Compartir a través de

Solución de problemas de rendimiento de Microsoft Defender Antivirus con Process Monitor

Sugerencia

En primer lugar, revise las razones comunes de los problemas de rendimiento, como el uso elevado de la CPU. Consulte Solución de problemas de rendimiento relacionados con Microsoft Defender protección en tiempo real (rtp) o exámenes (programados o a petición). A continuación, ejecute el Analizador de rendimiento antivirus de Microsoft Defender. Esta herramienta le ayudará a identificar la causa del uso elevado de CPU en Microsoft Defender Antivirus, ya sea el ejecutable del servicio Antimalware, el servicio antivirus de Microsoft Defender o MsMpEng.exe. Si el Analizador de rendimiento antivirus de Microsoft Defender no identifica la causa principal del uso elevado de la CPU, continúe con la ejecución del Monitor de procesador. La herramienta final del kit de herramientas que se va a ejecutar es la interfaz de usuario de La grabadora de rendimiento de Windows (WPRUI) o Windows Performance Recorded (línea de comandos WPR).

Captura de registros de procesos mediante el Monitor de procesos

Monitor de procesos (ProcMon) es una herramienta de supervisión avanzada que proporciona datos en tiempo real sobre los procesos. Se puede usar para capturar problemas de rendimiento, como un uso elevado de la CPU, y para supervisar los escenarios de compatibilidad de aplicaciones a medida que se producen.

Puede capturar un seguimiento del Monitor de procesos (ProcMon) mediante el analizador de cliente de MDE o mediante un proceso manual.

Uso del analizador de cliente de MDE

  1. Descargue el analizador de cliente de MDE.

  2. Ejecute la MDE Client Analyzer mediante Live Response o localmente.

    Sugerencia

    Antes de iniciar el seguimiento, asegúrese de que el problema es reproducible. Además, cierre las aplicaciones que no contribuyan a la reproducción del problema.

  3. Ejecute el analizador de cliente de MDE con los -c modificadores y -v :

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Proceso manual

  1. Descargue Process Monitor v4.01 en una carpeta como C:\temp.

  2. Para quitar la marca del archivo de la web:

    1. Haga clic con el botón derecho en ProcessMonitor.zip y seleccione Propiedades.

    2. En la pestaña General , busque Seguridad.

    3. Active la casilla situada junto a Desbloquear.

    4. Seleccione Aplicar.

    Captura de pantalla que muestra cómo quitar la

  3. Descomprima el archivo en C:\temp para que la ruta de acceso de la carpeta sea C:\temp\ProcessMonitor.

  4. Copie Procmon.exe en el cliente de Windows o el servidor de Windows que está solucionando problemas.

    Sugerencia

    Antes de ejecutar ProcMon, asegúrese de que todas las demás aplicaciones no relacionadas con el problema de uso elevado de cpu estén cerradas. Realizar este paso ayuda a minimizar el número de procesos que se van a comprobar.

  5. Puede iniciar ProcMon de dos maneras: mediante Procmon.exe o línea de comandos.

    • Para usar Procmon.exe, descárguelo y ábralo como administrador.

      1. Si es la primera vez que usa ProcMon, haga clic en Aceptar para aceptar el Contrato de licencia de Process Monitor.

        Captura de pantalla que muestra el contrato de licencia de Process Monitor.

      2. Puesto que el registro se inicia automáticamente, detenga la captura seleccionando el botón Capturar o presionando Ctrl+E.

        Captura de pantalla que muestra el botón para detener la captura de ProcMon.

      3. Para confirmar que la captura se ha detenido, busque un icono de pausa en el botón Capturar y, a continuación, elimine las entradas registradas seleccionando el botón Borrar o presionando Ctrl+X.

        Captura de pantalla que muestra el botón para iniciar la captura de ProcMon.

        Captura de pantalla que muestra el botón para borrar las entradas de ProcMon.

    • Para usar la línea de comandos, abra el símbolo del sistema como administrador. Después, ejecute el siguiente comando:

      Captura de pantalla que muestra una ventana del símbolo del sistema con privilegios elevados para ejecutar Procmon.exe.

    Sugerencia

    Haga que la ventana ProcMon sea lo más pequeña posible al capturar datos para que pueda iniciar y detener fácilmente lacaptura de pantalla de seguimiento que muestra el escritorio con Procmon minimizado.

  6. Para establecer filtros, seleccione el icono Filtro . Standard filtros se establecen de forma predeterminada. También puede filtrar los resultados una vez completada la captura. Si ha aplicado algún filtro, haga clic en Aplicar y, a continuación, en Aceptar.

    Captura de pantalla que muestra cómo abrir la ventana Filtro.

    Captura de pantalla que muestra la ventana Filtrar.

  7. Para iniciar la captura, vuelva a seleccionar el botón Capturar .

  8. Reproduzca el problema.

    Sugerencia

    Espere a que se reproduzca el problema y anote la marca de tiempo cuando comience el seguimiento.

  9. Después de capturar de dos a cuatro minutos de actividad de proceso durante un uso elevado de cpu, detenga la captura haciendo clic en el botón Capturar .

  10. Para guardar la captura con un nombre único en el .pml formato, vaya a Archivo y haga clic en Guardar.... Asegúrese de seleccionar los botones de radio Todos los eventos y Formato de monitor de proceso nativo (PML).

    Captura de pantalla que muestra la página guardar configuración.

  11. Para un mejor seguimiento, cambie la ruta de acceso predeterminada de C:\temp\ProcessMonitor\LogFile.PML a C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML dónde:

    • %ComputerName% es el nombre del dispositivo
    • MMDDYEAR es el mes, el día y el año
    • Repro_of_issue es el nombre del problema que intenta reproducir

    Sugerencia

    Si tiene un sistema de trabajo, es posible que desee obtener un registro de ejemplo para compararlo.

  12. Comprima el .pml archivo y envíelo a Soporte técnico de Microsoft.

  • Last updated on