瘦代理安装在虚拟机客户机操作系统上,可以检测用户登录详细信息。
日志路径和示例消息
瘦代理由 GI 驱动程序组成 - vsepflt.sys、vnetflt.sys、vnetwfp.sys(Windows 10 和更高版本)。
瘦代理日志位于 ESXi 主机上,它是 vCenter 日志包的一部分。日志路径是 /vmfs/volumes/<datastore>/<vmname>/vmware.log。例如:/vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log
瘦代理消息采用以下格式:<timestamp> <VM Name><Process Name><[PID]>: <message>。
在下面的日志示例中,Guest: vnet or Guest:vsep 指示与相应的 GI 驱动程序相关的日志消息,后跟调试消息。
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
启用 vShield Guest Introspection 瘦代理驱动程序日志记录
由于调试设置可能会导致 vmware.log 文件填满而对其进行限制,因此,我们建议您在收集所需的所有信息后立即禁用调试模式。
该过程要求您修改 Windows 注册表。在修改注册表之前,请确保创建注册表的备份。有关备份和还原注册表的详细信息,请参见 Microsoft 知识库文章 136393。
要为瘦代理驱动程序启用调试日志记录,请执行以下操作:
-
单击开始 > 运行 (Start > Run)。输入 regedit,然后单击确定 (OK)。将打开“注册表编辑器”窗口。有关详细信息,请参见 Microsoft 知识库文章 256986。
- 使用注册表编辑器创建以下项:HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters。
- 在新创建的参数项下面,创建以下 DWORD。在输入这些值时,请确保选择十六进制值:
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
log level 参数项的其他值:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
- 以管理员身份打开命令提示符。运行以下命令以卸载并重新加载 vShield Endpoint 文件系统小型驱动程序:
- fltmc unload vsepflt
- fltmc load vsepflt
您可以在位于虚拟机的 vmware.log 文件中找到这些日志条目。
启用 vShield GI 网络自检驱动程序日志记录
由于调试设置可能会导致 vmware.log 文件填满而对其进行限制,因此,我们建议您在收集所需的所有信息后立即禁用调试模式。
- 单击开始 > 运行 (Start > Run)。输入 regedit,然后单击确定 (OK)。将打开“注册表编辑器”窗口。有关详细信息,请参见 Microsoft 知识库文章 256986。
- 编辑注册表:
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetflt\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
- 重新引导虚拟机。
vsepflt.sys 和 vnetflt.sys 日志文件位置
在使用 log_dest 注册表设置 DWORD:0x00000001 时,Endpoint 瘦代理驱动程序将日志记录到调试程序中。运行调试程序(SysInternals 中的 DbgView 或 windbg)以捕获调试输出。
或者,您也可以将 log_dest 注册表设置设为 DWORD:0x000000002,在这种情况下,驱动程序日志将输出到 vmware.log 文件,该文件位于 ESXi 主机上的相应虚拟机文件夹中。
启用 UMC 日志记录
Guest Introspection 用户模式组件 (UMC) 在受保护的虚拟机上的 VMware Tools 服务中运行。
- 在 Windows XP 和 Windows Server 2003 上,创建一个 tools.config 文件(如果在以下路径中不存在):C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf。
- 在 Windows Vista、Windows 7 和 Windows Server 2008 上,创建一个 tools.config 文件(如果在以下路径中不存在):C:\ProgramData\VMWare\VMware Tools\tools.conf。
- 在 tools.conf 文件中添加以下行以启用 UMC 组件日志记录。
[logging] log = true vsep.level = debug vsep.handler = vmx
在使用 vsep.handler = vmx 设置时,UMC 组件将日志记录到 vmware.log 文件中,该文件位于 ESXi 主机上的相应虚拟机文件夹中。
在使用以下设置时,将在指定的日志文件中输出 UMC 组件日志。
vsep.handler = file vsep.data = c:/path/to/vsep.log