、日、年です
    • Repro_of_issue は、再現しようとしている問題の名前です

    ヒント

    作業システムがある場合は、比較するサンプル ログを取得できます。

13. .pml ファイルを zip し、Microsoft サポートに送信します。

Windows パフォーマンス レコーダーを使用してパフォーマンス ログをキャプチャする

Windows パフォーマンス レコーダー (WPR) を使用して、Microsoft サポートへの提出に追加情報を含めることができます。 WPR は、Windows 記録用のイベント トレースを作成する強力な記録ツールです。

WPR は Windows Assessment and Deployment Kit (Windows ADK) の一部であり、 Windows ADK のダウンロードとインストールからダウンロードできます。 Windows 10ソフトウェア開発キットの一部としてダウンロードすることもできますWindows 10 SDK。

WPR ユーザー インターフェイスを使用するには、「 WPR UI を使用してパフォーマンス ログをキャプチャする」の手順に従います。

または、「WPR CLI を使用してパフォーマンス ログをキャプチャする」の手順に従って、Windows 8以降のバージョンで使用できるコマンド ライン ツールwpr.exeを使用することもできます。

WPR UI を使用してパフォーマンス ログをキャプチャする

ヒント

複数のデバイスでこの問題が発生している場合は、RAM が最も多いデバイスを使用します。

1. WPR をダウンロードしてインストールします。

2. [ Windows キット] で、[ Windows パフォーマンス レコーダー] を右クリックします。

   

   [ その他] を選択します。 [ 管理者として実行] を選択します。

3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、[ はい] を選択します。

   

4. 次に、Microsoft Defender for Endpoint分析プロファイルをダウンロードし、 などのC:\tempフォルダーに 名前MDAV.wprpを付けて保存します。

5. [WPR] ダイアログ ボックスで、[ その他のオプション] を選択します。

   

6. [ プロファイルの追加]を 選択し、ファイルのパスを MDAV.wprp 参照します。

7. その後、その下の [カスタム測定値] の下にMicrosoft Defender for Endpoint分析という名前の新しいプロファイル セットが表示されます。

   

   警告

   Windows Server に 64 GB 以上の RAM がある場合は、 ではなくMicrosoft Defender for Endpoint analysisカスタム測定Microsoft Defender for Endpoint analysis for large serversを使用します。 そうしないと、システムが大量の非ページ プール メモリまたはバッファーを消費し、システムが不安定になる可能性があります。 [ リソース分析] を展開して、追加するプロファイルを選択できます。 このカスタム プロファイルは、詳細なパフォーマンス分析に必要なコンテキストを提供します。

8. WPR UI で詳細分析プロファイルMicrosoft Defender for Endpointカスタム測定を使用するには:

   1. 第 1 レベルのトリアージ、リソース分析、シナリオ分析グループの下でプロファイルが選択されていないことを確認します。
   2. [ カスタム測定値] を選択します。
   3. [Microsoft Defender for Endpoint分析] を選択します。
   4. [詳細レベル] で [詳細] を選択します。
   5. [ログ モード] で [ ファイル ] または [ メモリ ] を選択します。

   重要

   パフォーマンスの 問題をユーザー が直接再現できる場合は、[ファイル] を選択してファイル ログ モードを使用する必要があります。 ほとんどの問題はこのカテゴリに該当します。 ただし、ユーザーが問題を直接再現できず、問題が発生すると簡単に気付く場合は、メモリ ログ モードを使用するために [メモリ ] を選択する必要があります。 これにより、長い実行時間のためにトレース ログが過度に膨らむのを確実にしません。

9. これで、データを収集する準備ができました。 パフォーマンスの問題の再現に関連しないすべてのアプリケーションを終了します。 [オプションの 非表示] を選択すると、WPR ウィンドウが占有する領域を小さく保つことができます。

   

   ヒント

   整数秒単位でトレースを開始してみてください。 たとえば、01:30:00 です。 これにより、データの分析が容易になります。 また、問題が再現されたときのタイムスタンプを正確に追跡してみてください。

10. [スタート] を選択します。

    

11. 問題を再現します。

    ヒント

    データ収集は 5 分以下にしてください。 大量のデータが収集されているため、2 分から 3 分は適切な範囲です。

12. [保存] を選択します。

    

