提示
觀看此影片以深入瞭解上線問題: 適用於端點的 Defender 用戶端分析器上線問題
與 Microsoft 支援專業人員共同作業時,系統可能會要求您使用用戶端分析器來收集數據,以針對更複雜的案例進行疑難排解。 分析器指令碼支援其他參數,並可根據觀察到的需要調查的症狀來收集特定日誌集。
執行以 MDEClientAnalyzer.cmd /? 查看可用參數的清單及其描述:
| 參數 | 描述 | 使用時機 | 您正在進行疑難排解的程式。 |
|---|---|---|---|
-h |
呼叫 Windows 效能記錄器 ,除了標準記錄集之外,還會收集詳細的一般效能追蹤。 | 應用程式啟動/啟動緩慢。 單擊應用程序上的按鈕時,需要 x 秒的時間延長。 | 下列其中之一: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe - MsMpEng.exe - NisSrv.exe |
-l |
呼叫內建的 Windows 效能監視器,以收集輕量型 perfmon 追蹤。 當診斷隨時間發生但難以隨需復現的緩慢效能降低問題時,此案例非常有用。 | 針對應用程式效能進行疑難排解,這些效能可能會緩慢地重現) (資訊清單本身。 建議您擷取最多三分鐘 (最多五分鐘) ,因為您的資料集可能會太大。 | 下列其中之一: - MSSense.exe - MsSenseS.exe - SenseIR.exe- SenseNdr.exe - SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-c |
呼叫 進程監視器 ,以進階監視即時檔案系統、登錄和進程/執行緒活動。 這在對各種應用程式相容性案例進行疑難排解時特別有用。 | Process Monitor (ProcMon) ,在調查驅動程式或服務或應用程式啟動延遲相關問題時起始開機追蹤。 或者裝載在網路共用上的應用程式,未使用 SMB 機會鎖定 (Oplock) 正確造成應用程式相容性問題。 | 下列其中之一: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-i |
呼叫內建 netsh.exe 命令來啟動網路和 Windows 防火牆追蹤,這在疑難排解各種網路相關問題時很有用。 | 針對網路相關問題進行疑難排解時,例如適用於端點的 Defender EDR 遙測或 CnC 數據提交問題。 Microsoft Defender 防毒雲端保護 (MAPS) 報告問題。 網路保護相關問題等等。 | 下列其中一個程序: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe- SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-b |
與 -c 此相同,但處理程序監視器追蹤會在下次開機期間起始,且只有在再次使用 -b 時才停止。 |
Process Monitor (ProcMon) ,在調查驅動程式或服務或應用程式啟動延遲相關問題時起始開機追蹤。 此案例也可用來調查緩慢的開機或緩慢的登入。 | 下列其中一個程序: - MSSense.exe- MsSenseS.exe- SenseIR.exe- SenseNdr.exe- SenseTVM.exe - SenseAadAuthenticator.exe- SenseGPParser.exe- SenseImdsCollector.exe- SenseSampleUploader.exe- MsMpEng.exe- NisSrv.exe |
-e |
呼叫 Windows 效能記錄器 ,以收集 AM-Engine 和 AM-Service) (Defender AV 用戶端追蹤,以分析防病毒軟體雲端連線問題。 | 對 Cloud Protection (MAPS 進行疑難排解時,) 報告失敗。 | MsMpEng.exe |
-a |
呼叫 Windows 效能記錄器 ,以收集詳細效能追蹤,以分析與防病毒軟體進程 (MsMpEng.exe) 相關的高 CPU 問題。 | 使用 Microsoft Defender 防毒軟體 (反惡意軟體服務執行檔或 MsMpEng.exe) 進行高 CPU 使用率疑難排解時,如果您已使用 Microsoft Defender 防毒軟體效能分析器來縮小導致高 CPU 使用率的 /path/process 或 /path 或副檔名的範圍。 此案例可讓您進一步調查應用程式或服務正在執行哪些動作,以導致高 CPU 使用率。 | MsMpEng.exe |
