Microsoft Defender 防病毒軟體效能分析器參考

PowerShell 參考

您可以使用下列新的 PowerShell Cmdlet 來調整 Microsoft Defender 防病毒軟體的效能：

• New-MpPerformanceRecording
• Get-MpPerformanceReport

先決條件

支援的作業系統

Windows 版本 10 和更新版本。

New-MpPerformanceRecording

下一節說明新 PowerShell Cmdlet New-MpPerformanceRecording的參考。 此 Cmdlet 會收集 Microsoft Defender 防病毒軟體掃描的效能記錄。

語法：New-MpPerformanceRecording

New-MpPerformanceRecording -RecordTo <String>

描述：New-MpPerformanceRecording

New-MpPerformanceRecording Cmdlet 會收集 Microsoft Defender 防病毒軟體掃描的效能記錄。 這些效能記錄包含 Microsoft-Antimalware-Engine 和 NT 核心進程事件，而且可以在使用 Get-MpPerformanceReport Cmdlet 收集之後進行分析。

此 New-MpPerformanceRecording Cmdlet 可讓您深入瞭解可能導致 Microsoft Defender 防病毒軟體效能降低的問題檔案。 此工具依原樣提供，並非旨在提供 排除項目的建議。 排除項目可能會降低端點的保護層級。 應謹慎定義排除事項（如果有）。

如需效能分析器的詳細資訊，請參閱效能分析器文件。

範例：New-MpPerformanceRecording

範例 1：收集並儲存演奏錄音

New-MpPerformanceRecording -RecordTo .\Defender-scans.etl

此指令會收集效能記錄，並將其儲存至指定的路徑： .\Defender-scans.etl。

範例 2：收集遠端 PowerShell 會話的效能記錄

$s = New-PSSession -ComputerName Server02 -Credential Domain01\User01
New-MpPerformanceRecording -RecordTo C:\LocalPathOnServer02\trace.etl -Session $s

此指令會收集參數 Session) 的引數 $s 所指定的 (上的 Server02 效能記錄，並將它儲存至指定的路徑： C:\LocalPathOnServer02\trace.etl on Server02。

參數：New-MpPerformanceRecording

-記錄至

指定儲存 Microsoft Defender 反惡意代碼效能記錄的位置。

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-會議

指定PSSession要在其中建立和儲存 Microsoft Defender 防病毒軟體效能記錄的物件。 當您使用此指令時，參數 RecordTo 會參考遠端電腦上的本端路徑。 適用於 Defender 平台版本 4.18.2201.10 和更新版本。

Type: PSSession[]
Position: 0
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

Get-MpPerformanceReport

下一節說明 Get-MpPerformanceReport PowerShell Cmdlet。 分析和報告 Microsoft Defender 防病毒軟體效能記錄。

語法：Get-MpPerformanceReport

    Get-MpPerformanceReport [-Path] <String> [-TopFiles <Int32>] [-TopScansPerFile <Int32>] [-TopProcessesPerFile 
<Int32>] [-TopScansPerProcessPerFile <Int32>] [-TopPaths <Int32>] [-TopPathsDepth <Int32>] [-TopScansPerPath 
<Int32>] [-TopFilesPerPath <Int32>] [-TopScansPerFilePerPath <Int32>] [-TopExtensionsPerPath <Int32>] 
    [-TopScansPerExtensionPerPath <Int32>] [-TopProcessesPerPath <Int32>] [-TopScansPerProcessPerPath <Int32>] 
    [-TopExtensions <Int32>] [-TopScansPerExtension <Int32>] [-TopPathsPerExtension <Int32>] 
    [-TopScansPerPathPerExtension <Int32>] [-TopFilesPerExtension <Int32>] [-TopScansPerFilePerExtension <Int32>] 
    [-TopProcessesPerExtension <Int32>] [-TopScansPerProcessPerExtension <Int32>] [-TopProcesses <Int32>] 
    [-TopScansPerProcess <Int32>] [-TopFilesPerProcess <Int32>] [-TopScansPerFilePerProcess <Int32>] 
    [-TopExtensionsPerProcess <Int32>] [-TopScansPerExtensionPerProcess <Int32>] [-TopPathsPerProcess <Int32>] 
    [-TopScansPerPathPerProcess <Int32>] [-TopScans <Int32>] [-MinDuration <String>] [-MinStartTime <DateTime>] 
    [-MinEndTime <DateTime>] [-MaxStartTime <DateTime>] [-MaxEndTime <DateTime>] [-Overview] [-Raw] 
    [<CommonParameters>]

