Analysera prestanda för Microsoft Defender Antivirus

Gäller för

Vad är Microsoft Defender Antivirus analysera prestanda?

I vissa fall kan du behöva justera prestandan för Microsoft Defender Antivirus när specifika filer och mappar genomsöks. Analysera prestanda är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filnamnstillägg och processer som kan orsaka prestandaproblem för enskilda slutpunkter. Den här informationen kan användas för att bättre bedöma prestandaproblem och tillämpa åtgärdsåtgärder.

Några alternativ att analysera är:

  • De viktigaste filerna som påverkar genomsökningstiden
  • De viktigaste processerna som påverkar genomsökningstiden
  • Populära filnamnstillägg som påverkar genomsökningstiden
  • Kombinationer – till exempel toppfiler per filnamnstillägg, toppsökningar per fil, toppsökningar per fil per process

Köra analysera prestanda

I processen för att köra analysera prestanda ingår följande steg:

  1. Kör analysera prestanda för att samla in en prestandainspelning av Microsoft Defender Antivirus av händelser på slutpunkten.

    Anteckning

    Prestanda för Microsoft Defender Antivirus händelser av typen Microsoft-Antimalware-Engine registreras via analyseraren för prestanda.

  2. Analysera genomsökningsresultatet med hjälp av olika inspelningsrapporter.

Använda analysera prestanda

Om du vill starta inspelning av systemhändelser öppnar du PowerShell i administrativt läge och gör följande:

  1. Kör följande kommando för att starta inspelningen:

    New-MpPerformanceRecording -RecordTo <recording.etl>

    där -RecordTo parameter anger den fullständiga sökvägen där spårningsfilen sparas. Mer information om cmdlet finns i Microsoft Defender Antivirus cmdlets.

  2. Om det finns processer eller tjänster som skulle påverka prestandan ska du återskapa situationen genom att utföra relevanta uppgifter.

  3. Tryck på RETUR om du vill stoppa och spara inspelningen eller Ctrl+C om du vill avbryta inspelningen.

  4. Analysera resultatet med hjälp av prestandaanalysens Get-MpPerformanceReport parameter. Om användaren till exempel kör kommandot visas en lista med tio genomsökningar för de tre översta filerna som Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10 påverkar prestanda.

Mer information om parametrar och alternativ för kommandorader finns i New-MpPerformanceRecording och Get-MpPerformanceReport.

Anteckning

Om du får felmeddelandet "Det går inte att starta prestandainspelningen på grund av att Windows Performance Recorder redan spelar in" när du kör en inspelning kör du följande kommando för att stoppa den befintliga spårningen med det nya kommandot: wpr -cancel -instancename MSFT_MpPerformanceRecording

Prestandajustering av data och information

Baserat på frågan kan användaren visa data för antal genomsökningar, varaktighet (total/min/average/max/median), sökväg, process och orsak till genomsökning. Bilden nedan visar exempelresultat för en enkel fråga av de tio översta filerna för genomsökningseffekt.

Exempel på utdata för en grundläggande TopFiles-fråga

Ytterligare funktioner: exportera och konvertera till CSV och JSON

Resultaten från analysera prestanda kan också exporteras och konverteras till en CSV- eller JSON-fil. Exempel som beskriver hur "exportera" och "konvertera" går till via exempelkoder finns i nedan.

För CSV

  • Exportera:(Get-MpPerformanceReport -Path:.\Repro-Install.etl -Topscans:1000). TopScans | Export-CSV -Path:.\Repro-Install-Scans.csv -Encoding:UTF8 -NoTypeInformation

  • Så här konverterar du:(Get-MpPerformanceReport -Path:.\Repro-Install.etl -Topscans:100). TopScans | ConvertTo-Csv -NoTypeInformation

För JSON

  • Så här konverterar du:(Get-MpPerformanceReport -Path:.\Repro-Install.etl -Topscans:1000). TopScans | ConvertTo-Json -Depth:1

Krav

Microsoft Defender Antivirus för prestandaanalys har följande krav:

  • Stöds Windows versioner: Windows 10, Windows 11 och Windows Server 2016 och senare
  • Plattformsversion: 4.18.2108.7+
  • PowerShell-version: PowerShell version 5.1, PowerShell ISE

PowerShell-referens

Det finns två nya PowerShell-cmdlets som används för att justera prestanda Microsoft Defender Antivirus:

New-MpPerformanceRecording

I följande avsnitt beskrivs referensen för den nya PowerShell-cmdleten New-MpPerformanceRecording. Denna cmdlet samlar in en prestandainspelning av Microsoft Defender Antivirus genomsökningar.

Syntax: New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String >

Beskrivning: New-MpPerformanceRecording

New-MpPerformanceRecordingCmdleten samlar in en prestandainspelning av Microsoft Defender Antivirus genomsökningar. Dessa prestandainspelningar innehåller Microsoft-Antimalware-Engine- och NT kernel-processhändelser och kan analyseras efter samlingen med cmdleten Get-MpPerformanceReport.

Den här cmdleten ger en inblick i problematiska filer som kan leda New-MpPerformanceRecording till försämrad Microsoft Defender Antivirus. Det här verktyget tillhandahålls i "I SÅ FALL" och är inte tänkt att ge förslag på undantag. Undantag kan minska skyddsnivån för slutpunkterna. Eventuella undantag ska definieras med försiktighet.

Mer information om analysera prestanda finns i Analysera prestanda-dokument.

Viktigt

Den här cmdleten kräver förhöjd administratörsbehörighet.

Os-versioner som stöds

Windows version 10 och senare.

