Kerää Microsoft Defender virustentorjunnan diagnostiikkatietoja

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business, Microsoft Defender for Individuals

Tässä artikkelissa kuvataan, miten kerätään diagnostiikkatietoja, jotka lähetetään Microsoftin tuki- ja suunnittelutiimeille, kun ne auttavat Microsoft Defender virustentorjuntaan liittyvien ongelmien vianmäärityksessä.

Huomautus

Osana tutkinta- tai vastausprosessia voit kerätä tutkimuspaketin laitteesta. Näin: Kerää tutkimuspaketti laitteista.

Jos haluat lisätietoja Microsoft Defender virustentorjuntaan liittyvistä suorituskykyongelmista, katso Microsoft Defender virustentorjuntaan liittyvä suorituskyvyn analysointi.

Vähintään kahdessa laitteessa, joissa on sama ongelma, luo diagnostiikkalokitiedostot seuraavien ohjeiden avulla:

  1. Avaa järjestelmänvalvojan oikeellinen komentokehote (komentokehoteikkuna, jonka avasit valitsemalla Suorita järjestelmänvalvojana). Esimerkki:

    1. Avaa Käynnistä-valikko ja kirjoita cmd.
    2. Napsauta komentokehotteen tulosta hiiren kakkospainikkeella ja valitse sitten Suorita järjestelmänvalvojana.

  2. Suorita järjestelmän laajennetussa komentokehotteessa jokin seuraavista vaiheista:

    • Tallenna diagnostiikan lokitiedostot paikalliseen laitteeseen: Suorita seuraavat komennot:

      Vihje

      Ensimmäinen komento muuttaa hakemiston haittaohjelmien torjuntaympäristön <uusimmaksi versioksi> kohteessa %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Jos polkua ei ole olemassa, se siirtyy kohteeseen %ProgramFiles%\Windows Defender.

      (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -GetFiles

      Diagnostiikkalokitiedostot luodaan, pakataan ja tallennetaan tiedostoon C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab oletusarvoisesti paikallisessa laitteessa.

      .cab tiedoston nimi on sama jokaisessa laitteessa.

    • Kopioi diagnostiikan lokitiedostot keskitettyyn sijaintiin: Jos haluat tallentaa diagnostiikkalokitiedostot useista laitteista yhteen paikkaan, käytä seuraavaa syntaksia:

      (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -GetFiles -SupportLogLocation <RootPath>

      Diagnostiikan lokitiedostot luodaan, pakataan ja tallennetaan tiedostoon C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab oletusarvoisesti. Mutta sitten .cab -tiedosto kopioidaan uudella nimellä arvon määrittämän <RootPath> sijainnin alikansioon (esimerkiksi P:\Data tai \\Server01\Data). Tuloksena saatavan .cab tiedoston tiedostonimi ja polku käyttävät seuraavaa syntaksia: <RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab.

      • <RootPath> on arvo, jonka määritit kohteelle -SupportLogLocation.
      • <MMDD> on kuukausi ja päivä, jolloin suoritit MpCmdRun-komennon (esimerkiksi 0318 18. maaliskuuta).
      • <Hostname> on sen laitteen nimi, jossa suoritit MpCmdRun-komennon (esimerkiksi LAPTOP01).
      • <HHMM> on UTC (Universal Coordinated Time) -aika, kun suoritit MpCmdRun-komennon (esimerkiksi 2221 22:21 UTC: lle).

    Huomautus

    Jos sinulla ei ole kirjoitusoikeuksia komennon määrittämään sijaintiin, diagnostiikkalokitiedostot tallennetaan edelleen oletussijaintiin C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab paikallisessa laitteessa. Viimeinen vaihe, jossa .cab tiedosto kopioidaan ja nimetään uudelleen polulle, -SupportLogLocation epäonnistuu.

    Tässä esimerkissä suoritit seuraavat komennot laitteessa nimeltä LAPTOP01 18. maaliskuuta klo 22.21 UTC:

    (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -GetFiles -SupportLogLocation "\\SERVER01\Data"

    Tuloksena oleva .cab-tiedosto on saatavilla osoitteessa \\SERVER01\Data\0318\MpSupport-LAPTOP01-2221.cab , ja se on taatusti ainutlaatuinen, vaikka suoritit MpCmdRun-komennon samana päivänä useilla laitteilla.

