Der Thin Agent ist auf dem VM-Gastbetriebssystem installiert und erkennt Aktivitätsdetails von Benutzern.

Protokollpfad und Beispielmeldung

Der Thin Agent besteht aus GI-Treibern – vsepflt.sys und vnetwfp.sys (Windows 10 und höher).

Die Thin Agent-Protokolle befinden sich als Teil des vCenter-Protokollpakets auf dem ESXi-Host. Der Protokollpfad lautet /vmfs/volumes/<datastore>/<vmname>/vmware.log Zum Beispiel: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

Thin Agent-Meldungen weisen folgendes Format auf: <Zeitstempel> <VM name=""><Process name=""><[PID]>: <Meldung>.</[PID]>

Im Beispielprotokoll unter Guest: vnet or Guest:vsep werden Protokollmeldungen für die jeweiligen GI-Treiber angegeben, gefolgt von Debugging-Meldungen.

Beispiel:
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

Aktivieren der Treiberprotokollierung für den NSX Guest Introspection-Plattform-Thin Agent.

Weil die Debugging-Einstellung die Datei vmware.log so sehr überfüllen kann, dass es zu einer Drosselung kommt, empfehlen wir, den Debugging-Modus wieder zu deaktivieren, sobald Sie alle benötigten Daten erfasst haben.

Für dieses Verfahren müssen Sie die Windows-Registry ändern. Bevor Sie die Registry ändern, erstellen Sie eine Sicherungskopie. Weitere Informationen zum Sichern und Wiederherstellen der Registry finden Sie im Microsoft Knowledgebase-Artikel 136393.

  1. Klicken Sie auf Start > Ausführen. Geben Sie „regedit“ ein und klicken Sie auf OK. Die Registry-Editor-Fenster wird geöffnet. Weitere Informationen finden Sie im Microsoft Knowledgebase-Artikel 256986.

  2. Erstellen Sie mit dem Registry-Editor diesen Schlüssel: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Erstellen Sie unter dem neu erstellten Parameterschlüssel diese DWORDs. Stellen Sie sicher, dass hexadezimal ausgewählt ist, wenn Sie diese Werten eingeben:
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    Andere Werte für den log level-Parameterschlüssel:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. Öffnen Sie eine Eingabeaufforderung als Administrator. Führen Sie diese Befehle aus, um das Laden der Minitreiber des NSX-Endpoint-Dateisystems zu beenden und ihn dann erneut zu laden:
    • fltmc unload vsepflt
    • fltmc load vsepflt

    Sie finden die Protokolleinträge in der vmware.log-Datei, die sich auf der virtuellen Maschine befindet.

Aktivieren der NSX Guest Introspection-Plattform-Treiberprotokollierung

Weil die Debugging-Einstellung die Datei vmware.log so sehr überfüllen kann, dass es zu einer Drosselung kommt, empfehlen wir, den Debugging-Modus wieder zu deaktivieren, sobald Sie alle benötigten Daten erfasst haben.

Für dieses Verfahren müssen Sie die Windows-Registry ändern. Bevor Sie die Registry ändern, erstellen Sie eine Sicherungskopie. Weitere Informationen zum Sichern und Wiederherstellen der Registry finden Sie im Microsoft Knowledgebase-Artikel 136393.
  1. Klicken Sie auf Start > Ausführen. Geben Sie „regedit“ ein und klicken Sie auf OK. Die Registry-Editor-Fenster wird geöffnet. Weitere Informationen finden Sie im Microsoft Knowledgebase-Artikel 256986.
  2. So bearbeiten Sie die Registry:
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 
  3. Starten Sie die virtuelle Maschine neu.

Speicherort der Protokolldatei vsepflt.sys

Mit den log_dest-Registry-Einstellungen DWORD: 0x00000001 meldet sich der Endpoint Thin Agent-Treiber beim Debugger an. Führen Sie den Debugger (DbgView von SysInternals oder windbg) aus, um die Debugging-Ausgabe zu erfassen.

Alternativ können Sie die log_dest-Registry-Einstellung auf DWORD:0x000000002 festlegen. Dann werden die Treiberprotokolle in der Datei vmware.log ausgegeben, die sich im entsprechenden VM-Ordner auf dem ESXi-Host befindet.

Aktivieren der UMC-Protokollierung

Die Benutzermodus-Komponente (UMC) des Endpoint-Schutzes wird im VMware Tools-Dienst in der geschützten virtuelle Maschine ausgeführt.

