Analysera prestanda för Microsoft Defender Antivirus
Gäller för
Vad är Microsoft Defender Antivirus analysera prestanda?
I vissa fall kan du behöva justera prestandan för Microsoft Defender Antivirus när specifika filer och mappar genomsöks. Analysera prestanda är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filnamnstillägg och processer som kan orsaka prestandaproblem för enskilda slutpunkter. Den här informationen kan användas för att bättre bedöma prestandaproblem och tillämpa åtgärdsåtgärder.
Några alternativ att analysera är:
- De viktigaste filerna som påverkar genomsökningstiden
- De viktigaste processerna som påverkar genomsökningstiden
- Populära filnamnstillägg som påverkar genomsökningstiden
- Kombinationer – till exempel toppfiler per filnamnstillägg, toppsökningar per fil, toppsökningar per fil per process
Köra analysera prestanda
I processen för att köra analysera prestanda ingår följande steg:
Kör analysera prestanda för att samla in en prestandainspelning av Microsoft Defender Antivirus av händelser på slutpunkten.
Anteckning
Prestanda för Microsoft Defender Antivirus händelser av typen Microsoft-Antimalware-Engine registreras via analyseraren för prestanda.
Analysera genomsökningsresultatet med hjälp av olika inspelningsrapporter.
Använda analysera prestanda
Om du vill starta inspelning av systemhändelser öppnar du PowerShell i administrativt läge och gör följande:
Kör följande kommando för att starta inspelningen:
New-MpPerformanceRecording -RecordTo <recording.etl>där
-RecordToparameter anger den fullständiga sökvägen där spårningsfilen sparas. Mer information om cmdlet finns i Microsoft Defender Antivirus cmdlets.Om det finns processer eller tjänster som skulle påverka prestandan ska du återskapa situationen genom att utföra relevanta uppgifter.
Tryck på RETUR om du vill stoppa och spara inspelningen eller Ctrl+C om du vill avbryta inspelningen.
Analysera resultatet med hjälp av prestandaanalysens
Get-MpPerformanceReportparameter. Om användaren till exempel kör kommandot visas en lista med tio genomsökningar för de tre översta filerna somGet-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10påverkar prestanda.
Mer information om parametrar och alternativ för kommandorader finns i New-MpPerformanceRecording och Get-MpPerformanceReport.
Anteckning
Om du får felmeddelandet "Det går inte att starta prestandainspelningen på grund av att Windows Performance Recorder redan spelar in" när du kör en inspelning kör du följande kommando för att stoppa den befintliga spårningen med det nya kommandot: wpr -cancel -instancename MSFT_MpPerformanceRecording
Prestandajustering av data och information
Baserat på frågan kan användaren visa data för antal genomsökningar, varaktighet (total/min/average/max/median), sökväg, process och orsak till genomsökning. Bilden nedan visar exempelresultat för en enkel fråga av de tio översta filerna för genomsökningseffekt.
Ytterligare funktioner: exportera och konvertera till CSV och JSON
Resultaten från analysera prestanda kan också exporteras och konverteras till en CSV- eller JSON-fil. Exempel som beskriver hur "exportera" och "konvertera" går till via exempelkoder finns i nedan.
För CSV
Exportera:
(Get-MpPerformanceReport -Path:.\Repro-Install.etl -Topscans:1000). TopScans | Export-CSV -Path:.\Repro-Install-Scans.csv -Encoding:UTF8 -NoTypeInformationSå här konverterar du:
(Get-MpPerformanceReport -Path:.\Repro-Install.etl -Topscans:100). TopScans | ConvertTo-Csv -NoTypeInformation
För JSON
- Så här konverterar du:
(Get-MpPerformanceReport -Path:.\Repro-Install.etl -Topscans:1000). TopScans | ConvertTo-Json -Depth:1
Krav
Microsoft Defender Antivirus för prestandaanalys har följande krav:
- Stöds Windows versioner: Windows 10, Windows 11 och Windows Server 2016 och senare
- Plattformsversion: 4.18.2108.7+
- PowerShell-version: PowerShell version 5.1, PowerShell ISE
PowerShell-referens
Det finns två nya PowerShell-cmdlets som används för att justera prestanda Microsoft Defender Antivirus:
New-MpPerformanceRecording
I följande avsnitt beskrivs referensen för den nya PowerShell-cmdleten New-MpPerformanceRecording. Denna cmdlet samlar in en prestandainspelning av Microsoft Defender Antivirus genomsökningar.
Syntax: New-MpPerformanceRecording
New-MpPerformanceRecording -RecordTo <String >
Beskrivning: New-MpPerformanceRecording
New-MpPerformanceRecordingCmdleten samlar in en prestandainspelning av Microsoft Defender Antivirus genomsökningar. Dessa prestandainspelningar innehåller Microsoft-Antimalware-Engine- och NT kernel-processhändelser och kan analyseras efter samlingen med cmdleten Get-MpPerformanceReport.
Den här cmdleten ger en inblick i problematiska filer som kan leda New-MpPerformanceRecording till försämrad Microsoft Defender Antivirus. Det här verktyget tillhandahålls i "I SÅ FALL" och är inte tänkt att ge förslag på undantag. Undantag kan minska skyddsnivån för slutpunkterna. Eventuella undantag ska definieras med försiktighet.
Mer information om analysera prestanda finns i Analysera prestanda-dokument.
Viktigt
Den här cmdleten kräver förhöjd administratörsbehörighet.
Os-versioner som stöds
Windows version 10 och senare.
