Solucionar problemas de desempenho relacionados à proteção em tempo real

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender Antivírus

Plataformas

• Windows

Se o sistema estiver tendo problemas de alto uso ou desempenho da CPU relacionados ao serviço de proteção em tempo real no Microsoft Defender para Ponto de Extremidade, você poderá enviar um tíquete para o suporte da Microsoft. Siga as etapas em Coletar Microsoft Defender dados de diagnóstico antivírus.

Como administrador, você também pode solucionar problemas por conta própria.

Primeiro, talvez você queira marcar se o problema estiver sendo causado por outro software. Leia Verificar com o fornecedor se há exclusões de antivírus.

Caso contrário, você pode identificar qual software está relacionado ao problema de desempenho identificado seguindo as etapas em Analisar o Log de Proteção da Microsoft.

Você também pode fornecer logs adicionais para seu envio ao suporte da Microsoft seguindo as etapas em:

• Capturar logs de processo usando o Monitor de Processos
• Capturar logs de desempenho usando o Gravador de Desempenho do Windows

Para problemas específicos de desempenho relacionados ao Antivírus Microsoft Defender, consulte: Analisador de desempenho para Microsoft Defender Antivírus

Verificar com o fornecedor se há exclusões antivírus

Se você puder identificar prontamente o software que afeta o desempenho do sistema, acesse o base de dados de conhecimento do fornecedor de software ou o centro de suporte. Pesquisa se eles tiverem recomendações sobre exclusões antivírus. Se o site do fornecedor não os tiver, você poderá abrir um tíquete de suporte com eles e solicitar que eles publiquem um.

Recomendamos que os fornecedores de software sigam as várias diretrizes em Parceria com o setor para minimizar falsos positivos. O fornecedor pode enviar seu software por meio do portal Inteligência de Segurança da Microsoft.

Analisar o Log de Proteção da Microsoft

Você pode encontrar o arquivo de log de proteção da Microsoft em C:\ProgramData\Microsoft\Windows Defender\Support.

Em MPLog-xxxxxxxx-xxxxxx.log, você pode encontrar as informações de impacto de desempenho estimadas da execução do software como EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%

---

Nome do campo	Descrição
ProcessImageName	Nome da imagem de processo
TotalTime	A duração cumulativa em milissegundos gastos em verificações de arquivos acessados por esse processo
Contar	O número de arquivos digitalizados acessados por esse processo
MaxTime	A duração em milissegundos na verificação única mais longa de um arquivo acessado por esse processo
MaxTimeFile	O caminho do arquivo acessado por esse processo para o qual a verificação mais longa de MaxTime duração foi registrada
EstimatedImpact	O percentual de tempo gasto em verificações de arquivos acessados por esse processo fora do período em que esse processo experimentou a atividade de verificação

Se o impacto de desempenho for alto, tente adicionar o processo às exclusões de Caminho/Processo seguindo as etapas em Configurar e validar exclusões para verificações Microsoft Defender Antivírus.

Se a etapa anterior não resolver o problema, você poderá coletar mais informações por meio do Monitor de Processo ou do Gravador de Desempenho do Windows nas seções a seguir.

Capturar logs de processo usando o Monitor de Processos

O Monitor de Processos (ProcMon) é uma ferramenta avançada de monitoramento que pode mostrar processos em tempo real. Você pode usá-lo para capturar o problema de desempenho como ele está ocorrendo.

1. Baixe o Monitor de Processo v3.89 em uma pasta como C:\temp.

2. Para remover a marca do arquivo da Web:

   1. Clique com o botão direito do mouse emProcessMonitor.zip e selecione Propriedades.
   2. Na guia Geral , procure Segurança.
   3. Marque a caixa ao lado de Desbloquear.
   4. Selecione Aplicar.

   

3. Descompacte o arquivo C:\temp para que o caminho da pasta seja C:\temp\ProcessMonitor.

4. Copie ProcMon.exe para o cliente Windows ou o servidor Windows que você está solução de problemas.

5. Antes de executar o ProcMon, verifique se todos os outros aplicativos não relacionados ao alto problema de uso da CPU estão fechados. Fazer isso minimizará o número de processos a serem marcar.

6. Você pode iniciar o ProcMon de duas maneiras.

   1. Clique com o botão direito do mouse emProcMon.exe e selecione Executar como administrador.

      Desde que o registro em log é iniciado automaticamente, selecione o ícone de lupa para interromper a captura atual ou usar o atalho de teclado Ctrl+E.

      

      Para verificar se você interrompeu a captura, marcar se o ícone de lupa agora aparece com um X vermelho.

      

      Em seguida, para limpar a captura anterior, selecione o ícone de borracha.

      

      Ou use o atalho de teclado Ctrl+X.

