Felsöka prestandaproblem relaterade till realtidsskydd
Gäller för:
Om ditt system har problem med hög CPU-användning eller prestanda relaterade till realtidsskyddstjänsten i Microsoft Defender för Endpoint kan du skicka ett ärende till Microsoft Support. Följ stegen i Samla in Microsoft Defender Antivirus diagnostikdata.
Som administratör kan du också felsöka dessa problem på egen hand.
Först kanske du vill kontrollera om problemet orsakas av en annan programvara. Läs Kontrollera med leverantörs-undantag för antivirus.
Annars kan du identifiera vilken programvara som är relaterad till det identifierade prestandaproblemet genom att följa stegen i Analysera Microsoft Protection-loggen.
Du kan också skicka ytterligare loggar till din inskickade information till Microsoft genom att följa stegen i:
- Registrera processloggar med processövervakning
- Spara prestandaloggar med hjälp Windows prestandainspelaren
Kontrollera med leverantörer om undantag för antivirus
Om du enkelt kan identifiera den programvara som påverkar systemprestanda går du till programvaruleverantörens kunskapsbas eller supportcenter. Sök om de har rekommendationer om undantag för antivirus. Om leverantörens webbplats inte har dem kan du öppna ett support ärende tillsammans med dem och be dem publicera ett.
Vi rekommenderar att programvaruleverantörer följer de olika riktlinjerna i att samarbeta med branschen för att minimera falska positiva resultat. Leverantören kan skicka in sin programvara via Microsoft Säkerhetsinsikter portalen.
Analysera Microsoft Protection-loggen
I MPLog-xxxxxxxx-xxxxxx.log kan du hitta information om beräknad prestandaeffekter av att köra programvara som Uppskattat Antal:
Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%
| Fältnamn | Beskrivning |
|---|---|
| ProcessImageName | Namn på processbild |
| TotalTime | Den kumulativa varaktigheten i millisekunder som spenderas i genomsökningar av filer som används i den här processen |
| Antal | Antalet genomsökta filer som används i den här processen |
| MaxTime | Varaktigheten i millisekunder vid den längsta enskilda genomsökningen av en fil som används av den här processen |
| MaxTimeFile | Sökvägen till filen som används i den här processen för vilken den längsta genomsökningen MaxTime registrerades |
| EstimatedImpact | Hur lång tid i procent som har använts i genomsökningar för filer som använts i den här processen under den period då den här processen gick igenom |
Om prestandan är hög kan du prova att lägga till processen i undantag för sökväg/process genom att följa stegen i Konfigurera och validera undantag för Microsoft Defender Antivirus genomsökningar.
Om det föregående steget inte löser problemet kan du samla in mer information via processövervakningen eller Windows Performance Recorder i följande avsnitt.
Registrera processloggar med processövervakning
Processövervakning (ProcMon) är ett avancerat övervakningsverktyg som kan visa realtidsprocesser. Du kan använda detta för att registrera prestandaproblemet medan det inträffar.
Ladda ned Processövervakning v3.60 till en mapp som
C:\temp.Så här tar du bort filens markering på webben:
- Högerklicka på ProcessMonitor.zip välj Egenskaper.
- Leta efter Säkerhet på fliken Allmänt.
- Markera rutan bredvid Avblockera.
- Välj Använd.

Packa upp filen så
C:\tempatt mappsökvägen blirC:\temp\ProcessMonitor.Kopiera ProcMon.exe till Windows klient eller Windows server som du felsöker.
Innan du kör ProcMon ska du se till att alla andra program som inte är relaterade till problemet med hög CPU-användning är stängda. Då minimeras antalet processer som ska kontrolleras.
Du kan starta ProcMon på två sätt.
Högerklicka på ProcMon.exe välj Kör som administratör.
Eftersom loggning startar automatiskt väljer du förstoringsglaset för att stoppa den aktuella inspelningen eller använder kortkommandot Ctrl+E.

Kontrollera att bilden stoppats genom att kontrollera om förstoringsglaset nu visas med ett rött X.

Välj radergummiikonen för att rensa den tidigare bildinspelningen.

Eller använd kortkommandot Ctrl+X.
Det andra sättet är att köra kommandoraden som administratör och sedan köra:

Procmon.exe /AcceptEula /Noconnect /ProfilingTips
Gör ProcMon-fönstret så litet som möjligt när du samlar in data så att du enkelt kan starta och stoppa spårningen.

När du har följt en av procedurerna i steg 6 visas sedan ett alternativ för att ange filter. Välj OK. Du kan alltid filtrera resultatet när insinspelningen är klar.

Välj förstoringsglaset igen för att starta inspelningsinspelningen.
Återskapa problemet.
Tips
Vänta tills problemet återskapas helt och notera tidsstämpeln när spårningen startade.
När du har två till fyra minuters processaktivitet under villkoret om hög CPU-användning stoppar du hämtningen genom att välja förstoringsglasikonen.
Om du vill spara en inspelning med ett unikt namn och med .pml-formatet väljer du Arkiv och sedan Spara.... Se till att välja alternativknapparna Alla händelser och PML (Native Process Monitor Format).

