Поделиться через

Сбор диагностических данных антивирусной программы Microsoft Defender

  • Статья

Область применения:

В этой статье описывается сбор диагностических данных, используемых специалистами службы поддержки и инженеров Майкрософт при устранении неполадок с Microsoft Defender антивирусной программой.

Примечание.

В рамках процесса исследования или ответа можно собрать пакет исследования с устройства. Вот как: Собрать пакет исследования с устройств.

Проблемы с производительностью, связанные с антивирусной программой Microsoft Defender, см. в статье Анализатор производительности для антивирусной Microsoft Defender.

Получение файлов диагностики

По крайней мере на двух устройствах с одной и той же проблемой получите .cab файл диагностики, выполнив следующие действия.

  1. Откройте командную строку от имени администратора, выполнив следующие действия.

    А. Откройте меню Пуск .

    Б. Введите cmd. Щелкните правой кнопкой мыши командную строку и выберите Запуск от имени администратора.

    c. Укажите учетные данные администратора или подтвердите запрос.

  2. Перейдите в каталог для антивирусной программы Microsoft Defender:

    cd C:\ProgramData\Microsoft\Windows Defender\Platform\<version>

    Где <version> — фактическая версия, которая начинается с 4.18.2xxxx.x

  3. Введите следующую команду и нажмите клавишу ВВОД.

    mpcmdrun.exe -GetFiles

  4. Создается .cab файл, содержащий различные журналы диагностики. Расположение файла указывается в выходных данных в командной строке. По умолчанию расположение — C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

    Примечание.

    Чтобы перенаправить CAB-файл по другому пути или UNC-ресурсу, используйте следующую команду:

    mpcmdrun.exe -GetFiles -SupportLogLocation <path>

    Дополнительные сведения см. в статье Перенаправление диагностических данных в общую папку UNC.

  5. Скопируйте эти .cab файлы в расположение, к которому может получить доступ служба поддержки Майкрософт. Примером может служить защищенная паролем папка OneDrive, которую вы можете предоставить нам.

Перенаправление диагностических данных в общую папку UNC

Для сбора диагностических данных в центральном репозитории можно указать параметр SupportLogLocation.

mpcmdrun.exe -GetFiles -SupportLogLocation <path>

Копирует диагностические данные по указанному пути. Если путь не указан, диагностические данные копируются в расположение, указанное в конфигурации расположения журнала поддержки.

При использовании параметра SupportLogLocation в целевом пути будет создана структура папок, как показано ниже.

<path>\<MMDD>\MpSupport-<hostname>-<HHMM>.cab
поле Описание
path Путь, указанный в командной строке или полученный из конфигурации
MMDD Месяц и день сбора диагностических данных (например, 0530)
Узла Имя узла устройства, на котором были собраны диагностические данные.
HHMM Часы и минуты сбора диагностических данных (например, 1422)

Примечание.

При использовании общей папки убедитесь, что учетная запись, используемая для сбора диагностического пакета, имеет доступ на запись в общую папку.

Указание расположения, в котором создаются диагностические данные

Вы также можете указать, где создается файл диагностики .cab с помощью объекта групповая политика (GPO).

  1. Откройте локальный групповая политика Редактор и найдите объект групповой политики SupportLogLocation по адресу : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SupportLogLocation.

  2. Выберите Определить путь к каталогу для копирования файлов журнала поддержки.

    Редактор локальной групповой политики

    Определение пути для параметра файлов журнала

    Редактор локальной групповой политики

    Определение пути для настройки параметра файлов журнала

  3. В редакторе политик выберите Включено.

  4. Укажите путь к каталогу, куда нужно скопировать файлы журнала поддержки, в поле Параметры . Настраиваемый параметр Включенный путь к каталогу

  5. Нажмите кнопку ОК или Применить.

Совет

Совет по производительности Из-за различных факторов (примеры приведены ниже) Microsoft Defender антивирусная программа, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:

  • Основные пути, влияющие на время сканирования
  • Основные файлы, влияющие на время сканирования
  • Основные процессы, влияющие на время сканирования
  • Основные расширения файлов, влияющие на время сканирования
  • Сочетания— например:
    • top files per extension
    • верхние пути на расширение
    • top процессов на путь
    • большее число сканирований на файл
    • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.