13. 問題の詳細な説明を入力します。問題と問題の再現方法に関する情報を入力します。

    

    1. [ ファイル名]: を選択して、トレース ファイルを保存する場所を決定します。 既定では、 は に %user%\Documents\WPR Files\保存されます。
    2. [保存] を選択します。

14. トレースがマージされるまで待ちます。

    

15. トレースが保存されたら、[フォルダーを 開く] を選択します。

    

    ファイルとフォルダーの両方を申請に含め、Microsoft サポートします。

    

WPR CLI を使用してパフォーマンス ログをキャプチャする

コマンド ライン ツール wpr.exe は、Windows 8 以降のオペレーティング システムの一部です。 コマンド ライン ツールを使用して WPR トレースを収集するには、次の wpr.exe。

1. パフォーマンス トレースMicrosoft Defender for Endpoint分析プロファイルを、 などのC:\tracesローカル ディレクトリ内の という名前MDAV.wprpのファイルにダウンロードします。

2. [スタート メニュー] アイコンを右クリックし、[Windows PowerShell (管理)] または [コマンド プロンプト (管理)] を選択して、管理 コマンド プロンプト ウィンドウを開きます。

3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、[ はい] を選択します。

4. 管理者特権のプロンプトで、次のコマンドを実行して、Microsoft Defender for Endpointパフォーマンス トレースを開始します。

   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   

   警告

   Windows Server に 64 GB 以上の RAM または 64 GB 以上がある場合は、プロファイル WDForLargeServers.Light と WDForLargeServers.Verbose の代わりにプロファイル WD.Light と WD.Verboseをそれぞれ使用します。 そうしないと、システムが大量の非ページ プール メモリまたはバッファーを消費し、システムが不安定になる可能性があります。

5. 問題を再現します。

   ヒント

   データ収集は 5 分以下にしてください。 シナリオによっては、大量のデータが収集されているため、2 分から 3 分の範囲が適しています。

6. 管理者特権のプロンプトで、次のコマンドを実行してパフォーマンス トレースを停止し、問題に関する情報と問題の再現方法を確認します。

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. トレースがマージされるまで待ちます。

8. Microsoft サポートへの申請にファイルとフォルダーの両方を含めます。

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

• macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する
• Mac 用 Microsoft Defender for Endpoint
• Intune の Microsoft Defender ウイルス対策の macOS ウイルス対策ポリシー設定
• Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
• Linux 用 Microsoft Defender for Endpoint
• Android 機能用 Defender for Endpoint を構成する
• iOS 機能用 Microsoft Defender for Endpoint を構成する

ヒント

パフォーマンスのヒント他のウイルス対策ソフトウェアと同様に、ウイルス対策Microsoft Defenderさまざまな要因 (以下に示す例) が原因で、エンドポイント デバイスでパフォーマンスの問題が発生する可能性があります。 場合によっては、これらのパフォーマンスの問題を軽減するために、Microsoft Defenderウイルス対策のパフォーマンスを調整する必要がある場合があります。 Microsoft の パフォーマンス アナライザー は、パフォーマンスの問題を引き起こしている可能性のあるファイル、ファイル パス、プロセス、およびファイル拡張子を判断するのに役立つ PowerShell コマンド ライン ツールです。いくつかの例を次に示します。

• スキャン時間に影響を与える上位パス
• スキャン時間に影響を与える上位のファイル
• スキャン時間に影響を与える上位のプロセス
• スキャン時間に影響を与える上位のファイル拡張子
• 組み合わせ – 例:
  • 拡張子ごとに上位のファイル
  • 拡張機能ごとの上位パス
  • パスあたりの上位プロセス数
  • ファイルあたりの上位スキャン数
  • プロセスごとのファイルあたりの上位スキャン数

パフォーマンス アナライザーを使用して収集した情報を使用して、パフォーマンスの問題をより適切に評価し、修復アクションを適用できます。 「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。

関連項目

• ウイルス対策診断データMicrosoft Defender収集する
• Microsoft Defenderウイルス対策スキャンの除外を構成して検証する
• Microsoft Defender ウイルス対策のパフォーマンス アナライザー

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。