Windows 上的 NSX 客户机侦测平台瘦代理日志

瘦代理安装在虚拟机客户机操作系统上，可以检测用户活动详细信息。

日志路径和示例消息

瘦代理由 GI 驱动程序组成 - vsepflt.sys、vnetwfp.sys（Windows 10 和更高版本）。

瘦代理日志位于 ESXi 主机上，它是 vCenter 日志包的一部分。日志路径是 /vmfs/volumes/<datastore>/<vmname>/vmware.log。例如：/vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

瘦代理消息采用以下格式：<timestamp> <VM Name><Process Name><[PID]>: <message>。

在下面的日志示例中，Guest: vnet or Guest:vsep 指示与相应的 GI 驱动程序相关的日志消息，后跟调试消息。

例如：

2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

启用 NSX 客户机侦测平台瘦代理驱动程序日志记录

由于调试设置可能会导致 vmware.log 文件填满而对其进行限制，因此，我们建议您在收集所需的所有信息后立即禁用调试模式。

该过程要求您修改 Windows 注册表。在修改注册表之前，请确保创建注册表的备份。有关备份和还原注册表的详细信息，请参见 Microsoft 知识库文章 136393。

单击开始 > 运行。输入 regedit，然后单击确定。将打开“注册表编辑器”窗口。有关详细信息，请参见 Microsoft 知识库文章 256986。
使用注册表编辑器创建以下项：HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters。
在新创建的参数项下面，创建以下 DWORD。在输入这些值时，请确保选择十六进制值：
```
Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10
```
log level 参数项的其他值：
```
Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10
```
以管理员身份打开命令提示符。运行以下命令以卸载并重新加载 NSX 端点文件系统小型驱动程序：
- fltmc unload vsepflt
- fltmc load vsepflt
您可以在位于虚拟机的 vmware.log 文件中找到这些日志条目。

启用 NSX 客户机侦测平台驱动程序日志记录

由于调试设置可能会导致 vmware.log 文件填满而对其进行限制，因此，我们建议您在收集所需的所有信息后立即禁用调试模式。

单击开始 > 运行。输入 regedit，然后单击确定。将打开“注册表编辑器”窗口。有关详细信息，请参见 Microsoft 知识库文章 256986。

编辑注册表：

Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001

重新引导虚拟机。

vsepflt.sys 日志文件位置

在使用 log_dest 注册表设置 DWORD: 0x00000001 时，端点瘦代理驱动程序将日志记录到调试程序中。运行调试程序（SysInternals 中的 DbgView 或 windbg）以捕获调试输出。

或者，您也可以将 log_dest 注册表设置设为 DWORD:0x000000002，在这种情况下，驱动程序日志将输出到 vmware.log 文件，该文件位于 ESXi 主机上的相应虚拟机文件夹中。

启用 UMC 日志记录

端点保护用户模式组件 (User Mode Component, UMC) 在保护的虚拟机上的 VMware Tools 服务中运行。

在 Windows XP 和 Windows Server 2003 上，创建一个 tools.config 文件（如果在以下路径中不存在）：C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf。
在 Windows Vista、Windows 7 和 Windows Server 2008 上，创建一个 tools.config 文件（如果在以下路径中不存在）：C:\ProgramData\VMWare\VMware Tools\tools.conf。
在 tools.conf 文件中添加以下行以启用 UMC 组件日志记录。
```
[logging]
log = true
vsep.level = debug
vsep.handler = vmx
```
在使用 vsep.handler = vmx 设置时，UMC 组件将日志记录到 vmware.log 文件中，该文件位于 ESXi 主机上的相应虚拟机文件夹中。

在使用以下设置时，将在指定的日志文件中输出 UMC 组件日志。
```
vsep.handler = file
vsep.data = c:/path/to/vsep.log
```

Windows 上的瘦代理故障排除

检查涉及的所有组件的兼容性。您需要提供 ESXi、vCenter Server、NSX Manager 和已选安全解决方案（例如 Trend Micro、McAfee、Kaspersky 或 Symantec）的内部版本号。在收集该数据后，您可以比较 vSphere 组件的兼容性。有关详细信息，请参见 VMware 产品互操作性列表。
确保 VMware Tools™ 是最新版本。如果您发现仅特定虚拟机受到影响，请参见在 vSphere 中安装和升级 VMware Tools (2004754)。
运行 Powershell 命令 fltmc，确认已加载瘦代理。
确认 vsepflt 已包含在驱动程序列表中。如果未加载驱动程序，请尝试使用 fltmc load vsepflt 命令加载驱动程序。
如果系统性能问题是由瘦代理造成的，请使用以下命令卸载该驱动程序：fltmc unload vsepflt。
接下来，执行测试以获取基准。然后，您可以运行以下命令以加载该驱动程序并再次执行测试：

fltmc load vsepflt。

如果确认瘦代理存在性能问题，请参见在 NSX 和 vCloud Networking and Security 中升级 VMware tools 后虚拟机速度缓慢 (2144236)。
如果未使用网络侦测，请移除或禁用该驱动程序。
也可以通过修改 VMware Tools 安装程序移除网络侦测：
1. 挂载 VMware Tools 安装程序。
2. 导航到控制面板 > 程序和功能。
3. 右键单击 VMware Tools > 修改。
4. 选择完整安装。
5. 找到 NSX 文件侦测。这其中包含网络侦测的一个子文件夹。
6. 禁用网络侦测。
7. 重新启动虚拟机以完成驱动程序卸载。
为瘦代理启用调试日志记录。所有调试信息配置为记录到该虚拟机的 vmware.log 文件中。
查看 procmon 日志以查看瘦代理的文件扫描。有关详细信息，请参见解决使用防病毒软件的 vShield Endpoint 的性能问题 (2094239)。

对 Windows 上的瘦代理崩溃进行故障排除

如果瘦代理崩溃，则会在 /directory 中生成核心文件。从 location/directory 中收集核心转储文件（核心）。