- SSSO 是一种工具,便于在单个界面中使用多个独立工具进行数据收集。SSSO 使用预定义的运行手册和触发器来自动收集。 有关详细信息,请参阅KB92519-自助服务可支持性 Orchestrator 数据收集工具.
AMTrace 是一种内部工具,用于收集来自AMCore (上次更新时间10月 11 2018 日的日志记录数据)。AMTrace 用于从以下来源AMCore 收集日志记录数据:- 准备
AMTrace :- 从本文的 "附件" 部分下载 zip 包
ENSDataCollect.zip 。 - 将内容解压缩到桌面。
- 从本文的 "附件" 部分下载 zip 包
- 运行
AMTrace :- 单击启动,请在搜索栏中键入
cmd.exe ,右键单击cmd.exe 列表,然后单击 "以 管理员身份运行"。 - 当您准备好开始跟踪时,请使用下面的命令。选项来要求相关的数据收集部分。
注意: 以下是文件位置的路径AMTrace.exe :C:\Users\username\Desktop\ENSDataCollect\AMTracex86 C:\Users\username\Desktop\ENSDataCollect\AMTracex64
AMTrace 命令。选项:- 要使用该
AMTrace onboot 选项,请运行以下命令。:
AMTrace.exe -b onboot -m 4GB
此命令。指示工具在 下一次引导时开始跟踪。
注意:- "GB"区分大小写。 此示例将日志大小限制为 4 GB。10 MB 是最小接受值,2 GB 为默认值(如果未指定)。
- 此选项不支持下面所述的备用日志记录模式。
- 要与now选项一起使用
AMTrace ,请运行以下命令。:
AMTrace.exe -b now -m 4GB
重要说明:AMTrace 现在使用的是滚动更新选项。此命令。指示工具 立即开始跟踪,并将日志大小限制为每个注意: "GB" 区分大小写。.etl 文件 4 GB。当日志大小达到 4 GB 时,将创建一个新的日志。 每个日志都附加了 _1、 _2等,直到您停止跟踪、用户注销或关闭系统为止。
- 要在没有滚动更新选项的
AMTrace 情况下 使用:为您要记录的问题选择适当的日志记录方法:
AMTrace.exe -b now -m 4GB -L stop
AMTrace.exe -b now -m 4GB -L circular
停止 模式会创建一个跟踪会话,该会话会在达到大小限制后停止日志记录。
循环模式会创建一个跟踪会话,用于记录单个文件。达到最大大小后,较早的事件将被覆盖。
注意: "L" 和 "GB" 区分大小写。
- 停止跟踪并保存日志。 请使用以下命令:
AMTrace -e
- 如果可能,
AMTrace 尝试自动重命名生成的 ETL 文件,以包括开始时间以及日志记录文件名的停止时间。例如,amtrace_20200704.010203-010305.etl 表示日志记录开始于2020-07-04 (7月4日,2020 1:02:03),并持续到1:03:05。
如果AMTrace 在日志记录停止时无法重命名文件,则仍可以使用其他AMTrace 命令。手动重命名文件:
AMTrace.exe --datestamp *.etl
此命令。接受通配符(* 或? ),以分别引用多个字符或单个字符。此命令用于重命名指定的文件或文件,以在文件名中包括开始和停止时间。 它不会影响已添加 datestamp 的文件。
- 单击启动,请在搜索栏中键入
AMTrace 是否正在进行,请运行以下命令。以列出所有活动跟踪:
AMTrace -q
有关如何使用此过程收集AMTrace 数据的演示,请查看以下视频:
- 准备
GFlags 允许您启用和禁用高级内部系统诊断和故障排除功能。您可以从命令。提示窗口运行GFlags 或使用其图形用户界面对话框。通常用于打开其他工具跟踪、计数和日志的指示符。- MER 会收集您计算机上安装的产品中的事件日志、文件版本详细信息、文件、进程详细信息和注册表详细信息。技术支持收集的数据解决问题。 有关详细信息,请参阅 KB59385-如何将 MER 工具与我们的产品配合使用。
- 进程监视器是一种Microsoft工具,可实时监控和显示 Windows 操作系统上的所有文件系统活动。 在系统管理、计算机鉴证和应用程序调试过程中使用该工具。 如何使用进程监视器:
- 准备进程监视器:
- 从 下载进程监视器进程监视器下载页面.
