Sammeln von Microsoft Defender Antivirus-Diagnosedaten

Gilt für:

In diesem Artikel wird beschrieben, wie Sie Diagnosedaten sammeln, die von Microsoft-Support- und -Entwicklungsteams verwendet werden, wenn sie bei der Behandlung von Problemen mit Microsoft Defender Antivirus helfen.

Hinweis

Im Rahmen des Untersuchungs- oder Antwortprozesses können Sie ein Untersuchungspaket von einem Gerät sammeln. Gehen Sie wie folgt vor: Erfassen des Untersuchungspakets von Geräten.

Leistungsspezifische Probleme im Zusammenhang mit Microsoft Defender Antivirus finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Abrufen der Diagnosedateien

Rufen Sie auf mindestens zwei Geräten, auf denen dasselbe Problem auftritt, die .cab Diagnosedatei ab, indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie die Eingabeaufforderung als Administrator, indem Sie die folgenden Schritte ausführen:

    a. Öffnen Sie das Startmenü .

    b. Geben Sie cmd ein. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung , und wählen Sie dann Als Administrator ausführen aus.

    c. Geben Sie Administratoranmeldeinformationen an, oder genehmigen Sie die Eingabeaufforderung.

  2. Navigieren Sie zum Verzeichnis für Microsoft Defender Antivirus:

    cd C:\ProgramData\Microsoft\Windows Defender\Platform\<version>

    Dabei <version> ist die tatsächliche Version, die mit beginnt. 4.18.2xxxx.x

  3. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

    mpcmdrun.exe -GetFiles
    
  4. Es wird eine .cab Datei generiert, die verschiedene Diagnoseprotokolle enthält. Der Speicherort der Datei wird in der Ausgabe in der Eingabeaufforderung angegeben. Standardmäßig ist C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabder Speicherort .

    Hinweis

    Verwenden Sie den folgenden Befehl, um die CAB-Datei an einen anderen Pfad oder eine ANDERE UNC-Freigabe umzuleiten:

    mpcmdrun.exe -GetFiles -SupportLogLocation <path>

    Weitere Informationen finden Sie unter Umleiten von Diagnosedaten an eine UNC-Freigabe.

  5. Kopieren Sie diese .cab-Dateien an einen Speicherort, auf den der Microsoft-Support zugreifen kann. Ein Beispiel wäre ein kennwortgeschützter OneDrive-Ordner, den Sie für uns freigeben können.

Umleiten von Diagnosedaten an eine UNC-Freigabe

Um Diagnosedaten in einem zentralen Repository zu sammeln, können Sie den Parameter SupportLogLocation angeben.

mpcmdrun.exe -GetFiles -SupportLogLocation <path>

Kopiert die Diagnosedaten in den angegebenen Pfad. Wenn der Pfad nicht angegeben ist, werden die Diagnosedaten an den speicherort kopiert, der in der Konfiguration des Supportprotokollspeicherorts angegeben ist.

Wenn der Parameter SupportLogLocation verwendet wird, wird im Zielpfad eine Ordnerstruktur wie die folgende erstellt:

<path>\<MMDD>\MpSupport-<hostname>-<HHMM>.cab
Feld Beschreibung
path Der Pfad, der in der Befehlszeile angegeben oder aus der Konfiguration abgerufen wurde.
MMDD Monat und Tag der Erfassung der Diagnosedaten (z. B. 0530)
Hostname Der Hostname des Geräts, auf dem die Diagnosedaten gesammelt wurden
HHMM Stunden und Minuten, als die Diagnosedaten gesammelt wurden (z. B. 1422)

Hinweis

Wenn Sie eine Dateifreigabe verwenden, stellen Sie sicher, dass das Konto, das zum Erfassen des Diagnosepakets verwendet wird, Über Schreibzugriff auf die Freigabe verfügt.

Angeben des Speicherorts, an dem Diagnosedaten erstellt werden

Sie können auch angeben, wo die Diagnosedatei .cab mithilfe eines Gruppenrichtlinie Object (GPO) erstellt wird.

  1. Öffnen Sie die lokale Gruppenrichtlinie Editor, und suchen Sie das SupportLogLocation-GPO unter: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SupportLogLocation.

  2. Wählen Sie Verzeichnispfad definieren aus, um Supportprotokolldateien zu kopieren.

    Editor für lokale Gruppenrichtlinien

    Die Einstellung zum Definieren des Pfads für Protokolldateien

    Editor für lokale Gruppenrichtlinien

    Der Definierungspfad zum Konfigurieren der Protokolldateieinstellung

  3. Wählen Sie im Richtlinien-Editor Aktiviert aus.

  4. Geben Sie im Feld Optionen den Verzeichnispfad an, in den Sie die Supportprotokolldateien kopieren möchten. Die benutzerdefinierte Einstellung Verzeichnispfad aktiviert

  5. Wählen Sie OK oder Übernehmen aus.

Tipp

Leistungstipp Aufgrund einer Vielzahl von Faktoren (beispiele unten aufgeführt) kann Microsoft Defender Antivirus wie andere Antivirensoftware Leistungsprobleme auf Endpunktgeräten verursachen. In einigen Fällen müssen Sie möglicherweise die Leistung von Microsoft Defender Antivirus optimieren, um diese Leistungsprobleme zu beheben. Die Leistungsanalyse von Microsoft ist ein PowerShell-Befehlszeilentool, mit dem Sie ermitteln können, welche Dateien, Dateipfade, Prozesse und Dateierweiterungen Leistungsprobleme verursachen können. Einige Beispiele sind:

  • Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
  • Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
  • Kombinationen – z. B.:
    • Top-Dateien pro Erweiterung
    • Top-Pfade pro Erweiterung
    • Top-Prozesse pro Pfad
    • Top-Scans pro Datei
    • Top-Scans pro Datei und Prozess

Sie können die mit der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme besser zu bewerten und Korrekturaktionen anzuwenden. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.