-v |
使用防病毒軟體 MpCmdRun.exe 命令列引數 搭配大多數詳細的 -trace 旗標。 | 每當需要進階疑難排解時。 例如,在對 Cloud Protection (MAPS 進行疑難排解時,) 報告失敗、平台更新失敗、引擎更新失敗、安全情報更新失敗、誤報等。也可以與 -b、 、 -c-h或 -l一起使用。 |
MsMpEng.exe |
-t |
啟動與端點 DLP 相關的所有用戶端元件的詳細追蹤,這對於 DLP 動作 未如檔案預期發生的情況很有用。 | 當遇到未發生預期動作的 Microsoft 端點資料外洩防護 (DLP) 問題時。 | MpDlpService.exe |
-q |
從分析器 Tools 目錄呼叫 DLPDiagnose.ps1 腳本,以驗證端點 DLP 的基本設定和需求。 |
檢查 Microsoft 端點 DLP 的基本設定和需求 | MpDlpService.exe |
-d |
收集Windows Server 2016或較舊的作業系統) 和相關進程上 (感應器進程的MsSenseS.exe記憶體傾印。 - * 此旗幟可與上述旗幟一起使用。 - ** 擷取 PPL 保護進程MsSense.exe的記憶體傾印,例如分析器目前不支援或MsMpEng.exe不支援。 |
在 Windows 7 SP1、Windows 8.1 Windows Server 2008 R2、Windows Server 2012 R2 或 Windows Server 2016 上,使用 MMA 代理程式執行,且效能 (高 CPU 或高記憶體使用量) 或應用程式相容性問題。 | MsSenseS.exe |
-z |
在電腦上設定登錄機碼,以準備透過 CrashOnCtrlScroll 收集完整的電腦記憶體傾印。 這對於分析電腦凍結問題很有用。 * 按住最右邊的 CTRL 鍵,然後按兩次 SCROLL LOCK 鍵。 | 機器掛起或反應遲鈍或緩慢。 記憶體使用量過高 (記憶體流失) :a) 使用者模式:私人位元組 b) 核心模式:分頁集區或非分頁集區記憶體,處理流失。 |
MSSense.exe 或 MsMpEng.exe |
-k |
使用 NotMyFault 工具強制系統崩潰並產生機器記憶體傾印。 這對於分析各種作業系統穩定性問題很有用。 | 同上。 |
MSSense.exe 或 MsMpEng.exe |
分析器,以及本文中列出的所有案例旗標,都可以執行 RemoteMDEClientAnalyzer.cmd,從遠端起始,這也隨附到分析器工具集中:
注意事項
使用任何進階疑難排解參數時,分析器也會呼叫 MpCmdRun.exe 以收集Microsoft Defender防毒相關支援記錄。
您可以使用 -g 旗標來驗證特定資料中心區域的 URL,即使沒有上線至該區域
例如, MDEClientAnalyzer.cmd -g EU 強制分析器測試歐洲區域的雲端 URL。
需要記住的幾點
當您使用 RemoteMDEClientAnalyzer.cmd時,它會呼叫 從 psexec 設定的檔案共用下載工具,然後透過 PsExec.exe在本機執行。
CMD 腳本會使用 -r 旗標來指定它在 SYSTEM 內容中遠端執行,因此不會向使用者顯示任何提示。
相同的旗標可以搭配使用 MDEClientAnalyzer.cmd ,以避免提示使用者指定資料收集的分鐘數。 例如,考慮 MDEClientAnalyzer.cmd -r -i -m 5。
-
-r表示工具正在從遠端 (或非互動式環境定義) 執行。 -
-i是收集網路追蹤以及其他相關日誌的案例旗標。 -
-m #表示我們在範例) 中使用 5 分鐘 (要執行的分鐘數。
使用 MDEClientAnalyzer.cmd時,指令碼會使用 net session檢查權限,這需要服務 Server 正在執行。 如果不是,您會收到錯誤訊息 Script 正在以足夠的權限執行。 如果 ECHO 已關閉,請以管理員權限執行它。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。