Felsöka prestandaproblem relaterade till realtidsskydd

Gäller för:

Om ditt system har problem med hög CPU-användning eller prestanda relaterade till realtidsskyddstjänsten i Microsoft Defender för Endpoint kan du skicka ett ärende till Microsoft Support. Följ stegen i Samla in Microsoft Defender Antivirus diagnostikdata.

Som administratör kan du också felsöka dessa problem på egen hand.

Först kanske du vill kontrollera om problemet orsakas av en annan programvara. Läs Kontrollera med leverantörs-undantag för antivirus.

Annars kan du identifiera vilken programvara som är relaterad till det identifierade prestandaproblemet genom att följa stegen i Analysera Microsoft Protection-loggen.

Du kan också skicka ytterligare loggar till din inskickade information till Microsoft genom att följa stegen i:

Kontrollera med leverantörer om undantag för antivirus

Om du enkelt kan identifiera den programvara som påverkar systemprestanda går du till programvaruleverantörens kunskapsbas eller supportcenter. Sök om de har rekommendationer om undantag för antivirus. Om leverantörens webbplats inte har dem kan du öppna ett support ärende tillsammans med dem och be dem publicera ett.

Vi rekommenderar att programvaruleverantörer följer de olika riktlinjerna i att samarbeta med branschen för att minimera falska positiva resultat. Leverantören kan skicka in sin programvara via Microsoft Säkerhetsinsikter portalen.

Analysera Microsoft Protection-loggen

I MPLog-xxxxxxxx-xxxxxx.log kan du hitta information om beräknad prestandaeffekter av att köra programvara som Uppskattat Antal:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%



Fältnamn Beskrivning
ProcessImageName Namn på processbild
TotalTime Den kumulativa varaktigheten i millisekunder som spenderas i genomsökningar av filer som används i den här processen
Antal Antalet genomsökta filer som används i den här processen
MaxTime Varaktigheten i millisekunder vid den längsta enskilda genomsökningen av en fil som används av den här processen
MaxTimeFile Sökvägen till filen som används i den här processen för vilken den längsta genomsökningen MaxTime registrerades
EstimatedImpact Hur lång tid i procent som har använts i genomsökningar för filer som använts i den här processen under den period då den här processen gick igenom

Om prestandan är hög kan du prova att lägga till processen i undantag för sökväg/process genom att följa stegen i Konfigurera och validera undantag för Microsoft Defender Antivirus genomsökningar.

Om det föregående steget inte löser problemet kan du samla in mer information via processövervakningen eller Windows Performance Recorder i följande avsnitt.

Registrera processloggar med processövervakning

Processövervakning (ProcMon) är ett avancerat övervakningsverktyg som kan visa realtidsprocesser. Du kan använda detta för att registrera prestandaproblemet medan det inträffar.

  1. Ladda ned Processövervakning v3.60 till en mapp som C:\temp .

  2. Så här tar du bort filens markering på webben:

    1. Högerklicka på ProcessMonitor.zip välj Egenskaper.
    2. Leta efter Säkerhet på fliken Allmänt.
    3. Markera rutan bredvid Avblockera.
    4. Välj Använd.

    Ta bort MOTW.

  3. Packa upp filen så C:\temp att mappsökvägen blir C:\temp\ProcessMonitor .

  4. Kopiera ProcMon.exe till Windows klient eller Windows server som du felsöker.

  5. Innan du kör ProcMon ska du se till att alla andra program som inte är relaterade till problemet med hög CPU-användning är stängda. Då minimeras antalet processer som ska kontrolleras.

  6. Du kan starta ProcMon på två sätt.

    1. Högerklicka på ProcMon.exe välj Kör som administratör.

      Eftersom loggning startar automatiskt väljer du förstoringsglaset för att stoppa den aktuella inspelningen eller använder kortkommandot Ctrl+E.

      Förstoringsglasikonen.

      Kontrollera att bilden stoppats genom att kontrollera om förstoringsglaset nu visas med ett rött X.

      röda snedstreck.

