Sammeln von Microsoft Defender Antivirus-Diagnosedaten

In diesem Artikel wird beschrieben, wie Diagnosedaten gesammelt werden, die an Microsoft-Support- und -Entwicklungsteams gesendet werden, wenn diese bei der Behandlung von Problemen mit Microsoft Defender Antivirus helfen.

Verwenden Sie auf mindestens zwei Geräten, auf denen dasselbe Problem auftritt, die folgenden Verfahren, um die Diagnoseprotokolldateien zu generieren:

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster, das Sie geöffnet haben, indem Sie Als Administrator ausführen ausgewählt haben). Zum Beispiel:

   1. Öffnen Sie das Startmenü , und geben Sie dann cmd ein.
   2. Klicken Sie mit der rechten Maustaste auf das Eingabeaufforderungsergebnis , und wählen Sie dann Als Administrator ausführen aus.

2. Führen Sie an der Eingabeaufforderung mit erhöhten Rechten einen der folgenden Schritte aus:

   • Speichern Sie die Diagnose Protokolldateien auf dem lokalen Gerät: Führen Sie die folgenden Befehle aus:

     Tipp

     Mit dem ersten Befehl wird das Verzeichnis in die neueste Version der <Antischadsoftwareplattform in>%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>geändert. Wenn dieser Pfad nicht vorhanden ist, wechselt er zu %ProgramFiles%\Windows Defender.

     (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
     
     MpCmdRun.exe -GetFiles
     

     Standardmäßig werden die Diagnoseprotokolldateien generiert, komprimiert und in der Datei C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab auf dem lokalen Gerät gespeichert.

     Der Name der .cab-Datei ist auf jedem Gerät identisch.

   • Kopieren Sie die Diagnose Protokolldateien an einen zentralen Speicherort: Verwenden Sie die folgende Syntax, um die Diagnoseprotokolldateien von mehreren Geräten an einem Ort zu speichern:

     (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
     
     MpCmdRun.exe -GetFiles -SupportLogLocation <RootPath>
     

     Die Diagnoseprotokolldateien werden weiterhin standardmäßig generiert, komprimiert und in der Datei C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab gespeichert. Dann wird die .cab Datei mit einem neuen Namen in einen Unterordner des durch den <RootPath> Wert angegebenen Speicherorts kopiert (z. B P:\Data . oder \\Server01\Data). Der Dateiname und Pfad der resultierenden .cab Datei verwenden die folgende Syntax: <RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab.

     • <RootPath> ist der Wert, den Sie für -SupportLogLocationangegeben haben.
     • <MMDD> ist der Monat und Tag, an dem Sie den Befehl MpCmdRun ausgeführt haben (z. B. 0318 für den 18. März).
     • <Hostname> ist der Name des Geräts, auf dem Sie den Befehl MpCmdRun ausgeführt haben (z. B. LAPTOP01).
     • <HHMM> ist die koordinierte Weltzeit (UTC), wenn Sie den Befehl MpCmdRun ausgeführt haben (z. B. 2221 für 22:21 UTC).

   Hinweis

   Wenn Sie keinen Schreibzugriff auf den durch den Befehl angegebenen Speicherort haben, werden die Diagnoseprotokolldateien weiterhin am Standardspeicherort C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab auf dem lokalen Gerät gespeichert. Der letzte Schritt, bei dem die .cab Datei kopiert und in den -SupportLogLocation Pfad umbenannt wird, schlägt jedoch fehl.

   In diesem Beispiel haben Sie die folgenden Befehle auf dem Gerät namens LAPTOP01 am 18. März um 22:21 Uhr UTC ausgeführt:

   (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
   
   MpCmdRun.exe -GetFiles -SupportLogLocation "\\SERVER01\Data"
   

   Die resultierende .cab Datei ist unter \\SERVER01\Data\0318\MpSupport-LAPTOP01-2221.cab verfügbar und ist garantiert eindeutig, auch wenn Sie den Befehl MpCmdRun am selben Tag auf mehreren Geräten ausgeführt haben.

