Analisador de desempenho para Microsoft Defender Antivírus

Aplica-se a

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender Antivírus

Plataformas

• Windows

Requisitos

Microsoft Defender analisador de desempenho antivírus tem os seguintes pré-requisitos:

• Versões do Windows com suporte: Windows 10, Windows 11, Windows 2012 R2 com a Solução Unificada Moderna e Windows Server 2016 e superior
• Versão da plataforma: 4.18.2108.7 ou posterior
• Versão do PowerShell: PowerShell Versão 5.1, PowerShell ISE, PowerShell remoto (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

O que é Microsoft Defender analisador de desempenho antivírus?

Se os computadores que executam Microsoft Defender Antivírus estiverem enfrentando problemas de desempenho, você poderá usar o analisador de desempenho para melhorar o desempenho de Microsoft Defender Antivírus. O analisador de desempenho para Microsoft Defender Antivírus no Windows 10, Windows 11 e Windows Server é uma ferramenta de linha de comando do PowerShell que ajuda você a determinar arquivos, extensões de arquivo e processos que podem estar causando problemas de desempenho em pontos de extremidade individuais durante verificações antivírus. Você pode usar as informações coletadas pelo analisador de desempenho para avaliar problemas de desempenho e aplicar ações de correção.

Semelhante à maneira como a mecânica executa diagnóstico e o serviço em um veículo que tem problemas de desempenho, o analisador de desempenho pode ajudá-lo a melhorar o desempenho do Defender Antivírus.

Algumas opções a serem analisadas incluem:

• Principais caminhos que afetam o tempo de verificação
• Principais arquivos que afetam o tempo de verificação
• Principais processos que afetam o tempo de verificação
• Principais extensões de arquivo que afetam o tempo de verificação
• Combinações – por exemplo:
  • arquivos superiores por extensão
  • caminhos superiores por extensão
  • principais processos por caminho
  • verificações superiores por arquivo
  • verificações superiores por arquivo por processo

Executando o analisador de desempenho

O processo de alto nível para executar o analisador de desempenho envolve as seguintes etapas:

1. Execute o analisador de desempenho para coletar uma gravação de desempenho de Microsoft Defender eventos antivírus no ponto de extremidade.

   Observação

   O desempenho de Microsoft Defender eventos antivírus do tipo Microsoft-Antimalware-Engine são registrados por meio do analisador de desempenho.

2. Analise os resultados da verificação usando relatórios de gravação diferentes.

Usando o analisador de desempenho

Para iniciar eventos do sistema de gravação, abra o PowerShell no modo administrativo e execute as seguintes etapas:

1. Execute o seguinte comando para iniciar a gravação:

   New-MpPerformanceRecording -RecordTo <recording.etl>
   

   em -RecordTo que o parâmetro especifica o local de caminho completo no qual o arquivo de rastreamento é salvo. Para obter mais informações sobre cmdlets, consulte Microsoft Defender cmdlets antivírus.

2. Se houver processos ou serviços considerados afetando o desempenho, reproduz a situação realizando as tarefas relevantes.

3. Pressione ENTER para parar e salvar a gravação ou Ctrl+C para cancelar a gravação.

4. Analise os resultados usando o parâmetro do analisador de Get-MpPerformanceReport desempenho. Por exemplo, ao executar o comando Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10, o usuário recebe uma lista dos dez primeiros exames para os três principais arquivos que afetam o desempenho.

Para obter mais informações sobre parâmetros e opções de linha de comando, confira New-MpPerformanceRecording e Get-MpPerformanceReport.

Observação

Ao executar uma gravação, se você receber o erro "Não é possível iniciar a gravação de desempenho porque o Gravador de Desempenho do Windows já está gravando", execute o seguinte comando para interromper o rastreamento existente com o novo comando: wpr -cancel -instancename MSFT_MpPerformanceRecording

Dados e informações de ajuste de desempenho

Com base na consulta, o usuário pode exibir dados para contagens de verificação, duração (total/min/média/max/mediana), caminho, processo e motivo para verificação. A imagem a seguir mostra a saída de exemplo para uma consulta simples dos 10 principais arquivos para o impacto da verificação.

