Coleta de dados para solução de problemas avançada no Windows

Aplica-se a:

Ao colaborar com profissionais de suporte da Microsoft, você pode ser solicitado a usar o analisador de clientes para coletar dados para solucionar problemas de cenários mais complexos. O script do analisador dá suporte a outros parâmetros para essa finalidade e pode coletar um conjunto de logs específico com base nos sintomas observados que precisam ser investigados.

Execute MDEClientAnalyzer.cmd /? para ver a lista de parâmetros disponíveis e sua descrição:

Os parâmetros para MDEClientAnalyzer.cmd

Parâmetro Descrição Quando usar Processo que você está solucionando problemas.
-h Chama o Gravador de Desempenho do Windows para coletar um rastreamento de desempenho geral verboso, além do conjunto de logs padrão. Início/lançamento lento do aplicativo. Ao clicar em um botão no aplicativo, demora x segundos a mais. Uma das seguintes opções:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-l Chamadas em Monitor de Desempenho internas do Windows para coletar um rastreamento de perfmon leve. Esse cenário pode ser útil ao diagnosticar problemas lentos de degradação de desempenho que ocorrem ao longo do tempo, mas difíceis de reproduzir sob demanda. Solução de problemas no desempenho do aplicativo que pode demorar para reproduzir (manifesto) em si. Recomendamos capturar até três minutos (no máximo cinco minutos), pois seu conjunto de dados pode ficar muito grande. Uma das seguintes opções:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-c Chama o monitor de processo para monitoramento avançado do sistema de arquivos, registro e atividade de processo/thread em tempo real. Isso é especialmente útil ao solucionar vários cenários de compatibilidade do aplicativo. Process Monitor (ProcMon) para iniciar um rastreamento de inicialização ao investigar um problema relacionado ao atraso de inicialização de um driver ou serviço ou aplicativo. Ou aplicativos hospedados em um compartilhamento de rede que não estão usando o Oplock (Bloqueio Oportunista SMB) causando corretamente problemas de compatibilidade do aplicativo. Uma das seguintes opções:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-i Chama o comando netsh.exe interno para iniciar um rastreamento de rede e firewall do Windows que é útil ao solucionar vários problemas relacionados à rede. Ao solucionar problemas relacionados à rede, como a telemetria EDR do Defender para Ponto de Extremidade ou problemas de envio de dados cnC. Microsoft Defender problemas de relatório do MAPS (Antivírus Cloud Protection). Problemas relacionados à proteção de rede e assim por diante. Um dos seguintes processos:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-b O mesmo que -c o rastreamento do monitor de processo será iniciado durante a próxima inicialização e interrompido somente quando o -b for usado novamente. Process Monitor (ProcMon) para iniciar um rastreamento de inicialização ao investigar um problema relacionado ao atraso de inicialização de um driver ou serviço ou aplicativo. Esse cenário também pode ser usado para investigar uma inicialização lenta ou entrada lenta. Um dos seguintes processos:
- MSSense.exe
- MsSenseS.exe
- SenseIR.exe
- SenseNdr.exe
- SenseTVM.exe
- SenseAadAuthenticator.exe
- SenseGPParser.exe
- SenseImdsCollector.exe
- SenseSampleUploader.exe
- MsMpEng.exe
- NisSrv.exe
-e Chama o Gravador de Desempenho do Windows para coletar o rastreamento de cliente do Defender AV (AM-Engine e AM-Service) para análise de problemas de conectividade na nuvem antivírus. Ao solucionar problemas de falhas de relatório do MAPS (Cloud Protection). MsMpEng.exe
-a Chama o Gravador de Desempenho do Windows para coletar um rastreamento de desempenho verboso específico para a análise de altos problemas de CPU relacionados ao processo antivírus (MsMpEng.exe). Ao solucionar problemas de alta utilização de cpu com Microsoft Defender Antivírus (Executável de Serviço antimalware ou MsMpEng.exe) se você já usou o Microsoft Defender Antivírus Performance Analyzer para reduzir o /path/process ou /path ou a extensão de arquivo contribuindo para a alta utilização da CPU. Esse cenário permite investigar ainda mais o que o aplicativo ou o serviço está fazendo para contribuir com a alta utilização da CPU. MsMpEng.exe
-v Usa o argumento de linha de comando antivírusMpCmdRun.exe com a maioria dos sinalizadores de rastreamento verbosos. Sempre que uma solução de problemas avançada é necessária. Como ao solucionar problemas de falhas de relatório do MAPS (Cloud Protection), falhas de atualização de plataforma, falhas de atualização do mecanismo, falhas de Atualização de Inteligência de Segurança, Falsos negativos etc. Também pode ser usado com -b, -c, -hou -l. MsMpEng.exe
-t Inicia um rastreamento verboso de todos os componentes do lado do cliente relevantes para o DLP do Ponto de Extremidade, o que é útil para cenários em que ações DLP não estão acontecendo conforme o esperado para arquivos. Quando se deparam com problemas em que as ações de DLP (Prevenção contra Perda de Dados) do Microsoft Endpoint esperadas não estão ocorrendo. MpDlpService.exe
-q Chama DLPDiagnose.ps1 script do diretório analisador Tools que valida a configuração básica e os requisitos para o DLP do ponto de extremidade. Verifica a configuração básica e os requisitos para o DLP do Ponto de Extremidade da Microsoft MpDlpService.exe
-d Coleta um despejo de memória de (o processo de MsSenseS.exe sensor em Windows Server 2016 ou sistema operacional mais antigo) e processos relacionados. - * Esse sinalizador pode ser usado com sinalizadores mencionados acima. - ** A captura de um despejo de memória de processos protegidos por PPL , como MsSense.exe ou MsMpEng.exe não tem suporte do analisador no momento. No Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 ou Windows Server 2016 executando w/ o agente MMA e tendo desempenho (alto uso de CPU ou alta memória) ou problemas de compatibilidade do aplicativo. MsSenseS.exe
-z Configura as chaves do registro no computador para prepará-la para a coleção completa de despejo de memória do computador por meio de CrashOnCtrlScroll. Isso seria útil para análise de problemas de congelamento de computador. * Segure a tecla CTRL mais à direita e pressione a tecla SCROLL LOCK duas vezes. Computador pendurado ou sem resposta ou lento. Alto uso de memória (vazamento de memória): a) Modo de usuário: bytes privados b) Modo kernel: pool de páginas ou memória de pool nãopagada, manipular vazamentos. MSSense.exe ou MsMpEng.exe
-k Usa a ferramenta NotMyFault para forçar o sistema a falhar e gerar um despejo de memória do computador. Isso seria útil para análise de vários problemas de estabilidade do sistema operacional. O mesmo que acima. MSSense.exe ou MsMpEng.exe