Anteckning

Den här funktionen är tillgänglig från och med plattform version 4.18.2108.X och senare.

Exempel: New-MpPerformanceRecording

Exempel 1: Samla in en prestandainspelning och spara den
New-MpPerformanceRecording -RecordTo:.\Defender-scans.etl

Kommandot ovan samlar in en prestandainspelning och sparar den på den angivna sökvägen: .\Defender-scans.etl.

Parametrar: New-MpPerformanceRecording

-RecordTo

Anger var du sparar prestandainspelningen för Microsoft Defender-program mot skadlig programvara.

Type: String
Position: Named
Default value: None
Accept pipeline input: False 
Accept wildcard characters: False

Get-MpPerformanceReport

I följande avsnitt beskrivs Get-MpPerformanceReport PowerShell-cmdleten. Analyserar och rapporter om Microsoft Defender Antivirus (MDAV) prestandainspelning.

Syntax: Get-MpPerformanceReport

Get-MpPerformanceReport    [-Path] <String>
[-TopScans <Int32>]
[-TopFiles  <Int32>
    [-TopScansPerFile <Int32>]
    [-TopProcessesPerFile  <Int32>  
        [-TopScansPerProcessPerFile <Int32>]
    ]
] 
[-TopExtensions  <Int32>
    [-TopScansPerExtension <Int32>]
    [-TopProcessesPerExtension <Int32>
        [-TopScansPerProcessPerExtension <Int32>]
        ]
    [-TopFilesPerExtension  <Int32>
        [-TopScansPerFilePerExtension <Int32>]
        ]
    ] 
]
[-TopProcesses  <Int32>
    [-TopScansPerProcess <Int32>]
    [-TopExtensionsPerProcess <Int32>
        [-TopScansPerExtensionPerProcess <Int32>]
    ]
]
[-TopFilesPerProcess  <Int32>
    [-TopScansPerFilePerProcess <Int32>]
]
[-MinDuration <String>]

Beskrivning: Get-MpPerformanceReport

Cmdleten analyserar en tidigare Get-MpPerformanceReport samlad Microsoft Defender Antivirus-prestandainspelning(New-MpPerformanceRecording)och rapporterar filsökvägar, filnamnstillägg och processer som gör att genomsökningarna Microsoft Defender Antivirus störst inverkan.

Analysera prestanda ger en inblick i problematiska filer som kan orsaka försämring av prestanda i Microsoft Defender Antivirus. Det här verktyget tillhandahålls i "I IS" och är inte avsett att ge förslag på undantag. Undantag kan minska skyddsnivån för slutpunkterna. Eventuella undantag ska definieras med försiktighet.

Mer information om analysera prestanda finns i Analysera prestanda-dokument.

Os-versioner som stöds

Windows version 10 och senare.

Anteckning

Den här funktionen är tillgänglig från och med plattform version 4.18.2108.X och senare.

Exempel: Get-MpPerformanceReport

Exempel 1: En enstaka fråga
Get-MpPerformanceReport -Path:.\Defender-scans.etl -TopScans:20
Exempel 2: Flera frågor
Get-MpPerformanceReport -Path:.\Defender-scans.etl -TopFiles:10 -TopExtensions:10 -TopProcesses:10 -TopScans:10
Exempel 3: Kapslade frågor
Get-MpPerformanceReport -Path:.\Defender-scans.etl -TopProcesses:10 -TopExtensionsPerProcess:3 -TopScansPerExtensionPerProcess:3
Exempel 4: Använda parametern -MinDuration
Get-MpPerformanceReport -Path:.\Defender-scans.etl -TopScans:100 -MinDuration:100ms

Parametrar: Get-MpPerformanceReport

-MinDuration

Anger den minsta varaktigheten för sökningar eller total genomsökningstid för filer, tillägg och processer som ingår i rapporten. accepterar värden som 0,1234567sec, 0,1234ms, 0,1us eller en giltig TimeSpan.

Type: String
Position: Named
Default value: None
Accept pipeline input: False 
Accept wildcard characters: False
-Path

Anger sökvägen till en eller flera platser.

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-TopExtensions

Anger hur många av de viktigaste tilläggen som ska matas ut, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

Anger hur många av de viktigaste tilläggen som ska matas ut för varje toppprocess, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFiles

Begär en rapport med de översta filerna och anger hur många filer som ska matas ut, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

Anger hur många filer som ska matas ut för varje topptillägg, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

Anger hur många filer som ska matas ut för varje toppprocess, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcesses

Begär en rapport över de översta processerna och anger hur många av de översta processerna som ska matas ut, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

Anger hur många av de viktigaste processerna som ska matas ut för varje topptillägg, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

Anger hur många av de viktigaste processerna som ska matas ut för varje toppfil, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScans

Begär en rapport med toppsökningar och anger hur många skanningar som ska matas ut, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtension

Anger hur många toppsökningar som ska matas ut för varje topptillägg, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

Anger hur många toppsökningar som ska matas ut för varje topptillägg för varje toppprocess, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

Anger hur många genomsökningar som ska matas ut för varje översta fil, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

Anger hur många toppsökningar som ska matas ut för varje översta fil för varje det översta filnamnstillägget, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

Anger hur många toppsökningar som ska matas ut för varje översta fil för varje toppprocess, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

Anger hur många genomsökningar som ska matas ut för varje toppprocess i rapporten De mest använda processerna, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerExtension

Anger hur många toppsökningar som ska matas ut för varje process i toppar, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

Anger hur många toppsökningar som ska matas ut för varje toppprocess för varje översta fil, sorterade efter "Varaktighet".

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False