Der Thin Agent ist auf dem VM-Gastbetriebssystem installiert und erkennt Anmeldedetails von Benutzern.

Protokollpfad und Beispielmeldung

Der Thin Agent besteht aus GI-Treibern – vsepflt.sys und vnetwfp.sys (Windows 10 und höher).

Die Thin Agent-Protokolle befinden sich als Teil des vCenter-Protokollpakets auf dem ESXi-Host. Der Protokollpfad lautet /vmfs/volumes/<datastore>/<vmname>/vmware.log Zum Beispiel: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

Thin Agent-Meldungen weisen folgendes Format auf: <Zeitstempel> <VM name=""><Process name=""><[PID]>: <Meldung>.</[PID]>

Im Beispielprotokoll unter Guest: vnet or Guest:vsep werden Protokollmeldungen für die jeweiligen GI-Treiber angegeben, gefolgt von Debugging-Meldungen.

Beispiel:
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

Aktivieren der vShield Guest Introspection Thin Agent-Treiber-Protokollierung

Weil die Debugging-Einstellung die Datei vmware.log so sehr überfüllen kann, dass es zu einer Drosselung kommt, empfehlen wir, den Debugging-Modus wieder zu deaktivieren, sobald Sie alle benötigten Daten erfasst haben.

Für dieses Verfahren müssen Sie die Windows-Registry ändern. Bevor Sie die Registry ändern, erstellen Sie eine Sicherungskopie. Weitere Informationen zum Sichern und Wiederherstellen der Registry finden Sie im Microsoft Knowledgebase-Artikel 136393.

So aktivieren Sie die Debugging-Protokollierung für den Thin Agent-Treiber:

  1. Klicken Sie auf Start > Ausführen. Geben Sie „regedit“ ein und klicken Sie auf OK. Die Registry-Editor-Fenster wird geöffnet. Weitere Informationen finden Sie im Microsoft Knowledgebase-Artikel 256986.

  2. Erstellen Sie mit dem Registry-Editor diesen Schlüssel: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Erstellen Sie unter dem neu erstellten Parameterschlüssel diese DWORDs. Stellen Sie sicher, dass hexadezimal ausgewählt ist, wenn Sie diese Werten eingeben:
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    Andere Werte für den log level-Parameterschlüssel:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. Öffnen Sie eine Eingabeaufforderung als Administrator. Führen Sie diese Befehle aus, um das Laden Minitreiber des vShield Endpoint-Dateisystems zu beenden und ihn dann erneut zu laden:
    • fltmc unload vsepflt
    • fltmc load vsepflt

    Sie finden die Protokolleinträge in der vmware.log-Datei, die sich auf der virtuellen Maschine befindet.

Aktivieren der vShield GI Netzwerktreiber-Protokollierung

Weil die Debugging-Einstellung die Datei vmware.log so sehr überfüllen kann, dass es zu einer Drosselung kommt, empfehlen wir, den Debugging-Modus wieder zu deaktivieren, sobald Sie alle benötigten Daten erfasst haben.

Für dieses Verfahren müssen Sie die Windows-Registry ändern. Bevor Sie die Registry ändern, erstellen Sie eine Sicherungskopie. Weitere Informationen zum Sichern und Wiederherstellen der Registry finden Sie im Microsoft Knowledgebase-Artikel 136393.
  1. Klicken Sie auf Start > Ausführen. Geben Sie „regedit“ ein und klicken Sie auf OK. Die Registry-Editor-Fenster wird geöffnet. Weitere Informationen finden Sie im Microsoft Knowledgebase-Artikel 256986.
  2. So bearbeiten Sie die Registry:
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 
  3. Starten Sie die virtuelle Maschine neu.

Speicherort der Protokolldatei vsepflt.sys

Mit den log_dest-Registry-Einstellungen DWORD: 0x00000001 meldet sich der Endpoint Thin Agent-Treiber beim Debugger an. Führen Sie den Debugger (DbgView von SysInternals oder windbg) aus, um die Debugging-Ausgabe zu erfassen.

Alternativ können Sie die log_dest-Registry-Einstellung auf DWORD:0x000000002 festlegen. Dann werden die Treiberprotokolle in der Datei vmware.log ausgegeben, die sich im entsprechenden VM-Ordner auf dem ESXi-Host befindet.

Aktivieren der UMC-Protokollierung

Die Benutzermodus-Komponente (UMC) des Endpoint-Schutzes wird im VMware Tools-Dienst in der geschützten virtuelle Maschine ausgeführt.

  1. Erstellen Sie unter Windows XP und Windows Server 2003 eine Tools-Config-Datei, wenn unter folgendem Pfad keine vorhanden ist: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\VMware\VMware Tools\tools.conf.
  2. Erstellen Sie unter Windows Vista, Windows 7 und Windows Server 2008 eine Tools-Config-Datei, wenn unter folgendem Pfad keine vorhanden ist: C:\ProgramData\VMWare\VMware Tools\tools.conf
  3. Fügen Sie diese Zeilen in der Datei tools.conf , um die UMC-Komponentenprotokollierung zu aktivieren.
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    Mit der Einstellung vsep.handler = vmx werden die Protokolle der UMC-Komponente in der Datei vmware.log ausgegeben, die sich im entsprechenden VM-Ordner auf dem ESXi-Host befindet.

    Mit den folgenden Einstellungsprotokollen werden die Protokolle der UMC-Komponente in der angegebenen Protokolldatei ausgegeben.

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log