Analisador de desempenho para Microsoft Defender Antivírus
Aplica-se a
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
Plataformas
- Windows
Requisitos
Microsoft Defender analisador de desempenho antivírus tem os seguintes pré-requisitos:
- Versões do Windows com suporte: Windows 10, Windows 11, Windows 2012 R2 com a Solução Unificada Moderna e Windows Server 2016 e superior
- Versão da plataforma:
4.18.2108.7
ou posterior - Versão do PowerShell: PowerShell Versão 5.1, PowerShell ISE, PowerShell remoto (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)
O que é Microsoft Defender analisador de desempenho antivírus?
Se os computadores que executam Microsoft Defender Antivírus estiverem enfrentando problemas de desempenho, você poderá usar o analisador de desempenho para melhorar o desempenho de Microsoft Defender Antivírus. O analisador de desempenho para Microsoft Defender Antivírus no Windows 10, Windows 11 e Windows Server é uma ferramenta de linha de comando do PowerShell que ajuda você a determinar arquivos, extensões de arquivo e processos que podem estar causando problemas de desempenho em pontos de extremidade individuais durante verificações antivírus. Você pode usar as informações coletadas pelo analisador de desempenho para avaliar problemas de desempenho e aplicar ações de correção.
Semelhante à maneira como a mecânica executa diagnóstico e o serviço em um veículo que tem problemas de desempenho, o analisador de desempenho pode ajudá-lo a melhorar o desempenho do Defender Antivírus.
Algumas opções a serem analisadas incluem:
- Principais caminhos que afetam o tempo de verificação
- Principais arquivos que afetam o tempo de verificação
- Principais processos que afetam o tempo de verificação
- Principais extensões de arquivo que afetam o tempo de verificação
- Combinações – por exemplo:
- arquivos superiores por extensão
- caminhos superiores por extensão
- principais processos por caminho
- verificações superiores por arquivo
- verificações superiores por arquivo por processo
Executando o analisador de desempenho
O processo de alto nível para executar o analisador de desempenho envolve as seguintes etapas:
Execute o analisador de desempenho para coletar uma gravação de desempenho de Microsoft Defender eventos antivírus no ponto de extremidade.
Observação
O desempenho de Microsoft Defender eventos antivírus do tipo Microsoft-Antimalware-Engine são registrados por meio do analisador de desempenho.
Analise os resultados da verificação usando relatórios de gravação diferentes.
Usando o analisador de desempenho
Para iniciar eventos do sistema de gravação, abra o PowerShell no modo administrativo e execute as seguintes etapas:
Execute o seguinte comando para iniciar a gravação:
New-MpPerformanceRecording -RecordTo <recording.etl>
em
-RecordTo
que o parâmetro especifica o local de caminho completo no qual o arquivo de rastreamento é salvo. Para obter mais informações sobre cmdlets, consulte Microsoft Defender cmdlets antivírus.Se houver processos ou serviços considerados afetando o desempenho, reproduz a situação realizando as tarefas relevantes.
Pressione ENTER para parar e salvar a gravação ou Ctrl+C para cancelar a gravação.
Analise os resultados usando o parâmetro do analisador de
Get-MpPerformanceReport
desempenho. Por exemplo, ao executar o comandoGet-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10
, o usuário recebe uma lista dos dez primeiros exames para os três principais arquivos que afetam o desempenho.
Para obter mais informações sobre parâmetros e opções de linha de comando, confira New-MpPerformanceRecording e Get-MpPerformanceReport.
Observação
Ao executar uma gravação, se você receber o erro "Não é possível iniciar a gravação de desempenho porque o Gravador de Desempenho do Windows já está gravando", execute o seguinte comando para interromper o rastreamento existente com o novo comando: wpr -cancel -instancename MSFT_MpPerformanceRecording
Dados e informações de ajuste de desempenho
Com base na consulta, o usuário pode exibir dados para contagens de verificação, duração (total/min/média/max/mediana), caminho, processo e motivo para verificação. A imagem a seguir mostra a saída de exemplo para uma consulta simples dos 10 principais arquivos para o impacto da verificação.
Funcionalidade adicional: exportar e converter em CSV e JSON
Os resultados do analisador de desempenho também podem ser exportados e convertidos em um arquivo CSV ou JSON. Para obter exemplos que descrevem o processo de "exportar" e "converter" por meio de códigos de exemplo, confira as seções a seguir.
A partir da versão 4.18.2206.X
do Defender, os usuários podem exibir informações de razão de ignorar verificação na coluna "SkipReason". Os valores possíveis são:
- Não ignorado
- Otimização (normalmente devido a motivos de desempenho)
- Usuário ignorado (normalmente devido a exclusões de conjunto de usuários)
Para CSV
- Para exportar:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
- Para converter:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation
Para JSON
- Para converter:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1
Para garantir a saída legível pelo computador para exportação com outros sistemas de processamento de dados, é recomendável usar -Raw
o parâmetro para Get-MpPerformanceReport
. Confira as seções a seguir para obter mais detalhes.