För bättre spårning kan du ändra standardsökvägen från
C:\temp\ProcessMonitor\LogFile.PMLtillC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PMLdär:%ComputerName%är enhetens namnMMDDYEARär månad, dag och årRepro_of_issueär namnet på problemet som du försöker återskapa
Tips
Om du har ett fungerande system kanske du vill ha en exempellogg att jämföra.
Zippa .pml-filen och skicka den till Microsoft Support.
Spara prestandaloggar med hjälp Windows prestandainspelaren
Du kan använda Windows (Performance Recorder) för att inkludera ytterligare information i din inskicking till Microsofts support. WPR är ett kraftfullt inspelningsverktyg som skapar händelsespårning för Windows-inspelningar.
WPR är en del av Windows Assessment and Deployment Kit (Windows ADK) och kan laddas ned från Ladda ned och installera Windows ADK. Du kan också ladda ned det som en del av Windows 10 Software Development Kit på Windows 10 SDK.
Du kan använda WPR-användargränssnittet genom att följa stegen i Spara prestandaloggar med hjälp av WPR-användargränssnittet.
Du kan också använda kommandoradsverktyget wpr.exe som finns i Windows 8 och senare versioner genom att följa stegen i Hämta prestandaloggar med HJÄLP av WPR CLI.
Registrera prestandaloggar med hjälp av WPR-användargränssnittet
Tips
Om det här problemet uppstår på flera enheter använder du den som har mest RAM-minne.
Ladda ned och installera WPR.
Under Windows Kits högerklickar du på Windows Performance Recorder.

Välj Mer. Välj Kör som administratör.
När dialogrutan User Account Control visas väljer du Ja.

Ladda sedan ned Microsoft Defender för slutpunktsanalysprofilen och spara
MDAV.wprpden i en mapp somC:\temp.I dialogrutan WPR väljer du Fler alternativ.

Välj Lägg till profiler... och bläddra till sökvägen till
MDAV.wprpfilen.Därefter bör du se en ny profiluppsättning under Anpassade mått med namnet Microsoft Defender för slutpunktsanalys under det.

Varning
Om din Windows-server har 64 GB RAM-minne eller mer kan du använda det anpassade måttet
Microsoft Defender for Endpoint analysis for large serversi stället förMicrosoft Defender for Endpoint analysis. I annat fall kan det ta upp ett stort antal icke-sidbaserade poolminnen eller buffertar som kan leda till systeminstabilitet. Du kan välja vilka profiler du vill lägga till genom att expandera Resursanalys. Den här anpassade profilen ger den kontext som krävs för djupgående prestandaanalys.Så här använder du den anpassade måttet Microsoft Defender för slutpunktsanalysprofilen för utförlig analys i WPR-användargränssnittet:
- Se till att inga profiler väljs under grupperna För förstanivådetriering, resursanalys och scenarioanalys.
- Välj Anpassade mått.
- Välj Microsoft Defender för Slutpunktsanalys.
- Välj Utförlig under Detaljnivå.
- Välj Arkiv eller Minne under Loggningsläge.
Viktigt
Välj Arkiv om du vill använda filloggningsläget om prestandaproblemet kan återskapas direkt av användaren. De flesta problem faller under den här kategorin. Men om användaren inte kan återskapa problemet direkt, men enkelt märker det när problemet uppstår, bör användaren välja Minne för att använda minnesloggningsläget. Det här säkerställer att spårningsloggen inte fylls upp för mycket på grund av den långa körningen.
Nu är du redo att samla in data. Avsluta alla program som inte är relevanta för att återge prestandaproblemet. Du kan välja Dölj alternativ för att hålla utrymmet upptaget av WPR-fönstret litet.

Tips
Prova att starta spårningen med helt nummer sekunder. Till exempel 01:30:00. Det gör det enklare att analysera data. Försök också att hålla reda på tidsstämpeln exakt när problemet återskapas.
Välj Start.

Återskapa problemet.
Tips
Se till att datainsamlingen inte är längre än fem minuter. Två till tre minuter är ett bra intervall eftersom stora data samlas in.
Välj Spara.

Fyll i Typ i en detaljerad beskrivning av problemet: med information om problemet och hur du återskapade problemet.

- Välj Filnamn: för att avgöra var spårningsfilen ska sparas. Som standard sparas den i
%user%\Documents\WPR Files\. - Välj Spara.
- Välj Filnamn: för att avgöra var spårningsfilen ska sparas. Som standard sparas den i
Vänta medan spårningen sammanfogas.

När spårningen har sparats väljer du Öppna mapp.

Inkludera både filen och mappen i din inskickade fil till Microsoft Support.

Registrera prestandaloggar med WPR CLI
Kommandoradsverktyget är wpr.exe en del av operativsystemet som börjar med Windows 8. Om du vill samla in en WPR-spårning med kommandoradsverktyget wpr.exe:
Ladda ned Microsoft Defender för slutpunktsanalysprofilen för prestandaspårningar till en fil som
MDAV.wprpnamnges i en lokal katalog, till exempelC:\traces.Högerklicka på Start-menyikonen och välj Windows PowerShell (administratör) eller Kommandotolken (administratör) för att öppna kommandotolken för administratör.
När dialogrutan User Account Control visas väljer du Ja.
Vid upphöjd uppmaning kör du följande kommando för att starta en Microsoft Defender för slutpunktsprestandaspårning:
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemodeVarning
Om din Windows Server har 64 GB eller RAM-minne eller mer kan du använda profiler och istället för
WDForLargeServers.LightWDForLargeServers.VerboseprofilerWD.LightWD.Verboserespektive. I annat fall kan det ta upp ett stort antal icke-sidbaserade poolminnen eller buffertar som kan leda till systeminstabilitet.Återskapa problemet.
Tips
Se till att datainsamlingen inte är längre än fem minuter. Beroende på scenariot är två till tre minuter ett bra intervall eftersom stora data samlas in.
Vid upphöjd uppmaning kör du följande kommando för att stoppa prestandaspårningen och anger information om problemet och hur du återskapar problemet:
wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"Vänta tills spårningen har kopplats.
Inkludera både filen och mappen i din inskickade fil till Microsoft support.