      Välj radergummiikonen för att rensa den tidigare bildinspelningen.

      ikonen Rensa.

      Eller använd kortkommandot Ctrl+X.

    2. Det andra sättet är att köra kommandoraden som administratör och sedan köra:

      cmd procmon.

      Procmon.exe /AcceptEula /Noconnect /Profiling
      

      Tips

      Gör ProcMon-fönstret så litet som möjligt när du samlar in data så att du enkelt kan starta och stoppa spårningen.

      Minimera Procmon.

  7. När du har följt en av procedurerna i steg 6 visas sedan ett alternativ för att ange filter. Välj OK. Du kan alltid filtrera resultatet när insinspelningen är klar.

    Filter out Process Name is System Exclude.

  8. Välj förstoringsglaset igen för att starta inspelningsinspelningen.

  9. Återskapa problemet.

    Tips

    Vänta tills problemet återskapas helt och notera tidsstämpeln när spårningen startade.

  10. När du har två till fyra minuters processaktivitet under villkoret om hög CPU-användning stoppar du hämtningen genom att välja förstoringsglasikonen.

  11. Om du vill spara en inspelning med ett unikt namn och med .pml-formatet väljer du Arkiv och sedan Spara.... Se till att välja alternativknapparna Alla händelser och PML (Native Process Monitor Format).

    spara inställningar.

  12. För bättre spårning kan du ändra standardsökvägen från C:\temp\ProcessMonitor\LogFile.PML till C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML där:

    • %ComputerName% är enhetens namn
    • MMDDYEAR är månad, dag och år
    • Repro_of_issue är namnet på problemet som du försöker återskapa

    Tips

    Om du har ett fungerande system kanske du vill ha en exempellogg att jämföra.

  13. Zippa .pml-filen och skicka den till Microsoft Support.

Spara prestandaloggar med hjälp Windows prestandainspelaren

Du kan använda Windows (Performance Recorder) för att inkludera ytterligare information i din inskicking till Microsofts support. WPR är ett kraftfullt inspelningsverktyg som skapar händelsespårning för Windows-inspelningar.

WPR är en del av Windows Assessment and Deployment Kit (Windows ADK) och kan laddas ned från Ladda ned och installera Windows ADK. Du kan också ladda ned det som en del av Windows 10 Software Development Kit på Windows 10 SDK.

Du kan använda WPR-användargränssnittet genom att följa stegen i Spara prestandaloggar med hjälp av WPR-användargränssnittet.

Du kan också använda kommandoradsverktyget wpr.exe som finns i Windows 8 och senare versioner genom att följa stegen i Hämta prestandaloggar med HJÄLP av WPR CLI.

Registrera prestandaloggar med hjälp av WPR-användargränssnittet

Tips

Om det här problemet uppstår på flera enheter använder du den som har mest RAM-minne.

  1. Ladda ned och installera WPR.

  2. Under Windows Kits högerklickar du på Windows Performance Recorder.

    Start-menyn.

    Välj Mer. Välj Kör som administratör.

  3. När dialogrutan User Account Control visas väljer du Ja.

    UAC.

  4. Ladda sedan ned Microsoft Defender för slutpunktsanalysprofilen och spara MDAV.wprp den i en mapp som C:\temp .

  5. I dialogrutan WPR väljer du Fler alternativ.

    Välj fler alternativ.

  6. Välj Lägg till profiler... och bläddra till sökvägen till MDAV.wprp filen.

  7. Därefter bör du se en ny profiluppsättning under Anpassade mått med namnet Microsoft Defender för slutpunktsanalys under det.

    i filen.

    Varning

    Om din Windows-server har 64 GB RAM-minne eller mer kan du använda det anpassade måttet Microsoft Defender for Endpoint analysis for large servers i stället för Microsoft Defender for Endpoint analysis . I annat fall kan det ta upp ett stort antal icke-sidbaserade poolminnen eller buffertar som kan leda till systeminstabilitet. Du kan välja vilka profiler du vill lägga till genom att expandera Resursanalys. Den här anpassade profilen ger den kontext som krävs för djupgående prestandaanalys.

