共用方式為

適用於 Microsoft Defender 防病毒軟體的效能分析器

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

什麼是 Microsoft Defender 防病毒軟體效能分析器?

如果執行 Microsoft Defender 防病毒軟體的裝置遇到效能問題,您可以使用效能分析器來改善 Microsoft Defender 防病毒軟體的效能。 效能分析器是 PowerShell 命令列工具,可協助您判斷在防毒掃描期間可能導致個別端點效能問題的檔案、副檔名和進程。 您可以使用效能分析器收集的資訊來評估效能問題並套用補救動作。

與機械師在有效能問題的車輛上執行診斷和服務的方式類似,效能分析器可協助您改善 Microsoft Defender 防病毒軟體效能。

Microsoft Defender 防病毒軟體的概念效能分析器映像。

要分析的一些選項包括:

  • 影響掃描時間的熱門路徑
  • 影響掃描時間的熱門檔案
  • 影響掃描時間的主要程序
  • 影響掃描時間的熱門副檔名
  • 組合 – 例如:
    • 每個副檔名的熱門檔案
    • 每個延伸模組的熱門路徑
    • 每個路徑的上層處理程序
    • 每個檔案的熱門掃描次數
    • 每個進程每個檔案的熱門掃描數

必要條件

  • 平台版本: 4.18.2108.7 或更高版本
  • PowerShell 版本:PowerShell 5.1 版、PowerShell ISE、遠端 PowerShell (4.18.2201.10+) 、PowerShell 7.x (4.18.2201.10+)
  • 針對 Windows Server 2012 R2,需要 Windows ADK (Windows 效能工具組) 。 下載並安裝 Windows ADK

支援的作業系統

  • Windows 10
  • Windows 11
  • Windows Server 2016 和更新版本
  • Windows Server 2012 R2 在使用現代統一解決方案) 上線時 (

執行效能分析器

執行效能分析器的高階程式牽涉到下列步驟:

  1. 執行效能分析器,以收集端點上 Microsoft Defender 防病毒軟體事件的效能記錄。

    注意事項

    該類型的 Microsoft-Antimalware-Engine Microsoft Defender 防病毒軟體事件的效能會透過效能分析器記錄。

  2. 使用不同的記錄報告分析掃描結果。

使用效能分析器

若要開始記錄系統事件,請以管理員模式開啟 PowerShell 並執行下列步驟:

  1. 執行下列命令以開始錄製:

    New-MpPerformanceRecording -RecordTo <recording.etl>

    where -RecordTo 參數指定儲存追蹤檔的完整路徑位置。 如需更多 Cmdlet 資訊,請參閱 Microsoft Defender 防病毒軟體 Cmdlet

  2. 如果有流程或服務被認為會影響效能,請透過執行相關任務來重現這種情況。

  3. ENTER 停止並儲存錄製,或按 Ctrl+C 取消錄製。

  4. 使用效能分析器的 Get-MpPerformanceReport 參數分析結果。 例如,在執行命令 Get-MpPerformanceReport -Path <recording.etl> -TopFiles 3 -TopScansPerFile 10時,會向使用者提供影響效能的前三個檔案的前十個掃描清單。

    如需命令列參數和選項的詳細資訊,請參閱 New-MpPerformanceRecordingGet-MpPerformanceReport

注意事項

執行錄製時,如果您收到錯誤「無法開始效能錄製,因為 Windows 效能錄製器已經在錄製」,請執行下列命令,以使用新命令停止現有的追蹤: wpr -cancel -instancename MSFT_MpPerformanceRecording

效能調整資料和資訊

根據查詢,使用者能夠檢視掃描計數、持續時間 (總計/最小值/平均值/最大值/中位數) 、路徑、程序和掃描原因的資料。 下圖顯示掃描影響前 10 個檔案的簡單查詢範例輸出。

基本 TopFiles 查詢的輸出範例

匯出並轉換為 CSV 和 JSON

效能分析器的結果也可以匯出並轉換為 CSV 或 JSON 檔案。 本文包含描述透過範例程式碼進行「匯出」和「轉換」過程的範例。

從 Defender 版本 4.18.2206.X開始,使用者可以在欄下 SkipReason 檢視掃描略過原因資訊。 可能的值為:

  • 未跳過
  • 最佳化 (通常是由於效能原因)
  • 使用者略過 (通常是由於使用者設定的排除)

對於 CSV

  • 若要匯出

    (Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | Export-CSV -Path .\Repro-Install-Scans.csv -Encoding UTF8 -NoTypeInformation

  • 若要轉換

    (Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 100).TopScans | ConvertTo-Csv -NoTypeInformation

對於 JSON

  • 若要轉換
    (Get-MpPerformanceReport -Path .\Repro-Install.etl -Topscans 1000).TopScans | ConvertTo-Json -Depth 1

為了確保機器可讀的輸出以與其他資料處理系統匯出,建議-RawGet-MpPerformanceReport使用 參數 。 如需詳細資訊,請參閱下列各節。

Microsoft Defender 防病毒軟體效能分析器參考

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on