Funcionalidade adicional: exportar e converter em CSV e JSON

Os resultados do analisador de desempenho também podem ser exportados e convertidos em um arquivo CSV ou JSON. Para obter exemplos que descrevem o processo de "exportar" e "converter" por meio de códigos de exemplo, confira as seções a seguir.

A partir da versão 4.18.2206.Xdo Defender, os usuários podem exibir informações de razão de ignorar verificação na coluna "SkipReason". Os valores possíveis são:

• Não ignorado
• Otimização (normalmente devido a motivos de desempenho)
• Usuário ignorado (normalmente devido a exclusões de conjunto de usuários)

Para CSV

• Para exportar:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

• Para converter:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

Para JSON

• Para converter:

(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Para garantir a saída legível pelo computador para exportação com outros sistemas de processamento de dados, é recomendável usar -Raw o parâmetro para Get-MpPerformanceReport. Confira as seções a seguir para obter mais detalhes.

Referência do PowerShell

Há dois novos cmdlets do PowerShell usados para ajustar o desempenho de Microsoft Defender Antivírus:

• New-MpPerformanceRecording
• Get-MpPerformanceReport

New-MpPerformanceRecording

A seção a seguir descreve a referência para o novo cmdlet do PowerShell New-MpPerformanceRecording. Este cmdlet Coleta uma gravação de desempenho de Microsoft Defender verificações antivírus.

Sintaxe: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

Descrição: New-MpPerformanceRecording

O New-MpPerformanceRecording cmdlet coleta uma gravação de desempenho de Microsoft Defender verificações antivírus. Essas gravações de desempenho contêm eventos de processo do kernel Microsoft-Antimalware-Engine e NT e podem ser analisadas após a coleta usando o cmdlet Get-MpPerformanceReport .

Esse New-MpPerformanceRecording cmdlet fornece uma visão sobre arquivos problemáticos que podem causar uma degradação no desempenho de Microsoft Defender Antivírus. Essa ferramenta é fornecida como "AS IS", e não se destina a fornecer sugestões sobre exclusões. As exclusões podem reduzir o nível de proteção em seus pontos de extremidade. As exclusões, se houver, devem ser definidas com cuidado.

Para obter mais informações sobre o analisador de desempenho, consulte Performance Analyzer documentos.

Importante

Esse cmdlet requer privilégios de administrador elevados.

Exemplos: New-MpPerformanceRecording

Exemplo 1: Coletar uma gravação de desempenho e salvá-la

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

O comando acima coleta uma gravação de desempenho e a salva no caminho especificado: .\Defender-scans.etl.

Exemplo 2: Coletar uma gravação de desempenho para a sessão remota do PowerShell

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

O comando acima coleta uma gravação de desempenho no Server02 (conforme especificado pelo argumento $s do parâmetro Session) e o salva no caminho especificado: C:\LocalPathOnServer02\trace.etl no Server02.

Parâmetros: New-MpPerformanceRecording

-RecordTo

Especifica o local no qual salvar o Microsoft Defender gravação de desempenho do Antimalware.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Sessão

Especifica o objeto PSSession no qual criar e salvar o Microsoft Defender gravação de desempenho antivírus. Quando você usa esse parâmetro, o parâmetro RecordTo refere-se ao caminho local no computador remoto. Disponível com a plataforma Defender versão 4.18.2201.10.

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

A seção a seguir descreve o cmdlet Get-MpPerformanceReport PowerShell. Analisa e relata Microsoft Defender gravação de desempenho do Antivírus.