描述：Get-MpPerformanceReport

Cmdlet Get-MpPerformanceReport 會分析先前收集的 Microsoft Defender 防病毒軟體效能記錄 (New-MpPerformanceRecording) ，並報告對 Microsoft Defender 防病毒軟體掃描造成最大影響的檔案路徑、副檔名和進程。

效能分析器可讓您深入瞭解可能導致 Microsoft Defender 防病毒軟體效能降低的問題檔案。 此工具是「依原樣」提供，無意提供排除建議。 排除項目可能會降低端點的保護層級。 應謹慎定義排除事項（如果有）。

如需效能分析器的詳細資訊，請參閱效能分析器文件。

範例：Get-MpPerformanceReport

範例 1：單一查詢

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 20

範例 2：多個查詢

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

範例 3：巢狀查詢

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopProcesses 10 -TopExtensionsPerProcess 3 -TopScansPerExtensionPerProcess 3

範例 4：使用 -MinDuration 參數

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopScans 100 -MinDuration 100ms

範例 5：使用 -Raw 參數

Get-MpPerformanceReport -Path .\Defender-scans.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10 -Raw | ConvertTo-Json

-Raw在命令中使用指定輸出應該是機器可讀的，並且可以輕鬆轉換為 JSON 等序列化格式。

參數：Get-MpPerformanceReport

-頂路徑

要求頂層路徑報告，並指定要輸出的頂層路徑數目，依持續時間排序。 根據掃描的路徑和目錄來彙總掃描。 用戶可以指定每個級別應顯示多少個目錄以及選擇的深度。

- Type: Int32
- Position: Named
- Default value: None
- Accept pipeline input: False
- Accept wildcard characters: False

-TopPaths深度

指定用來分組和顯示聚集路徑結果的遞歸深度。 例如 C:\ ，對應於深度 1，對 C:\Users\Foo 應於深度 3。

此旗標可以隨附所有其他「頂端路徑」選項。 如果遺漏，則假設預設值為 3。 值不能是 0。

- Type: Int32
- Position: Named
- Default value: 3
- Accept pipeline input: False
- Accept wildcard characters: False

-最小持續時間

指定任何掃描的最短持續時間，或報告中包含的檔案、副檔名和處理程序的總掃描持續時間;接受 、 、 0.1234ms0.1us或有效 TimeSpan 等0.1234567sec值。

Type: String
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-Path

指定一或多個位置的路徑。

Type: String
Position: 0
Default value: None
Accept pipeline input: True
Accept wildcard characters: False

-生

指定效能記錄的輸出應該是機器可讀的，而且可以輕鬆轉換為序列化格式，例如 JSON (例如，透過 [轉換成 JSON] 命令) 。 建議對使用其他資料處理系統進行批次處理感興趣的使用者使用此設定。

Type: <SwitchParameter>
Position: Named
Default value: False
Accept pipeline input: False
Accept wildcard characters: False

-頂部擴展

指定要輸出的熱門擴充功能數目，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopExtensionsPerProcess

指定每個熱門進程要輸出的熱門延伸模組數目，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-頂部文件

要求熱門檔案報告，並指定要輸出的熱門檔案數目，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerExtension

指定每個頂層副檔名要輸出的熱門檔案數目，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopFilesPerProcess

指定每個熱門程序要輸出的熱門檔案數量，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-頂流程

要求頂層處理程序報告，並指定要輸出的頂端處理程序數目，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerExtension

指定每個頂層延伸模組要輸出的熱門處理程序數目，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopProcessesPerFile

指定每個熱門檔案要輸出的熱門處理程序數目，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-頂部掃描

要求頂層掃描報告，並指定要輸出的頂層掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPer擴展

指定每個頂級延伸要輸出的熱門掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerExtensionPerProcess

指定每個熱門程序的每個頂級延伸模組要輸出的熱門掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFile

指定每個熱門檔案要輸出的熱門掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerExtension

指定每個頂層副檔名的每個頂層檔案要輸出的頂層掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerFilePerProcess

指定每個熱門處理程序的每個熱門檔案的輸出熱門掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcess

指定在「熱門處理程序」報告中針對每個熱門處理程序輸出的熱門掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPer擴展

指定每個頂級延伸的每個頂級處理程序的輸出最多掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False

-TopScansPerProcessPerFile

指定每個熱門檔案的每個熱門處理程序的輸出最多掃描次數，依持續時間排序。

Type: Int32
Position: Named
Default value: None
Accept pipeline input: False
Accept wildcard characters: False