次の方法で共有

WPRUI Microsoft Defenderウイルス対策のパフォーマンスに関する問題のトラブルシューティング

  • [アーティクル]

ヒント

まず、「Microsoft Defenderウイルス対策リアルタイム保護 (RTP) またはスキャン (スケジュール済みまたはオンデマンド) に関連するパフォーマンスの問題のトラブルシューティング」で、CPU 使用率の高いなどのパフォーマンスの問題の一般的な理由を確認します。 次に、Microsoft Defenderウイルス対策パフォーマンス アナライザーを実行して、Microsoft Defender ウイルス対策 (マルウェア対策サービス実行可能ファイル、Microsoft Defenderウイルス対策サービス、または MsMpEng.exe) で CPU 使用率が高い原因を分析します。 Microsoft Defenderウイルス対策パフォーマンス アナライザーで CPU 使用率が高い根本原因が特定されない場合は、プロセッサ モニターを実行して、Microsoft Defender ウイルス対策の CPU 使用率が高い原因を絞り込むか、特定します。 ツールキットの最後のツールは、この記事で説明するように、Windows パフォーマンス レコーダー UI (WPRUI) または Windows Performance Recorder (WPR コマンド ライン) を実行することです。

Windows パフォーマンス レコーダーを使用してパフォーマンス ログをキャプチャする

Windows パフォーマンス レコーダー (WPR) は、Windows 記録用のイベント トレースを作成する強力な記録ツールであり、Microsoft サポートへの提出に追加情報を含めることができます。

WPR は Windows Assessment and Deployment Kit (Windows ADK) の一部であり、 Windows ADK のダウンロードとインストールからダウンロードできます。 Windows 10ソフトウェア開発キットの一部としてダウンロードすることもできますWindows 10 SDK。

または、「 WPR UI を使用してパフォーマンス ログをキャプチャする」の手順に従うか、コマンド ライン ツールを使用 wpr.exeWPR CLI を使用してパフォーマンス ログをキャプチャします。 どちらも、Windows 8以降のバージョンで使用できます。

Windows パフォーマンス レコーダー (WPRUI) トレースをキャプチャするには、次の 2 つの方法があります。

  1. MDE クライアント アナライザーの使用

  2. 手動

MDE クライアント アナライザーの使用

  1. MDE クライアント アナライザーをダウンロードします。

  2. ライブ応答またはローカルを使用して、MDE クライアント アナライザーを実行します。

    ヒント

    トレースを開始する前に、問題が再現可能であることを確認してください。 さらに、問題の再現に貢献しないアプリケーションを閉じます。

  3. -a スイッチと -v スイッチを使用して、MDE クライアント アナライザーを実行します。

    PowerShellCopy

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

手動

WPR UI を使用してパフォーマンス ログをキャプチャする

ヒント

複数のデバイスでこの問題が発生している場合は、RAM が最も多いデバイスを使用します。

  1. WPR をダウンロードしてインストールします。

  2. [ Windows キット] で、[ Windows パフォーマンス レコーダー] を右クリックします。

    [スタート] メニューを示すスクリーンショット

  3. [ その他] を選択します。 [ 管理者として実行] を選択します。

  4. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、[ はい ] を右クリックします。

    UAC ページを示すスクリーンショット。

  5. 次に、Microsoft Defender for Endpoint分析プロファイルをダウンロードし、C:\tempなどのフォルダーにMDAV.wprpとして保存します。

  6. [WPR] ダイアログ ボックスで、[ その他のオプション] を選択します。

    その他のオプションを選択できるページを示すスクリーンショット

  7. [ プロファイルの追加]を 選択し、 MDAV.wprp ファイルのパスを参照します。

  8. [カスタム測定値] にMicrosoft Defender for Endpoint分析という名前の新しいプロファイルが表示されます。

    ファイル内を示すスクリーンショット。

    警告

    Windows Serverに 64 GB 以上の RAM がある場合は、Microsoft Defender for Endpoint analysisではなくカスタム測定Microsoft Defender for Endpoint analysis for large serversを使用します。 そうしないと、システムが大量の非ページ プール メモリまたはバッファーを消費し、システムが不安定になる可能性があります。 これに対処するには、 リソース分析 を調べて、追加するプロファイルを選択します。 このカスタム プロファイルは、詳細なパフォーマンス分析に必要なコンテキストを提供します。