Referência do PowerShell
Há dois novos cmdlets do PowerShell usados para ajustar o desempenho de Microsoft Defender Antivírus:
New-MpPerformanceRecording
A seção a seguir descreve a referência para o novo cmdlet do PowerShell New-MpPerformanceRecording. Este cmdlet Coleta uma gravação de desempenho de Microsoft Defender verificações antivírus.
Sintaxe: New-MpPerformanceRecording
New-MpPerformanceRecording -RecordTo <String>
Descrição: New-MpPerformanceRecording
O New-MpPerformanceRecording
cmdlet coleta uma gravação de desempenho de Microsoft Defender verificações antivírus. Essas gravações de desempenho contêm eventos de processo do kernel Microsoft-Antimalware-Engine e NT e podem ser analisadas após a coleta usando o cmdlet Get-MpPerformanceReport .
Esse New-MpPerformanceRecording
cmdlet fornece uma visão sobre arquivos problemáticos que podem causar uma degradação no desempenho de Microsoft Defender Antivírus. Essa ferramenta é fornecida como "AS IS", e não se destina a fornecer sugestões sobre exclusões. As exclusões podem reduzir o nível de proteção em seus pontos de extremidade. As exclusões, se houver, devem ser definidas com cuidado.
Para obter mais informações sobre o analisador de desempenho, consulte Performance Analyzer documentos.
Importante
Esse cmdlet requer privilégios de administrador elevados.
Exemplos: New-MpPerformanceRecording
Exemplo 1: Coletar uma gravação de desempenho e salvá-la
New-MpPerformanceRecording -RecordTo .\Defender-scans.etl
O comando acima coleta uma gravação de desempenho e a salva no caminho especificado: .\Defender-scans.etl.
Exemplo 2: Coletar uma gravação de desempenho para a sessão remota do PowerShell
$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s
O comando acima coleta uma gravação de desempenho no Server02 (conforme especificado pelo argumento $s do parâmetro Session) e o salva no caminho especificado: C:\LocalPathOnServer02\trace.etl no Server02.
Parâmetros: New-MpPerformanceRecording
-RecordTo
Especifica o local no qual salvar o Microsoft Defender gravação de desempenho do Antimalware.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Sessão
Especifica o objeto PSSession no qual criar e salvar o Microsoft Defender gravação de desempenho antivírus. Quando você usa esse parâmetro, o parâmetro RecordTo refere-se ao caminho local no computador remoto. Disponível com a plataforma Defender versão 4.18.2201.10.
Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Get-MpPerformanceReport
A seção a seguir descreve o cmdlet Get-MpPerformanceReport PowerShell. Analisa e relata Microsoft Defender gravação de desempenho do Antivírus.
Sintaxe: Get-MpPerformanceReport
Get-MpPerformanceReport [-Path] <String>
[-TopScans [<Int32>]]
[-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]]
[-TopScansPerPath [<Int32>]]
[-TopFilesPerPath [<Int32>]
[-TopScansPerFilePerPath [<Int32>]]
]
[-TopExtensionsPerPath [<Int32>]
[-TopScansPerExtensionPerPath [<Int32>]]
]
[-TopProcessesPerPath [<Int32>]
[-TopScansPerProcessPerPath [<Int32>]]
]
]
[-TopFiles [<Int32>]
[-TopScansPerFile [<Int32>]]
[-TopProcessesPerFile [<Int32>]
[-TopScansPerProcessPerFile [<Int32>]]
]
]
[-TopExtensions [<Int32>]
[-TopScansPerExtension [<Int32>]
[-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerExtension [<Int32>]]
]
[-TopProcessesPerExtension [<Int32>]
[-TopScansPerProcessPerExtension [<Int32>]]
]
[-TopFilesPerExtension [<Int32>]
[-TopScansPerFilePerExtension [<Int32>]]
]
]
[-TopProcesses [<Int32>]
[-TopScansPerProcess [<Int32>]]
[-TopExtensionsPerProcess [<Int32>]
[-TopScansPerExtensionPerProcess [<Int32>]]
]
[-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]]
[-TopScansPerPathPerProcess [<Int32>]]
]
[-TopFilesPerProcess [<Int32>]
[-TopScansPerFilePerProcess [<Int32>]]
]
]
[-MinDuration <String>]
[-Raw]
Descrição: Get-MpPerformanceReport
O Get-MpPerformanceReport
cmdlet analisa uma gravação de desempenho do Microsoft Defender Antivírus coletada anteriormente (New-MpPerformanceRecording) e relata os caminhos de arquivo, extensões de arquivo e processos que causam o maior impacto para Microsoft Defender exames antivírus.
O analisador de desempenho fornece uma visão sobre arquivos problemáticos que podem causar uma degradação no desempenho de Microsoft Defender Antivírus. Essa ferramenta é fornecida como "AS IS" e não se destina a fornecer sugestões sobre exclusões. As exclusões podem reduzir o nível de proteção em seus pontos de extremidade. As exclusões, se houver, devem ser definidas com cuidado.
Para obter mais informações sobre o analisador de desempenho, consulte Performance Analyzer documentos.
Versões do sistema operacional com suporte:
Windows Versão 10 e posterior.
