Поделиться через

Анализатор производительности для антивирусной Microsoft Defender

  • Статья

Область применения

Платформы

  • Windows

Требования

Анализатор производительности антивирусной программы Microsoft Defender имеет следующие предварительные требования:

  • Поддерживаемые версии Windows:
  • Версия платформы: 4.18.2108.7 или более поздняя
  • Версия PowerShell: PowerShell версии 5.1, среда интегрированной среды сценариев PowerShell, удаленная версия PowerShell (4.18.2201.10+), PowerShell 7.x (4.18.2201.10+)

Что такое анализатор производительности антивирусной программы Microsoft Defender?

Если на устройствах с Microsoft Defender антивирусной программой возникают проблемы с производительностью, можно использовать анализатор производительности для повышения производительности Microsoft Defender антивирусной программы. Анализатор производительности — это программа командной строки PowerShell, которая помогает определять файлы, расширения файлов и процессы, которые могут вызывать проблемы с производительностью на отдельных конечных точках во время проверки антивирусной программы. Сведения, собранные анализатором производительности, можно использовать для оценки проблем с производительностью и применения действий по исправлению.

Подобно тому, как механики выполняют диагностика и обслуживание на транспортном средстве с проблемами производительности, анализатор производительности может помочь вам повысить производительность Microsoft Defender антивирусной программы.

Образ концептуального анализатора производительности для антивирусной программы Microsoft Defender.

Ниже приведены некоторые варианты анализа.

  • Основные пути, влияющие на время сканирования
  • Основные файлы, влияющие на время сканирования
  • Основные процессы, влияющие на время сканирования
  • Основные расширения файлов, влияющие на время сканирования
  • Сочетания— например:
    • top files per extension
    • верхние пути на расширение
    • top процессов на путь
    • большее число сканирований на файл
    • большее число сканирований на файл на каждый процесс

Запуск анализатора производительности

Общий процесс запуска анализатора производительности включает в себя следующие действия.

  1. Запустите анализатор производительности, чтобы собрать запись о производительности событий Microsoft Defender антивирусной программы в конечной точке.

    Примечание.

    Производительность Microsoft Defender События антивирусной программы этого типа Microsoft-Antimalware-Engine записываются через анализатор производительности.

  2. Анализ результатов сканирования с помощью различных отчетов о записи.

Использование анализатора производительности

Чтобы начать запись системных событий, откройте PowerShell в режиме администратора и выполните следующие действия.

  1. Выполните следующую команду, чтобы начать запись:

    New-MpPerformanceRecording -RecordTo <recording.etl>

    параметр where -RecordTo указывает полное расположение пути, в котором сохраняется файл трассировки. Дополнительные сведения о командлетах см. в разделе Microsoft Defender антивирусных командлетов.

  2. Если есть процессы или службы, которые, как полагают, влияют на производительность, воспроизведите ситуацию, выполнив соответствующие задачи.

  3. Нажмите клавишу ВВОД , чтобы остановить и сохранить запись, или CTRL+C , чтобы отменить запись.

  4. Проанализируйте результаты с помощью параметра анализатора Get-MpPerformanceReport производительности. Например, при выполнении команды Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10пользователю предоставляется список из десяти самых разных файлов, влияющих на производительность.

    Дополнительные сведения о параметрах и параметрах командной строки см. в разделах New-MpPerformanceRecording и Get-MpPerformanceReport.

Примечание.

Если при выполнении записи появляется сообщение об ошибке "Не удается запустить запись производительности, так как средство записи производительности Windows уже записывается", выполните следующую команду, чтобы остановить существующую трассировку с помощью новой команды: wpr -cancel -instancename MSFT_MpPerformanceRecording.

Данные и сведения о настройке производительности

На основе запроса пользователь может просматривать данные о количестве сканирований, длительности (total/min/average/max/median), пути, процессах и причинах сканирования. На следующем рисунке показан пример выходных данных для простого запроса из 10 основных файлов для влияния сканирования.

Пример выходных данных для базового запроса TopFiles

Экспорт и преобразование в CSV и JSON

Результаты анализатора производительности также можно экспортировать и преобразовать в CSV- или JSON-файл. Эта статья содержит примеры, описывающие процесс "экспорта" и "преобразования" с помощью примера кода.

Начиная с версии 4.18.2206.XDefender пользователи могут просматривать сведения о причине пропуска сканирования в столбце SkipReason . Возможные значения:

  • Не пропущено
  • Оптимизация (как правило, из-за соображений производительности)
  • Пользователь пропущен (как правило, из-за исключений, заданных пользователем)

Для CSV-файла

  • Экспорт:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation
  • Для преобразования:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

Для JSON

  • Для преобразования:
(Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

Чтобы обеспечить машиночитаемые выходные данные для экспорта с другими системами обработки данных, рекомендуется использовать -Raw параметр для Get-MpPerformanceReport. Дополнительные сведения см. в следующих разделах.

Справочник по Анализатор производительности антивирусной программы Microsoft Defender

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.