Data-samling för avancerad felsökning i Windows

Gäller för:

När du samarbetar med Microsofts supportpersonal kan du bli ombedd att använda klientanalysen för att samla in data för felsökning av mer komplexa scenarier. Analysskriptet stöder andra parametrar för detta ändamål och kan samla in en särskild logguppsättning baserat på de observerade symptom som behöver undersökas.

Kör 'MDEClientAnalyzer.cmd /?' för att se en lista över tillgängliga parametrar och deras beskrivning:

Bild av parametrar för klientanalys i kommandoraden.

Anteckning

När någon avancerad felsökningsparameter används anropar analysatorn även till att MpCmdRun.exe samla Microsoft Defender Antivirus relaterade supportloggar.

-h - Samtal till Windows Performance Recorder för att samla in en utförlig allmän prestandaspårning utöver standardlogguppsättningen.

-l – Samtal till inbyggda Windows för att samla in en lätt perfmonspårning. Detta kan vara användbart vid diagnos av problem med långsam prestandaförsämring som uppstår över tid men svårt att återskapa på begäran.

-c – Samtal till processövervakning för avancerad övervakning av filsystem i realtid, registret och process-/trådaktivitet. Det här är särskilt användbart när du felsöker olika scenarier för programkompatibilitet.

-i - Samtal till inbyggda netsh.exe för att starta ett nätverks- och Windows-brandväggsspårning som är användbart när du felsöker olika nätverksrelaterade problem.

-b - Samma som '-c' men processspårning initieras vid nästa start och stoppas bara när -b används igen.

-a – Samtal till Windows Performance Recorder för att samla in en utförlig prestandaspårning som är specifik för analys av problem med hög CPU-processor som är relaterad till antivirusprocessen (MsMpEng.exe).

-v – Använder antivirusprogrammetMpCmdRun.exe kommandoradsargument med de flesta utförliga -trace-flaggor.

-t – Påbörjar utförlig spårning av alla komponenter på klientsidan som är relevanta för Slutpunkt DLP. Det här är användbart för scenarier där DLP-åtgärder inte sker som förväntat för filer.

-q - Samtal till DLPDiagnose.ps1 skript från katalogen analysverktyg som validerar grundläggande konfiguration och krav för slutpunkt DLP.

-d – Samlar in en minnesdump av MsSenseS.exe (sensorprocessen på ett Windows Server 2016 äldre operativsystem) och relaterade processer.

  • * Den här flaggan kan användas tillsammans med omnämnda flaggor ovan.
  • ** Att ta en minnesdump av PPL-skyddade processer, till exempel MsSense.exe eller MsMpEng.exe, stöds inte av analyseraren för närvarande.

-z – konfigurerar registernycklarna på datorn för att förbereda den för full minnesdumpsamling via CrashOnCtrlScroll. Det skulle vara användbart för analys av dator låsa problem.

* Håll ned CTRL-tangenten längst till höger och tryck sedan två gånger på SCROLL LOCK.

-k - Använder verktyget NotMyFault för att tvinga systemet att krascha och generera en minnesdump. Det skulle vara användbart för analys av olika stabilitetsproblem i operativsystemet.

Analysatorn och alla scenarioflaggor ovan kan initieras på distans genom att köra 'RemoteMDEClientAnalyzer.cmd', som också ingår i analysverktygen:

Bild av kommandorad med analysinformation.

Anteckning

  • När remoteMDEClientAnalyzer.cmd används till psexec hämtas verktyget från den konfigurerade filresursen och den körs sedan lokalt via PsExec.exe. CMD-skriptet använder "-r"-flaggan för att ange att det körs på distans i SYSTEM-kontexten och så att ingen uppmaning till användaren presenteras.

  • Samma flagga kan användas med MDEClientAnalyzer.cmd för att undvika att användaren uppmanas att ange antalet minuter för datainsamling. Till exempel:

    MDEClientAnalyzer.cmd -r -i -m 5

    • -r – Anger att verktyget körs från en fjärrdator (eller ett icke-interaktivt sammanhang)
    • -i - Scenarioflagga för insamling av nätverksspårning tillsammans med andra relaterade loggar
    • -m # - Antalet minuter som ska köras (5 minuter i exemplet ovan)