Sintaxe: Get-MpPerformanceReport

Get-MpPerformanceReport [-Path] <String>
    [-TopScans [<Int32>]]
    [-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
            [-TopScansPerPath [<Int32>]]
            [-TopFilesPerPath [<Int32>]
                    [-TopScansPerFilePerPath [<Int32>]]
                    ]
            [-TopExtensionsPerPath [<Int32>]
                    [-TopScansPerExtensionPerPath [<Int32>]]
                    ]
            [-TopProcessesPerPath [<Int32>]
                    [-TopScansPerProcessPerPath [<Int32>]]
                    ]
            ]
    [-TopFiles [<Int32>]
            [-TopScansPerFile [<Int32>]]
            [-TopProcessesPerFile [<Int32>]
                    [-TopScansPerProcessPerFile [<Int32>]]
                    ]
            ]
    [-TopExtensions [<Int32>]
            [-TopScansPerExtension [<Int32>]
            [-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerExtension [<Int32>]]
                    ]
            [-TopProcessesPerExtension [<Int32>]
                    [-TopScansPerProcessPerExtension [<Int32>]]
                    ]
            [-TopFilesPerExtension [<Int32>]
                    [-TopScansPerFilePerExtension [<Int32>]]
                    ]
            ]
    [-TopProcesses [<Int32>]
            [-TopScansPerProcess [<Int32>]]
            [-TopExtensionsPerProcess [<Int32>]
                    [-TopScansPerExtensionPerProcess [<Int32>]]
                    ]
            [-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
                    [-TopScansPerPathPerProcess [<Int32>]]
                    ]
            [-TopFilesPerProcess [<Int32>]
                    [-TopScansPerFilePerProcess [<Int32>]]
                    ]
            ]
    [-MinDuration <String>]
    [-Raw]

Descrição: Get-MpPerformanceReport

O Get-MpPerformanceReport cmdlet analisa uma gravação de desempenho do Microsoft Defender Antivírus coletada anteriormente (New-MpPerformanceRecording) e relata os caminhos de arquivo, extensões de arquivo e processos que causam o maior impacto para Microsoft Defender exames antivírus.

O analisador de desempenho fornece uma visão sobre arquivos problemáticos que podem causar uma degradação no desempenho de Microsoft Defender Antivírus. Essa ferramenta é fornecida como "AS IS" e não se destina a fornecer sugestões sobre exclusões. As exclusões podem reduzir o nível de proteção em seus pontos de extremidade. As exclusões, se houver, devem ser definidas com cuidado.

Para obter mais informações sobre o analisador de desempenho, consulte Performance Analyzer documentos.

Versões do sistema operacional com suporte:

Windows Versão 10 e posterior.

Observação

Esse recurso está disponível a partir da versão da plataforma 4.18.2108.X e posterior.

Exemplos: Get-MpPerformanceReport

Exemplo 1: Consulta única

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

Exemplo 2: Várias consultas

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

Exemplo 3: consultas aninhadas

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

Exemplo 4: usando o parâmetro -MinDuration

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

Exemplo 5: Usando o parâmetro -Raw

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

Usar -Raw no comando acima especifica que a saída deve ser legível pelo computador e facilmente conversível para formatos de serialização como JSON.

Parâmetros: Get-MpPerformanceReport

-TopPaths

Solicita um relatório de caminhos superiores e especifica quantos caminhos principais para a saída, classificados por Duração. Agrega as verificações com base em seu caminho e diretório. O usuário pode especificar quantos diretórios devem ser exibidos em cada nível e a profundidade da seleção.

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPathsDepth

Especifica a profundidade recursiva usada para agrupar e exibir os resultados do caminho agregado. Por exemplo, "C:" corresponde a uma profundidade de 1, "C:\Users\Foo" corresponde a uma profundidade de 3.

Esse sinalizador pode acompanhar todas as outras opções de Caminho Superior. Se estiver ausente, um valor padrão de 3 será assumido. O valor não pode ser 0.