   2. A segunda maneira é executar a linha de comando como administrador e, em seguida, no caminho do Monitor de Processo, execute:

      

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Dica

      Torne a janela ProcMon o menor possível ao capturar dados para que você possa iniciar e interromper facilmente o rastreamento.

      

7. Depois de seguir um dos procedimentos na etapa 6, você verá uma opção para definir filtros. Clique em OK. Você sempre pode filtrar os resultados após a conclusão da captura.

   

8. Para iniciar a captura, selecione o ícone de lupa novamente.

9. Reproduza o problema.

   Dica

   Aguarde que o problema seja totalmente reproduzido e, em seguida, anote o carimbo de data/hora quando o rastreamento for iniciado.

10. Depois de ter de dois a quatro minutos de atividade de processo durante a alta condição de uso da CPU, interrompa a captura selecionando o ícone de lupa.

11. Para salvar a captura com um nome exclusivo e com o formato .pml, selecione Arquivo e, em seguida, selecione Salvar.... Selecione os botões de rádio Todos os eventos e o PML (Native Process Monitor Format).

    

12. Para um melhor acompanhamento, altere o caminho padrão de C:\temp\ProcessMonitor\LogFile.PML para C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML onde:

    • %ComputerName% é o nome do dispositivo
    • MMDDYEAR é o mês, o dia e o ano
    • Repro_of_issue é o nome do problema que você está tentando reproduzir

    Dica

    Se você tiver um sistema de trabalho, talvez queira obter um log de exemplo para comparar.

13. Feche o arquivo .pml e envie-o para o suporte da Microsoft.

Capturar logs de desempenho usando o Gravador de Desempenho do Windows

Você pode usar o WPR (Gravador de Desempenho do Windows) para incluir informações adicionais no envio ao suporte da Microsoft. O WPR é uma ferramenta de gravação poderosa que cria o Rastreamento de Eventos para gravações do Windows.

O WPR faz parte do Windows Assessment and Deployment Kit (Windows ADK) e pode ser baixado em Baixar e instalar o Windows ADK. Você também pode baixá-lo como parte do Windows 10 Software Development Kit no SDK Windows 10.

Você pode usar a interface do usuário WPR seguindo as etapas em Capturar logs de desempenho usando a interface do usuário WPR.

Como alternativa, você também pode usar a ferramenta de linha de comando wpr.exe, que está disponível em versões Windows 8 e posterior seguindo as etapas em Capturar logs de desempenho usando a CLI WPR.

Capturar logs de desempenho usando a interface do usuário do WPR

Dica

Se vários dispositivos estiverem enfrentando esse problema, use aquele que tem mais RAM.

1. Baixe e instale o WPR.

2. Em Kits do Windows, clique com o botão direito do mouse no Gravador de Desempenho do Windows.

   

   Selecione Mais. Selecione Executar como administrador.

3. Quando a caixa de diálogo Controle da Conta de Usuário for exibida, selecione Sim.

   

4. Em seguida, baixe o perfil de análise Microsoft Defender para Ponto de Extremidade e salve como MDAV.wprp em uma pasta como C:\temp.

5. Na caixa de diálogo WPR, selecione Mais opções.

   

6. Selecione Adicionar Perfis... e navegue até o caminho do MDAV.wprp arquivo.

7. Depois disso, você deverá ver um novo perfil definido em Medidas personalizadas nomeadasMicrosoft Defender para Ponto de Extremidade análise abaixo dele.

   

   Aviso

   Se o Windows Server tiver 64 GB de RAM ou mais, use a medida Microsoft Defender for Endpoint analysis for large servers personalizada em vez de Microsoft Defender for Endpoint analysis. Caso contrário, seu sistema pode consumir uma alta quantidade de memória de pool não paged ou buffers que podem levar à instabilidade do sistema. Você pode escolher quais perfis adicionar expandindo a Análise de Recursos. Esse perfil personalizado fornece o contexto necessário para análise detalhada de desempenho.

8. Para usar a medida personalizada Microsoft Defender para Ponto de Extremidade perfil de análise verboso na interface do usuário do WPR:

   1. Verifique se nenhum perfil está selecionado nos grupos triagem de primeiro nível, Análise de Recursos e Análise de Cenários .
   2. Selecione Medidas personalizadas.
   3. Selecione Microsoft Defender para Ponto de Extremidade análise.
   4. Selecione Verbose no nível de detalhes .
   5. Selecione Arquivo ou Memória no modo log.

   Importante

   Você deve selecionar Arquivo para usar o modo de registro em log de arquivos se o problema de desempenho puder ser reproduzido diretamente pelo usuário. A maioria dos problemas se enquadra nessa categoria. No entanto, se o usuário não puder reproduzir diretamente o problema, mas puder notá-lo facilmente quando o problema ocorrer, o usuário deverá selecionar Memória para usar o modo de registro em log de memória. Isso garante que o log de rastreamento não seja inflado excessivamente devido ao tempo de longo prazo.

