MS Defender - Test de performances

En cas de problèmes de performance sur un poste ou serveur, il est possible de démarrer un rapport d’analyse de performance pour comprendre d’où provient la lenteur dans l’antivirus.

2 étapes sont nécessaires

Enregistrement

Il faut enregistrer le fonctionnement et reproduire le comportement à analyser. Pour cela, il faut ouvrir une session PowerShell en administrateur et lancer la commande suivante :

New-MpPerformanceRecording -RecordTo c:\temp\record.etl

L’enregistrement débute et devra être stoppé après le test.

Une variante est possible pour les scripts sans interactions utilisateur en ajoutant le paramètre -Seconds pour indiquer le temps d’enregistrement.

Analyse

une fois enregistrement effectué, il est possible interroger le résultat avec la commande :

Get-MpPerformanceReport [-Path] <String> [-TopScans [<Int32>]] [-TopPaths [<Int32>] [-TopPathsDepth [<Int32>]]] [-TopScansPerPath [<Int32>]] [-TopFilesPerPath [<Int32>] [-TopScansPerFilePerPath [<Int32>]] ] [-TopExtensionsPerPath [<Int32>] [-TopScansPerExtensionPerPath [<Int32>]] ] [-TopProcessesPerPath [<Int32>] [-TopScansPerProcessPerPath [<Int32>]] ] ] [-TopFiles [<Int32>] [-TopScansPerFile [<Int32>]] [-TopProcessesPerFile [<Int32>] [-TopScansPerProcessPerFile [<Int32>]] ] ] [-TopExtensions [<Int32>] [-TopScansPerExtension [<Int32>] [-TopPathsPerExtension [<Int32>] [-TopPathsDepth [<Int32>]] [-TopScansPerPathPerExtension [<Int32>]] ] [-TopProcessesPerExtension [<Int32>] [-TopScansPerProcessPerExtension [<Int32>]] ] [-TopFilesPerExtension [<Int32>] [-TopScansPerFilePerExtension [<Int32>]] ] ] [-TopProcesses [<Int32>] [-TopScansPerProcess [<Int32>]] [-TopExtensionsPerProcess [<Int32>] [-TopScansPerExtensionPerProcess [<Int32>]] ] [-TopPathsPerProcess [<Int32>] [-TopPathsDepth [<Int32>]] [-TopScansPerPathPerProcess [<Int32>]] ] [-TopFilesPerProcess [<Int32>] [-TopScansPerFilePerProcess [<Int32>]] ] ] [-MinDuration <String>] [-Raw]

Exemples

Get-MpPerformanceReport -Path C:\temp\record.etl -TopFiles:10 -TopExtensions:10 -TopProcesses:10 -TopScans:10

La raison du scan est aussi indiquée. Par ex, User Skipped signifie une exclusion de l’AV.