3. Nach einigen Minuten werden die Diagnoseprotokolldateien generiert, komprimiert und gespeichert. Die resultierende .cab-Datei enthält die folgenden Informationen:

   • Alle Ablaufverfolgungsdateien von Microsoft Antimalware Service.
   • Das Windows Update Verlaufsprotokoll.
   • Alle Microsoft Antimalware-Dienstereignisse aus dem Systemereignisprotokoll.
   • Alle relevanten Microsoft Antimalware-Dienstregistrierungsspeicherorte.
   • Die Protokolldatei von MpCmdRun.
   • Die Protokolldatei des Signaturupdatehilfstools.

   Kopieren Sie die .cab Dateien an einen Speicherort, auf den Microsoft-Support zugreifen kann (z. B. einen kennwortgeschützten OneDrive-Ordner).

Verwenden einer Gruppenrichtlinie, um anzugeben, wohin Diagnoseprotokolldateien kopiert werden

Sie können gruppenrichtlinien auf dem lokalen Gerät (registrierungsbasierte Einstellungen) oder im zentralen Speicher auf einem Domänencontroller verwenden, um anzugeben, wohin die Diagnoseprotokolldateien kopiert werden, nachdem sie auf dem lokalen Gerät generiert wurden. Durch festlegen des Speicherorts in der Gruppenrichtlinie entfällt die Notwendigkeit, die -SupportLogLocation Option im Befehl MpCmdRun zu verwenden, wie im vorherigen Abschnitt beschrieben.

Führen Sie die folgenden Schritte aus, um den SupportLogLocation-Wert in der Gruppenrichtlinie festzulegen:

1. Führen Sie einen der folgenden Schritte aus:

   • Gruppenrichtlinie auf dem lokalen Gerät: Öffnen Sie den Editor für lokale Gruppenrichtlinie. Zum Beispiel:
     1. Öffnen Sie das Startmenü , und geben Sie dann Gruppenrichtlinie ein.
     2. Klicken Sie mit der rechten Maustaste auf das Ergebnis Gruppenrichtlinie bearbeiten , und wählen Sie dann Als Administrator ausführen aus.
   • Gruppenrichtlinie für die Domäne: Öffnen Sie die Gruppenrichtlinie Management Console (GPMC) auf einem in die Domäne eingebundenen Gruppenrichtlinie-Verwaltungscomputer.
     1. Erweitern Sie in der GPMC-Konsolenstruktur Gruppenrichtlinie Objekte in der Gesamtstruktur und Domäne, die das gruppenrichtlinienobjekt enthält, das Sie bearbeiten möchten.
     2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und wählen Sie dann Bearbeiten aus.

2. Wechseln Sie in der Konsolenstruktur zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus.

   

3. Öffnen Sie im Detailbereich von Microsoft Defender Antivirusdie Option Verzeichnispfad zum Kopieren von Supportprotokolldateien mit einer der folgenden Methoden definieren:

   • Doppelklicken Sie auf die Einstellung.
   • Klicken Sie mit der rechten Maustaste auf die Einstellung, und wählen Sie dann Bearbeiten aus.
   • Wählen Sie die Einstellung und dann Aktion>Bearbeiten aus.

4. Konfigurieren Sie im geöffneten Fenster Verzeichnispfad zum Kopieren von Supportprotokolldateien definieren die folgenden Optionen:

   1. Wählen Sie Aktiviert aus.
   2. Abschnitt "Optionen": Geben Sie im Feld Verzeichnispfad zum Kopieren von Supportprotokolldateien definieren einen Pfadwert ein.

   

   Wenn Sie im Fenster Verzeichnispfad zum Kopieren von Supportprotokolldateien definieren fertig sind, wählen Sie OK aus.

Siehe auch

• Problembehandlung bei Microsoft Defender Antivirusberichten
• Leistungsanalyse für Microsoft Defender Antivirus