适用对象

平台

Microsoft Defender防病毒性能分析器具有以下先决条件：

如果运行Microsoft Defender防病毒的计算机遇到性能问题，可以使用性能分析器来提高Microsoft Defender防病毒的性能。 适用于 Windows 10、Windows 11 和 Windows Server 中Microsoft Defender防病毒的性能分析器是一种 PowerShell 命令行工具，可帮助你确定在防病毒扫描期间可能导致各个终结点性能问题的文件、文件扩展名和进程。 可以使用性能分析器收集的信息来评估性能问题并应用修正操作。

与机械师在有性能问题的车辆上执行诊断和服务的方式类似，性能分析器可以帮助你提高 Defender 防病毒性能。

要分析的一些选项包括：

运行性能分析器的高级过程涉及以下步骤：

运行性能分析器以收集终结点上Microsoft Defender防病毒事件的性能记录。

注意

microsoft-Antimalware-Engine 类型的Microsoft Defender防病毒事件的性能通过性能分析器进行记录。

使用不同的记录报告分析扫描结果。

若要开始记录系统事件，请在管理模式下打开 PowerShell 并执行以下步骤：

运行以下命令以开始录制：

其中 -RecordTo ，参数指定保存跟踪文件的完整路径位置。 有关 cmdlet 的详细信息，请参阅 Microsoft Defender防病毒 cmdlet。

如果存在被认为影响性能的进程或服务，请通过执行相关任务来重现情况。

按 Enter 可停止并保存录制，按 Ctrl+C 可取消录制。

使用性能分析器的 Get-MpPerformanceReport 参数分析结果。 例如，在执行命令 Get-MpPerformanceReport -Path -TopFiles 3 -TopScansPerFile 10时，会向用户提供影响性能的前 3 个文件的十大扫描列表。

有关命令行参数和选项的详细信息，请参阅 New-MpPerformanceRecording 和 Get-MpPerformanceReport。

注意

运行录制时，如果收到错误“无法启动性能录制，因为 Windows 性能记录器已在录制”，请运行以下命令，使用新命令停止现有跟踪： wpr -cancel -instancename MSFT_MpPerformanceRecording

根据查询，用户将能够查看扫描计数、持续时间 (total/min/average/max/median/median) 、路径、进程和 扫描原因的数据。 下图显示了对扫描影响排名前 10 的文件进行简单查询的示例输出。

性能分析器的结果也可以导出并转换为 CSV 或 JSON 文件。 有关通过示例代码描述“导出”和“转换”过程的示例，请参阅下文。

从 Defender 版本 4.18.2206.X 开始，用户将能够查看“SkipReason”列下的扫描跳过原因信息。 可能的值有：

若要确保计算机可读输出用于导出其他数据处理系统，建议使用 -Raw 参数。Get-MpPerformanceReport 有关详细信息，请参阅下文。

有两个新的 PowerShell cmdlet 用于优化Microsoft Defender防病毒的性能：

以下部分介绍新的 PowerShell cmdlet New-MpPerformanceRecording 的参考。 此 cmdlet 收集Microsoft Defender防病毒扫描的性能记录。

该 New-MpPerformanceRecording cmdlet 收集Microsoft Defender防病毒扫描的性能记录。 这些性能记录包含 Microsoft-Antimalware-Engine 和 NT 内核进程事件，可以在收集后使用 Get-MpPerformanceReport cmdlet 进行分析。

此 New-MpPerformanceRecording cmdlet 可深入了解可能导致Microsoft Defender防病毒性能下降的问题文件。 此工具按“原样”提供，不打算提供有关排除项的建议。 排除可能会降低终结点的保护级别。 应谨慎定义排除项（如果有）。

有关性能分析器的详细信息，请参阅性能分析器文档。

重要

此 cmdlet 需要提升的管理员权限。

上述命令收集性能记录并将其保存到指定的路径： .\Defender-scans.etl。

上述命令收集由参数 Session) 的参数$s指定的 Server02 (性能记录，并将其保存到指定的路径： Server02 上的 C：\LocalPathOnServer02\trace.etl 。

