Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описано, как собирать диагностические данные для отправки в службу поддержки и инженерные группы Microsoft, когда они помогают устранять неполадки, связанные с Microsoft Defender Antivirus.
Примечание.
В рамках процесса расследования или реагирования можно собрать с устройства пакет данных для расследования. Вот как это сделать: Собрать пакет данных для расследования с устройств.
Проблемы с производительностью, связанные с антивирусной программой Microsoft Defender, см. в статье Анализатор производительности для антивирусной Microsoft Defender.
Сбор диагностических данных с помощью MpCmdRun
По крайней мере на двух устройствах с одной и той же проблемой используйте следующие процедуры для создания файлов журнала диагностики:
В командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора) выполните одно из следующих действий.
Сохраните файлы журнала диагностика на локальном устройстве: выполните следующие команды:
Совет
Первая команда изменяет каталог на последнюю версию платформы< защиты от вредоносных >программ в
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в%ProgramFiles%\Windows Defender.(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -GetFilesПо умолчанию файлы журнала диагностики создаются, сжимаются и сохраняются в файле
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabна локальном устройстве.Имя файла .cab одинаково на каждом устройстве.
Скопируйте файлы журнала диагностика в централизованное расположение. Чтобы сохранить файлы журнала диагностики с нескольких устройств в одном месте, используйте следующий синтаксис:
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -GetFiles -SupportLogLocation <RootPath>Файлы журнала диагностики по-прежнему создаются, сжимаются и сохраняются в файле
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabпо умолчанию. Но затем файл .cab копируется под новым именем в подпапку каталога, указанного значением<RootPath>(например,P:\Dataили\\Server01\Data). Имя файла и путь к полученному .cab файлу используют следующий синтаксис:<RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab.-
<RootPath>— это значение, указанное для-SupportLogLocation. -
<MMDD>— это месяц и день выполнения команды MpCmdRun (например, 0318 для 18 марта). -
<Hostname>— это имя устройства, на котором вы выполнили команду MpCmdRun (например, LAPTOP01). -
<HHMM>— это универсальное скоординированное время (UTC) при выполнении команды MpCmdRun (например, 2221 в 22:21 UTC).
-
Примечание.
Если у вас нет доступа на запись в расположение, указанное командой, файлы журнала диагностики по-прежнему сохраняются в расположении
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabпо умолчанию на локальном устройстве. Но скопировать и переименовать файл .cab в путь-SupportLogLocationне удаётся.В этом примере вы выполнили следующие команды на устройстве с именем LAPTOP01 18 марта в 22:21 UTC:
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -GetFiles -SupportLogLocation "\\SERVER01\Data"Полученный файл .cab доступен по адресу
\\SERVER01\Data\0318\MpSupport-LAPTOP01-2221.cabи гарантированно будет уникальным, даже если вы выполнили команду MpCmdRun в один день на нескольких устройствах.Через несколько минут файлы журнала диагностики создаются, сжимаются и сохраняются. Результирующий файл .cab содержит следующие сведения:
- Все файлы трассировки из службы Microsoft Antimalware.
- Журнал истории Центра обновления Windows.
- Все события службы Microsoft Antimalware из журнала событий системы.
- Все соответствующие разделы реестра службы Microsoft Antimalware.
- Файл журнала MpCmdRun.
- Файл журнала вспомогательного средства обновления сигнатуры.
Скопируйте файлы .cab в расположение, к которому служба поддержки Майкрософт может получить доступ (например, в папку OneDrive, защищенную паролем).
Использование групповой политики для указания места копирования файлов журнала диагностики
Групповую политику можно использовать на локальном устройстве (параметры на основе реестра) или в Центральном хранилище на контроллере домена, чтобы указать, куда копируются файлы журнала диагностики после их создания на локальном устройстве. Установка расположения в групповой политике устраняет необходимость использования -SupportLogLocation параметра в команде MpCmdRun.exe -GetFiles .
Чтобы задать значение SupportLogLocation в групповой политике, сделайте следующее:
Выполните одно из следующих действий:
-
Групповая политика на локальном устройстве: Откройте Редактор локальной групповой политики. Например, вы можете:
- Откройте меню Пуск и введите групповую политику.
- Щелкните правой кнопкой мыши результат редактирования групповой политики и выберите Запуск от имени администратора.
-
Групповая политика для домена: на компьютере управления групповыми политиками, присоединённом к домену, откройте консоль управления групповыми политиками (GPMC).
- В дереве консоли GPMC раскройте узел «Объекты групповой политики» в лесе и домене, содержащих объект групповой политики, который нужно изменить.
- Щелкните объект групповой политики правой кнопкой мыши и выберите изменить.
-
Групповая политика на локальном устройстве: Откройте Редактор локальной групповой политики. Например, вы можете:
В дереве консоли выберите Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.
На панели сведений для Антивирусная программа Microsoft Defender откройте Укажите путь к каталогу для копирования файлов журнала поддержки любым из следующих способов:
- Дважды щелкните параметр.
- Щелкните параметр правой кнопкой мыши и выберите изменить.
- Выберите параметр, а затем выберите Изменить действие>.
В открывавшемся окне Определение пути к каталогу для копирования файлов журнала поддержки настройте следующие параметры:
- Щелкните Включено.
- Раздел Параметры . В поле Определение пути к каталогу для копирования файлов журнала поддержки введите значение пути.
Завершив работу в окне Определение пути к каталогу для копирования файлов журнала поддержки , нажмите кнопку ОК.