9. Agora você está pronto para coletar dados. Saia de todos os aplicativos que não são relevantes para reproduzir o problema de desempenho. Você pode selecionar Ocultar opções para manter o espaço ocupado pela janela WPR pequena.

   

   Dica

   Tente iniciar o rastreamento em segundos número inteiros. Por exemplo, 01:30:00. Isso facilitará a análise dos dados. Tente também acompanhar o carimbo de data/hora de exatamente quando o problema é reproduzido.

10. Selecione Iniciar.

    

11. Reproduza o problema.

    Dica

    Mantenha a coleta de dados em no máximo cinco minutos. Dois a três minutos é um bom intervalo, pois muitos dados estão sendo coletados.

12. Selecione Salvar.

    

13. Preencha Digite uma descrição detalhada do problema: com informações sobre o problema e como você reproduziu o problema.

    

    1. Selecione Nome do Arquivo: para determinar onde o arquivo de rastreamento será salvo. Por padrão, ele é salvo em %user%\Documents\WPR Files\.
    2. Selecione Salvar.

14. Aguarde enquanto o rastreamento está sendo mesclado.

    

15. Depois que o rastreamento for salvo, selecione Abrir pasta.

    

    Inclua o arquivo e a pasta no envio para Suporte da Microsoft.

    

Capturar logs de desempenho usando a CLI do WPR

A ferramenta de linha de comando wpr.exe faz parte do sistema operacional começando com Windows 8. Para coletar um rastreamento WPR usando a ferramenta de linha de comando wpr.exe:

1. Baixe Microsoft Defender para Ponto de Extremidade perfil de análise para rastreamentos de desempenho em um arquivo nomeado MDAV.wprp em um diretório local, como C:\traces.

2. Clique com o botão direito do mouse no ícone Iniciar Menu e selecione Windows PowerShell (Administração) ou Prompt de Comando (Administração) para abrir uma janela de prompt de comando Administração.

3. Quando a caixa de diálogo Controle da Conta de Usuário for exibida, selecione Sim.

4. No prompt elevado, execute o seguinte comando para iniciar um rastreamento de desempenho Microsoft Defender para Ponto de Extremidade:

   wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
   

   Aviso

   Se o Windows Server tiver 64 GB ou RAM ou mais, use perfis WDForLargeServers.Light e WDForLargeServers.Verbose , em vez de perfis WD.Light e WD.Verbose, respectivamente. Caso contrário, seu sistema pode consumir uma alta quantidade de memória de pool não paged ou buffers que podem levar à instabilidade do sistema.

5. Reproduza o problema.

   Dica

   Mantenha a coleta de dados não para mais de cinco minutos. Dependendo do cenário, de dois a três minutos é um bom intervalo, pois muitos dados estão sendo coletados.

6. No prompt elevado, execute o seguinte comando para interromper o rastreamento de desempenho, certificando-se de fornecer informações sobre o problema e como você reproduziu o problema:

   wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
   

7. Aguarde até que o rastreamento seja mesclado.

8. Inclua o arquivo e a pasta no envio ao suporte da Microsoft.

Dica

Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:

• Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
• Microsoft Defender para Ponto de Extremidade no Mac
• Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
• Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
• Microsoft Defender para Ponto de Extremidade para Linux
• Configurar o Defender para o Ponto de extremidade nos recursos do Android
• Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS

Dica

Dica de desempenho Devido a uma variedade de fatores (exemplos listados abaixo) Microsoft Defender Antivírus, como outros softwares antivírus, podem causar problemas de desempenho em dispositivos de ponto de extremidade. Em alguns casos, talvez seja necessário ajustar o desempenho de Microsoft Defender Antivírus para aliviar esses problemas de desempenho. O analisador de desempenho da Microsoft é uma ferramenta de linha de comando do PowerShell que ajuda a determinar quais arquivos, caminhos de arquivo, processos e extensões de arquivo podem estar causando problemas de desempenho; alguns exemplos são:

• Principais caminhos que afetam o tempo de verificação
• Principais arquivos que afetam o tempo de verificação
• Principais processos que afetam o tempo de verificação
• Principais extensões de arquivo que afetam o tempo de verificação
• Combinações – por exemplo:
  • arquivos superiores por extensão
  • caminhos superiores por extensão
  • principais processos por caminho
  • verificações superiores por arquivo
  • verificações superiores por arquivo por processo

Você pode usar as informações coletadas usando o analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de correção. Consulte: Analisador de desempenho para Microsoft Defender Antivírus.

Confira também

• Coletar dados de diagnóstico de antivírus Microsoft Defender
• Configurar e validar exclusões para verificações Microsoft Defender Antivírus
• Analisador de desempenho para Microsoft Defender Antivírus

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.