指定保存Microsoft Defender反恶意软件性能记录的位置。

指定要在其中创建和保存防病毒性能记录Microsoft Defender PSSession 对象。 使用此参数时，RecordTo 参数引用远程计算机上的本地路径。 适用于 Defender 平台版本 4.18.2201.10。

以下部分介绍 PowerShell cmdlet Get-MpPerformanceReport。 分析和报告Microsoft Defender防病毒性能记录。

cmdlet Get-MpPerformanceReport 分析以前收集的Microsoft Defender防病毒性能记录 (New-MpPerformanceRecording) ，并报告对防病毒扫描Microsoft Defender影响最大的文件路径、文件扩展名和进程。

性能分析器可深入了解可能导致Microsoft Defender防病毒性能下降的问题文件。 此工具按“原样”提供，不打算提供有关排除项的建议。 排除可能会降低终结点的保护级别。 应谨慎定义排除项（如果有）。

有关性能分析器的详细信息，请参阅性能分析器文档。

支持的 OS 版本：

Windows 版本 10 及更高版本。

注意

此功能从平台版本 4.18.2108.X 及更高版本开始提供。

在上述命令中使用 -Raw 指定输出应是计算机可读的，并且易于转换为 JSON 等序列化格式。

请求顶部路径报告，并指定要输出的顶部路径数（按“持续时间”排序）。 基于扫描的路径和目录聚合扫描。 用户可以指定应在每个级别上显示多少个目录以及所选内容的深度。

指定将用于分组和显示聚合路径结果的递归深度。 例如，“C：”对应于 1 的深度，“C：\Users\Foo”对应于 3 的深度。

此标志可以附带所有其他“Top Path”选项。 如果缺少，则假定默认值为 3。 值不能为 0。

指定报告中包含的文件、扩展和进程的任意扫描的最短持续时间或总扫描持续时间;接受 0.1234567sec、 0.1234ms、 0.1us 或有效的 TimeSpan 等值。

指定 () 一个或多个位置的路径。

指定性能记录的输出应是计算机可读的，并且易于转换为序列化格式，例如 JSON (，例如，通过 Convert-to-JSON 命令) 。 对于对使用其他数据处理系统进行批处理感兴趣的用户，建议这样做。

指定要输出的顶级扩展数，按“Duration”排序。

指定要为每个顶级进程输出的顶级扩展数（按“持续时间”排序）。

请求顶部文件报告，并指定要输出的顶级文件数（按“持续时间”排序）。

指定要为每个顶部扩展名输出的顶级文件数（按“持续时间”排序）。

指定要为每个顶级进程输出的顶级文件数（按“持续时间”排序）。

请求顶级进程报告，并指定要输出的顶级进程数（按“持续时间”排序）。

指定要为每个顶级扩展输出的顶级进程数（按“持续时间”排序）。

指定要为每个顶级文件输出的顶级进程数（按“持续时间”排序）。

请求顶级扫描报告，并指定要输出的顶级扫描数（按“持续时间”排序）。

指定要为每个顶部扩展输出的顶级扫描数（按“持续时间”排序）。

指定要为每个顶级进程的每个顶级扩展输出的顶级扫描数，按“持续时间”排序。

指定要为每个顶级文件输出的顶级扫描数（按“持续时间”排序）。

指定要为每个顶部扩展名的每个顶部文件输出的顶级扫描数（按“持续时间”排序）。

指定每个顶级进程的每个顶级文件输出的顶级扫描数，按“持续时间”排序。

指定要为“热门进程”报表中每个首要进程输出的顶级扫描数（按“持续时间”排序）。

指定每个顶级扩展的每个顶级进程的输出的顶级扫描数，按“持续时间”排序。

指定每个顶级文件的每个顶级进程的输出的顶级扫描数，按“持续时间”排序。

如果要查找其他平台的防病毒相关信息，请参阅：