  3. Diagnostiikkalokitiedostot luodaan, pakataan ja tallennetaan muutaman minuutin kuluttua. Tuloksena saatava .cab sisältää seuraavat tiedot:

    • Microsoftin haittaohjelmien torjuntapalvelun jäljitystiedostot.
    • Windows Update historialoki.
    • Kaikki Microsoftin haittaohjelmien torjuntapalvelun tapahtumat järjestelmän tapahtumalokista.
    • Kaikki asianmukaiset Microsoftin haittaohjelmien torjuntapalvelun rekisterisijainnit.
    • MpCmdRun-lokitiedosto.
    • Allekirjoituspäivityksen aputyökalun lokitiedosto.

    Kopioi .cab tiedostot sijaintiin, johon Microsoftin tuki voi käyttää (esimerkiksi salasanalla suojattuUn OneDrive-kansioon).

Määritä diagnostiikkalokitiedostojen kopiointipaikka ryhmäkäytännön avulla

Voit käyttää ryhmäkäytäntöä paikallisessa laitteessa (rekisteripohjaiset asetukset) tai toimialueen ohjauskoneen Keskitetty säilö -kohdassa määrittääksesi, mihin diagnostiikkalokitiedostot kopioidaan sen jälkeen, kun ne on luotu paikallisessa laitteessa. Jos määrität sijainnin ryhmäkäytännössä, sinun ei tarvitse käyttää -SupportLogLocation MpCmdRun-komentoa edellisessä osiossa kuvatulla tavalla.

Jos haluat määrittää SupportLogLocation-arvon ryhmäkäytännössä, toimi seuraavasti:

  1. Toimi seuraavasti:

    • Paikallisen laitteen ryhmäkäytäntö: Avaa paikallinen ryhmäkäytäntö editori. Esimerkki:
      1. Avaa Käynnistä-valikko ja kirjoita ryhmäkäytäntö.
      2. Napsauta hiiren kakkospainikkeella Muokkaa ryhmäkäytäntöä -tulosta ja valitse sitten Suorita järjestelmänvalvojana.
    • Toimialueen ryhmäkäytäntö: Avaa toimialueeseen liitetyssä ryhmäkäytäntö hallintatietokoneessa ryhmäkäytäntö Management Console (GPMC).
      1. Laajenna GPMC-konsolipuussa ryhmäkäytäntö Objektit toimialuepuuryhmässä ja toimialueessa, joka sisältää muokattavan ryhmäkäytäntöobjektin.
      2. Napsauta GPO:ta hiiren kakkospainikkeella ja valitse sitten Muokkaa.

  2. Valitse konsolipuussa Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender virustentorjunta.

    Näyttökuva Local ryhmäkäytäntö Editorista, jossa Microsoft Defender virustentorjunta on valittuna konsolipuussa.

  3. Avaa Microsoft Defender virustentorjunnan tietoruudussa Määritä hakemistopolku, jos haluat kopioida tukilokitiedostot seuraavilla tavoilla:

    • Kaksoisnapsauta asetusta.
    • Napsauta asetusta hiiren kakkospainikkeella ja valitse sitten Muokkaa
    • Valitse asetus ja valitse sitten Muokkaa toimintoa>.

  4. Määritä avautuvassa Määritä hakemistopolku, jotta voit kopioida tukilokitiedostoja -ikkunassa seuraavat asetukset:

    1. Valitse Käytössä.
    2. Asetukset-osa : Kirjoita Määritä tukilokitiedostojen kopioimiseen haluamasi hakemistopolku -ruutuun polun arvo.

    Näyttökuva paikallisesta ryhmäkäytäntö editorista, jossa on valittuna Käytössä, ja Asetukset-osaan syötetty polkuarvo.

    Kun olet valmis Määritä hakemistopolku tukilokitiedostojen kopioimiseksi -ikkunassa, valitse OK.

Tutustu myös seuraaviin ohjeartikkeleihin:

  • Last updated on