O analisador e todos os sinalizadores de cenário listados neste artigo podem ser iniciados remotamente executando RemoteMDEClientAnalyzer.cmd, que também é empacotado no conjunto de ferramentas do analisador:

Os parâmetros para RemoteMDEClientAnalyzer.cmd

Observação

Quando qualquer parâmetro avançado de solução de problemas é usado, o analisador também chama MpCmdRun.exe para coletar Microsoft Defender logs de suporte relacionados ao Antivírus. Você pode usar -g o sinalizador para validar URLs para uma região de datacenter específica, mesmo sem ser integrado a essa região
Por exemplo, MDEClientAnalyzer.cmd -g EU força o analisador a testar URLs de nuvem na região da Europa.

Alguns pontos a serem considerados

Quando você usa RemoteMDEClientAnalyzer.cmd, ele chama psexec para baixar a ferramenta do compartilhamento de arquivos configurado e, em seguida, executá-la localmente por meio de PsExec.exe.

O script CMD usa o -r sinalizador para especificar que ele está sendo executado remotamente dentro do contexto SYSTEM e, portanto, nenhum prompt é apresentado ao usuário.

Esse mesmo sinalizador pode ser usado para MDEClientAnalyzer.cmd evitar um prompt para o usuário especificar o número de minutos para coleta de dados. Por exemplo, considere MDEClientAnalyzer.cmd -r -i -m 5.

  • -r indica que a ferramenta está sendo executada a partir de contexto remoto (ou não interativo).
  • -i é o sinalizador de cenário para a coleção de rastreamento de rede junto com outros logs relacionados.
  • -m # denota o número de minutos a serem executados (usamos 5 minutos em nosso exemplo).

Ao usar MDEClientAnalyzer.cmd, o script verifica privilégios usando net session, o que exige que o serviço Server esteja em execução. Se não for, você receberá a mensagem de erro que o Script está executando com privilégios insuficientes. Execute-o com privilégios de administrador se o ECHO estiver desativado.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.