- 解压缩
Procmon.exe 到桌面。
- 运行进程监视器:
- 当您准备好启动进程监视器时,请使用下面的选项(相关的数据收集部分需要)。
- 要立即启动进程监视器,请:
- 自动运行
Procmon.exe; 它会启动以捕获进程信息。 - 要停止进程监视器,请按下 Ctrl+E 或单击文件并取消选择捕获事件. 再次按下 Ctrl+E 以恢复数据收集。
- 要保存日志,请依次单击 文件、 保存 ... (选择 所有事件 并使用本机 .pml 格式)。
- 自动运行
- 要在相关数据收集部分需要时启用进程监视器引导日志记录选项,请执行以下步骤:
- 打开 进程监视器 控制台。
- 点击选项.
- 点击启用引导日志记录.
- 在弹出窗口中单击确定。 下次重新启动时,会创建引导跟踪日志。
- 若要保存日志,请再次运行 进程监视器 ,然后单击文件,救。。。(选择所有事件并使用本地 PML 格式)。
- 要立即启动进程监视器,请:
- 当您准备好启动进程监视器时,请使用下面的选项(相关的数据收集部分需要)。
有关如何使用此过程收集进程监视器数据的演示,请查看以下视频:
- 准备进程监视器:
ProcDump 是一个命令。行实用工具,用于监控应用程序的 CPU 峰值。在管理员或开发人员可以使用的峰值期间,它会生成崩溃转储,以确定流量暴增的原因。PerfMon 是一个工具,管理员可以使用它来检查在其计算机上运行的程序如何影响计算机的性能。实时使用该工具分析运行程序对系统性能的影响。 您还可以使用此工具收集日志文件信息,以稍后进行系统性能数据分析。- PoolMon显示操作系统从已分页和非分页内核池以及用于 终端服务 会话的内存池上收集有关内存分配的数据。 PoolMon 根据池分配标记对数据进行分组。 Microsoft 技术支持该信息查找内核模式内存泄漏。
- VMware转换器是一个免费的 VMware 实用工具,可帮助将 Windows 和基于Linux的物理系统转换为VMware虚拟机。 您还可以使用它将第三方镜像格式(如备份映像和其他虚拟机)转换为VMware虚拟机。 使用此工具创建虚拟机,以提供技术支持故障排除工具。
- WinDbg 是适用于 Windows 操作系统的 Microsoft 分发的调试器。使用此工具调试内核模式下的用户模式应用程序、设备驱动程序和操作系统本身。 它具有图形用户界面,比 Visual Studio 调试器功能强大。
- Windows 性能记录器 (WPR)是一种性能记录工具来自 Microsoft 的,它基于 Windows 事件跟踪(ETW)。它可记录系统事件,然后您可以使用分析器 (WPA) Windows系统事件。 要使用 WPR,请执行以下步骤:
- 单击 启动,请在搜索栏中键入
cmd.exe ,右键单击cmd.exe 列表,然后单击 " 以管理员身份运行"。 - 键入
wprui.exe 并按 enter 以启动 WPR。- 有关Windows SDK,请参阅Windows SDK 下载页面.
- 有关 Windows 评估和部署工具包的详细内容,请参阅 Windows 评估和部署工具包下载页面。
- 根据下表中的建议,选择使用 性能方案 和其他设置:
性能问题性能方案详细信息级别日志记录模式
要包含的配置文件 迭代次数 引导或登录慢引导请参阅下文文件第一级分类、CPU 使用率、文件 I/O 活动、Minifilter I/O 活动 至少 1 高 CPU 使用率一般请参阅下文文件第一级分类、CPU 使用率、文件 I/O 活动、Minifilter I/O 活动 N/A 应用程序响应慢或无响应一般 请参阅下文 文件 第一级分类、CPU 使用率、文件 I/O 活动、Minifilter I/O 活动 N/A
使用 WPR 会对系统施加额外的压力,这可能会更改或掩盖您要调查的原始问题。收集两个具有不同详细信息级别的数据集。 使用光设置以显示问题,以及详细设置,以允许进行进一步分析的数据集。 捕获至少 30 秒。
如有可能,在您执行相同任务时收集没有问题的 WPR 日志,以用于创建目标。 数据集无 ENS 存在需要建立预期性能基准。
有关如何使用此过程收集 WPR 数据的演示,请查看以下视频:
- 单击 启动,请在搜索栏中键入
用于解决问题的最小Endpoint Security步骤
技术文章 ID:
KB86691
上次修改时间: 2023/01/3
上次修改时间: 2023/01/3
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
受影响的产品
- Diagnostic Data Collection
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Troubleshooting