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

flag	Definição
-TopScansPerPath	Especifica quantas verificações superiores especificar para cada caminho superior.
-TopFilesPerPath	Especifica quantos arquivos superiores especificar para cada caminho superior.
-TopScansPerFilePerPath	Especifica quantas verificações superiores a serem geradas para cada arquivo superior para cada caminho superior, classificado por "Duração"
-TopExtensionsPerPath	Especifica quantas extensões principais a serem saídas para cada caminho superior
-TopScansPerExtensionPerPath	Especifica quantas verificações superiores a serem saídas para cada extensão superior para cada caminho superior
-TopProcessesPerPath	Especifica quantos processos superiores a serem gerados para cada caminho superior
-TopScansPerProcessPerPath	Especifica quantas verificações superiores a serem geradas para cada processo superior para cada caminho superior
-TopPathsPerExtension	Especifica quantos caminhos principais a serem gerados para cada extensão superior
-TopScansPerPathPerExtension	Especifica quantas verificações superiores a serem geradas para cada caminho superior para cada extensão superior
-TopPathsPerProcess	Especifica quantos caminhos principais a serem gerados para cada processo superior
-TopScansPerPathPerProcess	Especifica quantas verificações superiores a serem saídas para cada caminho superior para cada processo superior

-MinDuration

Especifica a duração mínima de qualquer verificação ou duração total de verificação de arquivos, extensões e processos incluídos no relatório; aceita valores como 0,1234567sec, 0,1234ms, 0,1us ou um TimeSpan válido.

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Caminho

Especifica o caminho ou caminhos para um ou mais locais.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-Raw

Especifica que a saída da gravação de desempenho deve ser legível por máquina e facilmente conversível para formatos de serialização como JSON (por exemplo, por meio do comando Converter para JSON). Essa configuração é recomendada para usuários interessados no processamento em lote com outros sistemas de processamento de dados.

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensions

Especifica quantas extensões superiores a saída, classificadas por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Especifica quantas extensões superiores a serem saídas para cada processo superior, classificadas por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiles

Solicita um relatório de arquivos superiores e especifica quantos arquivos superiores serão gerados, classificados por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Especifica quantos arquivos superiores serão gerados para cada extensão superior, classificada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Especifica quantos arquivos superiores serão gerados para cada processo superior, classificados por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcesses

Solicita um relatório de processos superiores e especifica quantos dos principais processos a serem gerados, classificados por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Especifica quantos processos superiores a serem gerados para cada extensão superior, classificada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Especifica quantos processos superiores a serem gerados para cada arquivo superior, classificados por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Solicita um relatório de verificação superior e especifica quantas verificações superiores a saída, classificadas por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Especifica quantas verificações superiores a serem geradas para cada extensão superior, classificada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Especifica quantos exames superiores a serem gerados para cada extensão superior para cada processo superior, classificados por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Especifica quantas verificações superiores a serem geradas para cada arquivo superior, classificadas por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Especifica quantas verificações superiores a serem geradas para cada arquivo superior para cada extensão superior, classificada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Especifica quantas verificações superiores para a saída de cada arquivo superior para cada processo superior, classificado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Especifica quantas verificações superiores a serem geradas para cada processo superior no relatório Processos Superiores, classificado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Especifica quantas verificações superiores para a saída de cada processo superior para cada extensão superior, classificada por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Especifica quantas verificações superiores para a saída de cada processo superior para cada arquivo superior, classificado por Duração.

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Recursos adicionais

Se você estiver procurando informações relacionadas ao Antivírus para outras plataformas, confira:

• Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
• Microsoft Defender para Ponto de Extremidade no Mac
• Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
• Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
• Microsoft Defender para Ponto de Extremidade para Linux
• Configurar o Defender para Ponto de Extremidade em recursos- do AndroidConfigurar Microsoft Defender para Ponto de Extremidade em recursos do iOS

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.