  9. WPR UI で詳細分析プロファイルMicrosoft Defender for Endpointカスタム測定を使用するには:

    1. 第 1 レベルのトリアージリソース分析シナリオ分析グループの下でプロファイルが選択されていないことを確認します。

    2. [ カスタム測定値] を選択します

    3. [Microsoft Defender for Endpoint分析] を選択します。

    4. [詳細レベル] で [詳細] を選択します。

    5. [ログ モード] で [ ファイル ] または [ メモリ ] を選択します。

    重要

    パフォーマンスの 問題を直接 再現できる場合は、[ファイル] を選択してファイル ログ モードを使用します。 ほとんどの問題はこのカテゴリに該当します。 ただし、問題を直接再現できない場合は、[ メモリ ] を選択してメモリ ログ モードを使用します。 これにより、実行時間が長いため、トレース ログが過度に膨らむのを防ぎます。

  10. これで、データを収集する準備ができました。 不要なアプリケーションをすべて閉じます。 [ オプションの非表示] を選択して、WPR ウィンドウが占有する領域を小さくします。

    [非表示] オプションを示すスクリーンショット。

  11. [スタート] を選択します。

    [システム情報の記録] ページを示すスクリーンショット。

  12. 問題を再現します。

    ヒント

    データ収集を最大 5 分に制限します。 大量のデータが収集されるため、理想的には 2 分から 3 分を目指します。

  13. [保存] を選択します。

    [保存] オプションを示すスクリーンショット。

  14. 問題の 詳細な説明を入力します。問題 に関する情報と問題の再現方法を入力します。

    入力したウィンドウを示すスクリーンショット。

  15. [ ファイル名]: を選択して、トレース ファイルを保存する場所を決定します。 既定では、 %user%\Documents\WPR Files\に保存されます。

  16. [保存] を選択します。

    WPR 収集の一般的なトレースを示すスクリーンショット。

  17. トレースがマージされて保存されたら、[ フォルダーを開く] を右クリックします。

    WPR トレースが保存されたことを示す通知を表示するスクリーンショット。

  18. ファイルとフォルダーの両方を申請に含め、Microsoft サポートします。

    ファイルとフォルダーの詳細を示すスクリーンショット。

WPR CLI を使用してパフォーマンス ログをキャプチャする

コマンド ライン ツールを使用して WPR トレースを収集するには、次の wpr.exe。

  1. C:\tracesなどのローカル ディレクトリにMDAV.wprpMicrosoft Defender for Endpoint分析パフォーマンス トレース プロファイルをダウンロードします。

  2. [スタート メニュー] アイコンを右クリックし、[Windows PowerShell (管理)] または [コマンド プロンプト (管理)] を選択して、管理 コマンド プロンプト ウィンドウを開きます。

  3. [ユーザー アカウント制御] ダイアログ ボックスで [ はい ] を選択します。

  4. コマンド プロンプト (管理) で、次のコマンドを実行して、Microsoft Defender for Endpointパフォーマンス トレースを開始します。

    
wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    警告

    Windows Serverに 64 GB 以上の RAM がある場合は、プロファイルのWD.LightWD.Verboseの代わりに、プロファイルWDForLargeServers.LightWDForLargeServers.Verboseをそれぞれ使用します。 そうしないと、システムが大量の非ページ プール メモリまたはバッファーを消費し、システムが不安定になります。

  5. 問題を再現します。

    ヒント

    データ収集を最大 5 分に制限します。 大量のデータが収集されるため、理想的には 2 分から 3 分を目指します。

  6. コマンド プロンプト (管理) で、次のコマンドを実行して、Microsoft Defender for Endpointパフォーマンス トレースを開始します。

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. トレースがマージされるまで待ちます。

  8. ファイルとフォルダーの両方を申請に含め、Microsoft サポートします。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。