Anteckning
Den här funktionen är tillgänglig från och med plattform version 4.18.2108.X och senare.
Exempel: New-MpPerformanceRecording
Exempel 1: Samla in en prestandainspelning och spara den
New-MpPerformanceRecording -RecordTo:.\Defender-scans.etl
Kommandot ovan samlar in en prestandainspelning och sparar den på den angivna sökvägen: .\Defender-scans.etl.
Parametrar: New-MpPerformanceRecording
-RecordTo
Anger var du sparar prestandainspelningen för Microsoft Defender-program mot skadlig programvara.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
Get-MpPerformanceReport
I följande avsnitt beskrivs Get-MpPerformanceReport PowerShell-cmdleten. Analyserar och rapporter om Microsoft Defender Antivirus (MDAV) prestandainspelning.
Syntax: Get-MpPerformanceReport
Get-MpPerformanceReport [-Path] <String>
[-TopScans <Int32>]
[-TopFiles <Int32>
[-TopScansPerFile <Int32>]
[-TopProcessesPerFile <Int32>
[-TopScansPerProcessPerFile <Int32>]
]
]
[-TopExtensions <Int32>
[-TopScansPerExtension <Int32>]
[-TopProcessesPerExtension <Int32>
[-TopScansPerProcessPerExtension <Int32>]
]
[-TopFilesPerExtension <Int32>
[-TopScansPerFilePerExtension <Int32>]
]
]
]
[-TopProcesses <Int32>
[-TopScansPerProcess <Int32>]
[-TopExtensionsPerProcess <Int32>
[-TopScansPerExtensionPerProcess <Int32>]
]
]
[-TopFilesPerProcess <Int32>
[-TopScansPerFilePerProcess <Int32>]
]
[-MinDuration <String>]
Beskrivning: Get-MpPerformanceReport
Cmdleten analyserar en tidigare Get-MpPerformanceReport samlad Microsoft Defender Antivirus-prestandainspelning(New-MpPerformanceRecording)och rapporterar filsökvägar, filnamnstillägg och processer som gör att genomsökningarna Microsoft Defender Antivirus störst inverkan.
Analysera prestanda ger en inblick i problematiska filer som kan orsaka försämring av prestanda i Microsoft Defender Antivirus. Det här verktyget tillhandahålls i "I IS" och är inte avsett att ge förslag på undantag. Undantag kan minska skyddsnivån för slutpunkterna. Eventuella undantag ska definieras med försiktighet.
Mer information om analysera prestanda finns i Analysera prestanda-dokument.
Os-versioner som stöds
Windows version 10 och senare.
Anteckning
Den här funktionen är tillgänglig från och med plattform version 4.18.2108.X och senare.
Exempel: Get-MpPerformanceReport
Exempel 1: En enstaka fråga
Get-MpPerformanceReport -Path:.\Defender-scans.etl -TopScans:20
Exempel 2: Flera frågor
Get-MpPerformanceReport -Path:.\Defender-scans.etl -TopFiles:10 -TopExtensions:10 -TopProcesses:10 -TopScans:10
Exempel 3: Kapslade frågor
Get-MpPerformanceReport -Path:.\Defender-scans.etl -TopProcesses:10 -TopExtensionsPerProcess:3 -TopScansPerExtensionPerProcess:3
Exempel 4: Använda parametern -MinDuration
Get-MpPerformanceReport -Path:.\Defender-scans.etl -TopScans:100 -MinDuration:100ms
Parametrar: Get-MpPerformanceReport
-MinDuration
Anger den minsta varaktigheten för sökningar eller total genomsökningstid för filer, tillägg och processer som ingår i rapporten. accepterar värden som 0,1234567sec, 0,1234ms, 0,1us eller en giltig TimeSpan.
Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-Path
Anger sökvägen till en eller flera platser.
Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False
-TopExtensions
Anger hur många av de viktigaste tilläggen som ska matas ut, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopExtensionsPerProcess
Anger hur många av de viktigaste tilläggen som ska matas ut för varje toppprocess, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFiles
Begär en rapport med de översta filerna och anger hur många filer som ska matas ut, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerExtension
Anger hur många filer som ska matas ut för varje topptillägg, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopFilesPerProcess
Anger hur många filer som ska matas ut för varje toppprocess, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcesses
Begär en rapport över de översta processerna och anger hur många av de översta processerna som ska matas ut, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerExtension
Anger hur många av de viktigaste processerna som ska matas ut för varje topptillägg, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopProcessesPerFile
Anger hur många av de viktigaste processerna som ska matas ut för varje toppfil, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScans
Begär en rapport med toppsökningar och anger hur många skanningar som ska matas ut, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtension
Anger hur många toppsökningar som ska matas ut för varje topptillägg, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerExtensionPerProcess
Anger hur många toppsökningar som ska matas ut för varje topptillägg för varje toppprocess, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFile
Anger hur många genomsökningar som ska matas ut för varje översta fil, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerExtension
Anger hur många toppsökningar som ska matas ut för varje översta fil för varje det översta filnamnstillägget, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerFilePerProcess
Anger hur många toppsökningar som ska matas ut för varje översta fil för varje toppprocess, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcess
Anger hur många genomsökningar som ska matas ut för varje toppprocess i rapporten De mest använda processerna, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerExtension
Anger hur många toppsökningar som ska matas ut för varje process i toppar, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False
-TopScansPerProcessPerFile
Anger hur många toppsökningar som ska matas ut för varje toppprocess för varje översta fil, sorterade efter "Varaktighet".
Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False