Der Thin Agent ist auf dem VM-Gastbetriebssystem installiert und erkennt Anmeldedetails von Benutzern.
Protokollpfad und Beispielmeldung
Der Thin Agent besteht aus GI-Treibern – vsepflt.sys und vnetwfp.sys (Windows 10 und höher).
Die Thin Agent-Protokolle befinden sich als Teil des vCenter-Protokollpakets auf dem ESXi-Host. Der Protokollpfad lautet /vmfs/volumes/<datastore>/<vmname>/vmware.log Zum Beispiel: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log
Thin Agent-Meldungen weisen folgendes Format auf: <Zeitstempel> <VM name=""><Process name=""><[PID]>: <Meldung>.</[PID]>
Im Beispielprotokoll unter Guest: vnet or Guest:vsep werden Protokollmeldungen für die jeweiligen GI-Treiber angegeben, gefolgt von Debugging-Meldungen.
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
Aktivieren der vShield Guest Introspection Thin Agent-Treiber-Protokollierung
Weil die Debugging-Einstellung die Datei vmware.log so sehr überfüllen kann, dass es zu einer Drosselung kommt, empfehlen wir, den Debugging-Modus wieder zu deaktivieren, sobald Sie alle benötigten Daten erfasst haben.
Für dieses Verfahren müssen Sie die Windows-Registry ändern. Bevor Sie die Registry ändern, erstellen Sie eine Sicherungskopie. Weitere Informationen zum Sichern und Wiederherstellen der Registry finden Sie im Microsoft Knowledgebase-Artikel 136393.
So aktivieren Sie die Debugging-Protokollierung für den Thin Agent-Treiber:
-
Klicken Sie auf Start > Ausführen. Geben Sie „regedit“ ein und klicken Sie auf OK. Die Registry-Editor-Fenster wird geöffnet. Weitere Informationen finden Sie im Microsoft Knowledgebase-Artikel 256986.
- Erstellen Sie mit dem Registry-Editor diesen Schlüssel: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
- Erstellen Sie unter dem neu erstellten Parameterschlüssel diese DWORDs. Stellen Sie sicher, dass hexadezimal ausgewählt ist, wenn Sie diese Werten eingeben:
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
Andere Werte für den log level-Parameterschlüssel:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
- Öffnen Sie eine Eingabeaufforderung als Administrator. Führen Sie diese Befehle aus, um das Laden Minitreiber des vShield Endpoint-Dateisystems zu beenden und ihn dann erneut zu laden:
- fltmc unload vsepflt
- fltmc load vsepflt
Sie finden die Protokolleinträge in der vmware.log-Datei, die sich auf der virtuellen Maschine befindet.
Aktivieren der vShield GI Netzwerktreiber-Protokollierung
Weil die Debugging-Einstellung die Datei vmware.log so sehr überfüllen kann, dass es zu einer Drosselung kommt, empfehlen wir, den Debugging-Modus wieder zu deaktivieren, sobald Sie alle benötigten Daten erfasst haben.
- Klicken Sie auf Start > Ausführen. Geben Sie „regedit“ ein und klicken Sie auf OK. Die Registry-Editor-Fenster wird geöffnet. Weitere Informationen finden Sie im Microsoft Knowledgebase-Artikel 256986.
- So bearbeiten Sie die Registry:
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
- Starten Sie die virtuelle Maschine neu.
Speicherort der Protokolldatei vsepflt.sys
Mit den log_dest-Registry-Einstellungen DWORD: 0x00000001 meldet sich der Endpoint Thin Agent-Treiber beim Debugger an. Führen Sie den Debugger (DbgView von SysInternals oder windbg) aus, um die Debugging-Ausgabe zu erfassen.
Alternativ können Sie die log_dest-Registry-Einstellung auf DWORD:0x000000002 festlegen. Dann werden die Treiberprotokolle in der Datei vmware.log ausgegeben, die sich im entsprechenden VM-Ordner auf dem ESXi-Host befindet.
Aktivieren der UMC-Protokollierung
Die Benutzermodus-Komponente (UMC) des Endpoint-Schutzes wird im VMware Tools-Dienst in der geschützten virtuelle Maschine ausgeführt.
- Erstellen Sie unter Windows XP und Windows Server 2003 eine Tools-Config-Datei, wenn unter folgendem Pfad keine vorhanden ist: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\VMware\VMware Tools\tools.conf.
- Erstellen Sie unter Windows Vista, Windows 7 und Windows Server 2008 eine Tools-Config-Datei, wenn unter folgendem Pfad keine vorhanden ist: C:\ProgramData\VMWare\VMware Tools\tools.conf
- Fügen Sie diese Zeilen in der Datei tools.conf , um die UMC-Komponentenprotokollierung zu aktivieren.
[logging] log = true vsep.level = debug vsep.handler = vmx
Mit der Einstellung vsep.handler = vmx werden die Protokolle der UMC-Komponente in der Datei vmware.log ausgegeben, die sich im entsprechenden VM-Ordner auf dem ESXi-Host befindet.
Mit den folgenden Einstellungsprotokollen werden die Protokolle der UMC-Komponente in der angegebenen Protokolldatei ausgegeben.
vsep.handler = file vsep.data = c:/path/to/vsep.log