  1. Erstellen Sie unter Windows XP und Windows Server 2003 eine Tools-Config-Datei, wenn unter folgendem Pfad keine vorhanden ist: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\VMware\VMware Tools\tools.conf.
  2. Erstellen Sie unter Windows Vista, Windows 7 und Windows Server 2008 eine Tools-Config-Datei, wenn unter folgendem Pfad keine vorhanden ist: C:\ProgramData\VMWare\VMware Tools\tools.conf
  3. Fügen Sie diese Zeilen in der Datei tools.conf , um die UMC-Komponentenprotokollierung zu aktivieren.
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    Mit der Einstellung vsep.handler = vmx werden die Protokolle der UMC-Komponente in der Datei vmware.log ausgegeben, die sich im entsprechenden VM-Ordner auf dem ESXi-Host befindet.

    Mit den folgenden Einstellungsprotokollen werden die Protokolle der UMC-Komponente in der angegebenen Protokolldatei ausgegeben.

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log

Fehlerbehebung beim Thin-Agent unter Windows

  1. Überprüfen Sie die Kompatibilität der beteiligten Komponenten. Sie benötigen die Build-Nummern für ESXi, vCenter Server, NSX Manager und die von Ihnen ausgewählte Sicherheitslösung (z. B. Trend Micro, McAfee, Kaspersky oder Symantec). Wenn Ihnen diese Daten vorliegen, vergleichen Sie die Kompatibilität der vSphere-Komponenten. Weitere Informationen finden Sie unter VMware-Produktkompatibilitätsmatrix.
  2. Stellen Sie sicher, dass VMware Tools™ auf dem neuesten Stand ist. Wenn Sie feststellen, dass nur eine bestimmte virtuelle Maschine betroffen ist, finden Sie weitere Informationen unter Installieren und Aktualisieren von VMware Tools in vSphere (2004754).
  3. Stellen Sie mit dem Powershell-Befehl fltmc sicher, dass der Thin Agent geladen wurde.

    Stellen Sie sicher, dass „vsepflt“ in der Treiberliste enthalten ist. Wenn der Treiber nicht geladen wird, versuchen Sie, den Treiber mit dem fltmc load vsepflt-Befehl zu laden.

  4. Wenn der Thin Agent ein Leistungsproblem im System verursacht, halten Sie das Laden des Treibers mit diesem Befehl an: fltmc unload vsepflt.

  5. Führen Sie anschließend einen Test durch, um eine Baseline zu erhalten. Anschließend können Sie den Treiber laden und einen weiteren Test mit folgendem Befehl ausführen:

    fltmc load vsepflt.

    Wenn Sie feststellen, dass ein Leistungsproblem beim Thin Agent vorliegt, finden Sie weitere Informationen unter Langsame VMs nach dem Upgrade von VMware-Tools in NSX und vCloud Networking and Security (2144236).

  6. Wenn Sie Network Introspection nicht verwenden, entfernen oder deaktivieren Sie diesen Treiber.

    Sie können Network Introspection auch über das Installationsprogramm „Modify VMware Tools“ entfernen:
    1. Stellen Sie das VMware Tools-Installationsprogramm bereit.
    2. Navigieren Sie zu Steuerungsbereich > Programme und Funktionen.
    3. Klicken Sie mit der rechten Maustaste auf VMware Tools > Ändern.
    4. Wählen Sie Vollständige Installation aus.
    5. Suchen Sie NSX File Introspection. Dort ist ein Unterordner für Network Introspection enthalten.
    6. Deaktivieren Sie Network Introspection.
    7. Starten Sie die VM neu, um die Deinstallation des Treibers abzuschließen.
  7. Aktivieren Sie die Debugging-Protokollierung für den Thin Agent. Alle Debugging-Informationen werden in der Datei vmware.log für diese virtuelle Maschine protokolliert.
  8. Anhand der Procmon-Protokolle können Sie die Dateiprüfungen des Thin Agent überprüfen. Weitere Informationen finden Sie unter Fehlerbehebung bei vShield Endpoint-Leistungsproblemen mit Antivirus-Software (2094239).

Fehlerbehebung bei Thin Agent-Abstürzen auf Windows

Wenn der Thin Agent abstürzt, wird die Core-Datei im /Verzeichnis erstellt. Rufen Sie die Core-Dump-Datei (Core) vom Speicherort/Verzeichnis ab.