Observação
Esse recurso está disponível a partir da versão da plataforma 4.18.2108.X e posterior.
Exemplos: Get-MpPerformanceReport
Exemplo 1: Consulta única
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20
Exemplo 2: Várias consultas
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10
Exemplo 3: consultas aninhadas
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3
Exemplo 4: usando o parâmetro -MinDuration
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms
Exemplo 5: Usando o parâmetro -Raw
Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json
Usar -Raw no comando acima especifica que a saída deve ser legível pelo computador e facilmente conversível para formatos de serialização como JSON.
Parâmetros: Get-MpPerformanceReport
-TopPaths
Solicita um relatório de caminhos superiores e especifica quantos caminhos principais para a saída, classificados por Duração. Agrega as verificações com base em seu caminho e diretório. O usuário pode especificar quantos diretórios devem ser exibidos em cada nível e a profundidade da seleção.
- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False
-TopPathsDepth
Especifica a profundidade recursiva usada para agrupar e exibir os resultados do caminho agregado. Por exemplo, "C:" corresponde a uma profundidade de 1, "C:\Users\Foo" corresponde a uma profundidade de 3.
Esse sinalizador pode acompanhar todas as outras opções de Caminho Superior. Se estiver ausente, um valor padrão de 3 será assumido. O valor não pode ser 0.
- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False
flag | Definição |
---|---|
-TopScansPerPath | Especifica quantas verificações superiores especificar para cada caminho superior. |
-TopFilesPerPath | Especifica quantos arquivos superiores especificar para cada caminho superior. |
-TopScansPerFilePerPath | Especifica quantas verificações superiores a serem geradas para cada arquivo superior para cada caminho superior, classificado por "Duração" |
-TopExtensionsPerPath | Especifica quantas extensões principais a serem saídas para cada caminho superior |
-TopScansPerExtensionPerPath | Especifica quantas verificações superiores a serem saídas para cada extensão superior para cada caminho superior |
-TopProcessesPerPath | Especifica quantos processos superiores a serem gerados para cada caminho superior |
-TopScansPerProcessPerPath | Especifica quantas verificações superiores a serem geradas para cada processo superior para cada caminho superior |
-TopPathsPerExtension | Especifica quantos caminhos principais a serem gerados para cada extensão superior |
-TopScansPerPathPerExtension | Especifica quantas verificações superiores a serem geradas para cada caminho superior para cada extensão superior |
-TopPathsPerProcess | Especifica quantos caminhos principais a serem gerados para cada processo superior |
-TopScansPerPathPerProcess | Especifica quantas verificações superiores a serem saídas para cada caminho superior para cada processo superior |
-MinDuration
Especifica a duração mínima de qualquer verificação ou duração total de verificação de arquivos, extensões e processos incluídos no relatório; aceita valores como 0,1234567sec, 0,1234ms, 0,1us ou um TimeSpan válido.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Caminho
Especifica o caminho ou caminhos para um ou mais locais.
Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-Raw
Especifica que a saída da gravação de desempenho deve ser legível por máquina e facilmente conversível para formatos de serialização como JSON (por exemplo, por meio do comando Converter para JSON). Essa configuração é recomendada para usuários interessados no processamento em lote com outros sistemas de processamento de dados.
Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensions
Especifica quantas extensões superiores a saída, classificadas por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess
Especifica quantas extensões superiores a serem saídas para cada processo superior, classificadas por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiles
Solicita um relatório de arquivos superiores e especifica quantos arquivos superiores serão gerados, classificados por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension
Especifica quantos arquivos superiores serão gerados para cada extensão superior, classificada por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess
Especifica quantos arquivos superiores serão gerados para cada processo superior, classificados por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcesses
Solicita um relatório de processos superiores e especifica quantos dos principais processos a serem gerados, classificados por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension
Especifica quantos processos superiores a serem gerados para cada extensão superior, classificada por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile
Especifica quantos processos superiores a serem gerados para cada arquivo superior, classificados por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans
Solicita um relatório de verificação superior e especifica quantas verificações superiores a saída, classificadas por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension
Especifica quantas verificações superiores a serem geradas para cada extensão superior, classificada por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess
Especifica quantos exames superiores a serem gerados para cada extensão superior para cada processo superior, classificados por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile
Especifica quantas verificações superiores a serem geradas para cada arquivo superior, classificadas por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension
Especifica quantas verificações superiores a serem geradas para cada arquivo superior para cada extensão superior, classificada por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess
Especifica quantas verificações superiores para a saída de cada arquivo superior para cada processo superior, classificado por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess
Especifica quantas verificações superiores a serem geradas para cada processo superior no relatório Processos Superiores, classificado por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension
Especifica quantas verificações superiores para a saída de cada processo superior para cada extensão superior, classificada por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile
Especifica quantas verificações superiores para a saída de cada processo superior para cada arquivo superior, classificado por Duração.
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Recursos adicionais
Se você estiver procurando informações relacionadas ao Antivírus para outras plataformas, confira:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para Ponto de Extremidade em recursos- do AndroidConfigurar Microsoft Defender para Ponto de Extremidade em recursos do iOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de