Сбор диагностических данных антивирусной программы Microsoft Defender

В этой статье описано, как собирать диагностические данные для отправки в службу поддержки и инженерные группы Microsoft, когда они помогают устранять неполадки, связанные с Microsoft Defender Antivirus.

Примечание.

В рамках процесса расследования или реагирования можно собрать с устройства пакет данных для расследования. Вот как это сделать: Собрать пакет данных для расследования с устройств.

Проблемы с производительностью, связанные с антивирусной программой Microsoft Defender, см. в статье Анализатор производительности для антивирусной Microsoft Defender.

Сбор диагностических данных с помощью MpCmdRun

По крайней мере на двух устройствах с одной и той же проблемой используйте следующие процедуры для создания файлов журнала диагностики:

  1. В командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора) выполните одно из следующих действий.

    • Сохраните файлы журнала диагностика на локальном устройстве: выполните следующие команды:

      Совет

      Первая команда изменяет каталог на последнюю версию платформы< защиты от вредоносных >программ в %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в %ProgramFiles%\Windows Defender.

      (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
      
      MpCmdRun.exe -GetFiles
      

      По умолчанию файлы журнала диагностики создаются, сжимаются и сохраняются в файле C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab на локальном устройстве.

      Имя файла .cab одинаково на каждом устройстве.

    • Скопируйте файлы журнала диагностика в централизованное расположение. Чтобы сохранить файлы журнала диагностики с нескольких устройств в одном месте, используйте следующий синтаксис:

      (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
      
      MpCmdRun.exe -GetFiles -SupportLogLocation <RootPath>
      

      Файлы журнала диагностики по-прежнему создаются, сжимаются и сохраняются в файле C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab по умолчанию. Но затем файл .cab копируется под новым именем в подпапку каталога, указанного значением <RootPath> (например, P:\Data или \\Server01\Data). Имя файла и путь к полученному .cab файлу используют следующий синтаксис: <RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab.

      • <RootPath> — это значение, указанное для -SupportLogLocation.
      • <MMDD> — это месяц и день выполнения команды MpCmdRun (например, 0318 для 18 марта).
      • <Hostname> — это имя устройства, на котором вы выполнили команду MpCmdRun (например, LAPTOP01).
      • <HHMM> — это универсальное скоординированное время (UTC) при выполнении команды MpCmdRun (например, 2221 в 22:21 UTC).

    Примечание.

    Если у вас нет доступа на запись в расположение, указанное командой, файлы журнала диагностики по-прежнему сохраняются в расположении C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab по умолчанию на локальном устройстве. Но скопировать и переименовать файл .cab в путь -SupportLogLocation не удаётся.

    В этом примере вы выполнили следующие команды на устройстве с именем LAPTOP01 18 марта в 22:21 UTC:

    (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
    
    MpCmdRun.exe -GetFiles -SupportLogLocation "\\SERVER01\Data"
    

    Полученный файл .cab доступен по адресу \\SERVER01\Data\0318\MpSupport-LAPTOP01-2221.cab и гарантированно будет уникальным, даже если вы выполнили команду MpCmdRun в один день на нескольких устройствах.

  2. Через несколько минут файлы журнала диагностики создаются, сжимаются и сохраняются. Результирующий файл .cab содержит следующие сведения:

    • Все файлы трассировки из службы Microsoft Antimalware.
    • Журнал истории Центра обновления Windows.
    • Все события службы Microsoft Antimalware из журнала событий системы.
    • Все соответствующие разделы реестра службы Microsoft Antimalware.
    • Файл журнала MpCmdRun.
    • Файл журнала вспомогательного средства обновления сигнатуры.

    Скопируйте файлы .cab в расположение, к которому служба поддержки Майкрософт может получить доступ (например, в папку OneDrive, защищенную паролем).

Использование групповой политики для указания места копирования файлов журнала диагностики

Групповую политику можно использовать на локальном устройстве (параметры на основе реестра) или в Центральном хранилище на контроллере домена, чтобы указать, куда копируются файлы журнала диагностики после их создания на локальном устройстве. Установка расположения в групповой политике устраняет необходимость использования -SupportLogLocation параметра в команде MpCmdRun.exe -GetFiles .

Чтобы задать значение SupportLogLocation в групповой политике, сделайте следующее:

  1. Выполните одно из следующих действий:

    • Групповая политика на локальном устройстве: Откройте Редактор локальной групповой политики. Например, вы можете:
      1. Откройте меню Пуск и введите групповую политику.
      2. Щелкните правой кнопкой мыши результат редактирования групповой политики и выберите Запуск от имени администратора.
    • Групповая политика для домена: на компьютере управления групповыми политиками, присоединённом к домену, откройте консоль управления групповыми политиками (GPMC).
      1. В дереве консоли GPMC раскройте узел «Объекты групповой политики» в лесе и домене, содержащих объект групповой политики, который нужно изменить.
      2. Щелкните объект групповой политики правой кнопкой мыши и выберите изменить.
  2. В дереве консоли выберите Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа.

    Снимок экрана редактора локальной групповой политики с выбранной в дереве консоли антивирусной программой Microsoft Defender.

  3. На панели сведений для Антивирусная программа Microsoft Defender откройте Укажите путь к каталогу для копирования файлов журнала поддержки любым из следующих способов:

    • Дважды щелкните параметр.
    • Щелкните параметр правой кнопкой мыши и выберите изменить.
    • Выберите параметр, а затем выберите Изменить действие>.
  4. В открывавшемся окне Определение пути к каталогу для копирования файлов журнала поддержки настройте следующие параметры:

    1. Щелкните Включено.
    2. Раздел Параметры . В поле Определение пути к каталогу для копирования файлов журнала поддержки введите значение пути.

    Снимок экрана редактора локальной групповой политики с выбранным параметром «Включено» и значением пути, введённым в разделе «Параметры».

    Завершив работу в окне Определение пути к каталогу для копирования файлов журнала поддержки , нажмите кнопку ОК.

См. также