  8. Så här använder du den anpassade måttet Microsoft Defender för slutpunktsanalysprofilen för utförlig analys i WPR-användargränssnittet:

    1. Se till att inga profiler väljs under grupperna För förstanivådetriering, resursanalys och scenarioanalys.
    2. Välj Anpassade mått.
    3. Välj Microsoft Defender för Slutpunktsanalys.
    4. Välj Utförlig under Detaljnivå.
    5. Välj Arkiv eller Minne under Loggningsläge.

    Viktigt

    Välj Arkiv om du vill använda filloggningsläget om prestandaproblemet kan återskapas direkt av användaren. De flesta problem faller under den här kategorin. Men om användaren inte kan återskapa problemet direkt, men enkelt märker det när problemet uppstår, bör användaren välja Minne för att använda minnesloggningsläget. Det här säkerställer att spårningsloggen inte fylls upp för mycket på grund av den långa körningen.

  9. Nu är du redo att samla in data. Avsluta alla program som inte är relevanta för att återge prestandaproblemet. Du kan välja Dölj alternativ för att hålla utrymmet upptaget av WPR-fönstret litet.

    Dölj alternativ.

    Tips

    Prova att starta spårningen med helt nummer sekunder. Till exempel 01:30:00. Det gör det enklare att analysera data. Försök också att hålla reda på tidsstämpeln exakt när problemet återskapas.

  10. Välj Start.

    Välj början av spårningen.

  11. Återskapa problemet.

    Tips

    Se till att datainsamlingen inte är längre än fem minuter. Två till tre minuter är ett bra intervall eftersom stora data samlas in.

  12. Välj Spara.

    Välj Spara.

  13. Fyll i Typ i en detaljerad beskrivning av problemet: med information om problemet och hur du återskapade problemet.

    Fyll i information.

    1. Välj Filnamn: för att avgöra var spårningsfilen ska sparas. Som standard sparas den i %user%\Documents\WPR Files\ .
    2. Välj Spara.
  14. Vänta medan spårningen sammanfogas.

    WPR samlar in allmän spårning.

  15. När spårningen har sparats väljer du Öppna mapp.

    WPR-spårning har sparats.

    Inkludera både filen och mappen i din inskickade fil till Microsoft Support.

    Fil och mapp.

Registrera prestandaloggar med WPR CLI

Kommandoradsverktyget är wpr.exe en del av operativsystemet som börjar med Windows 8. Om du vill samla in en WPR-spårning med kommandoradsverktyget wpr.exe:

  1. Ladda ned Microsoft Defender för slutpunktsanalysprofilen för prestandaspårningar till en fil som MDAV.wprp namnges i en lokal katalog, till exempel C:\traces .

  2. Högerklicka på Start-menyikonen och välj Windows PowerShell (administratör) eller Kommandotolken (administratör) för att öppna kommandotolken för administratör.

  3. När dialogrutan User Account Control visas väljer du Ja.

  4. Vid upphöjd uppmaning kör du följande kommando för att starta en Microsoft Defender för slutpunktsprestandaspårning:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode
    

    Varning

    Om din Windows Server har 64 GB eller RAM-minne eller mer kan du använda profiler och istället för WDForLargeServers.Light WDForLargeServers.Verbose profiler WD.Light WD.Verbose respektive. I annat fall kan det ta upp ett stort antal icke-sidbaserade poolminnen eller buffertar som kan leda till systeminstabilitet.

  5. Återskapa problemet.

    Tips

    Se till att datainsamlingen inte är längre än fem minuter. Beroende på scenariot är två till tre minuter ett bra intervall eftersom stora data samlas in.

  6. Vid upphöjd uppmaning kör du följande kommando för att stoppa prestandaspårningen och anger information om problemet och hur du återskapar problemet:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"
    
  7. Vänta tills spårningen har kopplats.

  8. Inkludera både filen och mappen i din inskickade fil till Microsoft support.

Se även