Der Thin Agent wird auf dem VM-Gastbetriebssystem installiert und fängt verschiedene Arten von E/A-Aktivitäten ab, einschließlich Dateien, Netzwerken, Prozessen usw.

Protokollpfad und Beispielmeldung

Der Thin Agent besteht aus NSX Guest Introspection-Treibern – vsepflt.sys, vnetwfp.sys.

Die Thin Agent-Protokolle werden als Teil des vCenter-Protokollpakets auf den ESXi-Host verschoben. Der Protokollpfad lautet /vmfs/volumes/<datastore>/<vmname>/vmware.log Zum Beispiel: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

Thin Agent-Meldungen weisen folgendes Format auf: <Zeitstempel> <VM name=""><Process name=""><[PID]>: <Meldung>.</[PID]>

Im Beispielprotokoll unter Guest: vnet or Guest:vsep werden Protokollmeldungen für die jeweiligen GI-Treiber angegeben, gefolgt von Debugging-Meldungen.

Beispiel: 
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

Aktivieren von NSX Datei-Introspektion-Treiberprotokollen

Weil die Debugging-Einstellung die Datei vmware.log so sehr überfüllen kann, dass es zu einer Drosselung kommt, empfehlen wir, den Debugging-Modus wieder zu deaktivieren, sobald Sie alle benötigten Daten erfasst haben.

Für dieses Verfahren müssen Sie die Windows-Registry ändern. Bevor Sie die Registry ändern, erstellen Sie eine Sicherungskopie. Weitere Informationen zum Sichern und Wiederherstellen der Registry finden Sie im Microsoft Knowledgebase-Artikel 136393.

  1. Klicken Sie auf Start > Ausführen. Geben Sie „regedit“ ein und klicken Sie auf OK. Die Registry-Editor-Fenster wird geöffnet. Weitere Informationen finden Sie im Microsoft Knowledgebase-Artikel 256986.

  2. Erstellen Sie mit dem Registry-Editor diesen Schlüssel: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Erstellen Sie unter dem neu erstellten Parameterschlüssel diese DWORDs. Stellen Sie sicher, dass hexadezimal ausgewählt ist, wenn Sie diese Werten eingeben: 
    Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10

    Andere Werte für den log level-Parameterschlüssel: 

    Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10

  4. Wenn Sie den Datei-Introspektion-Treiber neu starten müssen, öffnen Sie als Administrator eine Eingabeaufforderung. Führen Sie diese Befehle aus, um das Laden der Minitreiber des NSX-Endpoint-Dateisystems zu beenden und ihn dann erneut zu laden:

    • fltmc unload vsepflt
    • fltmc load vsepflt

    Sie finden die Protokolleinträge in der vmware.log-Datei, die sich auf der virtuellen Maschine befindet.

Aktivieren von NSX Netzwerk-Introspektion-Treiberprotokollen

Weil die Debugging-Einstellung die Datei vmware.log so sehr überfüllen kann, dass es zu einer Drosselung kommt, empfehlen wir, den Debugging-Modus wieder zu deaktivieren, sobald Sie alle benötigten Daten erfasst haben.

Für dieses Verfahren müssen Sie die Windows-Registry ändern. Bevor Sie die Registry ändern, erstellen Sie eine Sicherungskopie. Weitere Informationen zum Sichern und Wiederherstellen der Registry finden Sie im Microsoft Knowledgebase-Artikel 136393.
  1. Klicken Sie auf Start > Ausführen. Geben Sie „regedit“ ein und klicken Sie auf OK. Die Registry-Editor-Fenster wird geöffnet. Weitere Informationen finden Sie im Microsoft Knowledgebase-Artikel 256986.
  2. So bearbeiten Sie die Registry: 
    Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001

Mit den log_dest-Registry-Einstellungen DWORD: 0x00000001 leitet der Endpoint Thin Agent-Treiber die Protokolle an den Debugger weiter. Führen Sie den Debugger (DbgView von SysInternals oder windbg) aus, um die Debugging-Ausgabe zu erfassen.

Alternativ können Sie die log_dest-Registry-Einstellung auf DWORD:0x000000002 festlegen. Dann werden die Treiberprotokolle in der Datei vmware.log ausgegeben, die sich im entsprechenden VM-Ordner auf dem ESXi-Host befindet.

Aktivieren der UMC-Protokollierung

Die Benutzermodus-Komponente (UMC) des Endpoint-Schutzes wird im VMware Tools-Dienst in der geschützten virtuelle Maschine ausgeführt.

  1. Erstellen Sie unter Windows VM eine Tools-Config-Datei, wenn unter folgendem Pfad keine vorhanden ist: C:\ProgramData\VMWare\VMware Tools\tools.conf

  2. Fügen Sie diese Zeilen in der Datei tools.conf , um die UMC-Komponentenprotokollierung zu aktivieren. 
    [logging]
log = true
vsep.level = debug
vsep.handler = vmx

    Mit der Einstellung vsep.handler = vmx werden die Protokolle der UMC-Komponente in der Datei vmware.log ausgegeben, die sich im entsprechenden VM-Ordner auf dem ESXi-Host befindet.

    Mit den folgenden Einstellungsprotokollen werden die Protokolle der UMC-Komponente in der angegebenen Protokolldatei ausgegeben. 

    vsep.handler = file
vsep.data = c:/path/to/vsep.log

Fehlerbehebung beim Thin-Agent unter Windows

  1. Überprüfen Sie die Kompatibilität der beteiligten Komponenten. Sie benötigen die Build-Nummern für ESXi, vCenter Server, NSX Manager und die von Ihnen ausgewählte Sicherheitslösung (z. B. Trend Micro, McAfee, Kaspersky oder Symantec). Wenn Ihnen diese Daten vorliegen, vergleichen Sie die Kompatibilität der vSphere-Komponenten. Weitere Informationen finden Sie unter VMware-Produktkompatibilitätsmatrix.
  2. Stellen Sie sicher, dass VMware Tools™ auf dem neuesten Stand ist. Wenn Sie feststellen, dass nur eine bestimmte virtuelle Maschine betroffen ist, finden Sie weitere Informationen unter Installieren und Aktualisieren von VMware Tools in vSphere (2004754).
  3. Stellen Sie mit dem Powershell-Befehl fltmc sicher, dass der Thin Agent geladen wurde.

    Stellen Sie sicher, dass „vsepflt“ in der Treiberliste enthalten ist. Wenn der Treiber nicht geladen wird, versuchen Sie, den Treiber mit dem fltmc load vsepflt-Befehl zu laden.

  4. Wenn der Thin Agent ein Leistungsproblem im System verursacht, halten Sie das Laden des Treibers mit diesem Befehl an: fltmc unload vsepflt.

  5. Wenn Sie Network Introspection nicht verwenden, entfernen oder deaktivieren Sie diesen Treiber.

    Sie können Network Introspection auch über das Installationsprogramm „Modify VMware Tools“ entfernen:
    1. Stellen Sie das VMware Tools-Installationsprogramm bereit.
    2. Navigieren Sie zu Steuerungsbereich > Programme und Funktionen.
    3. Klicken Sie mit der rechten Maustaste auf VMware Tools > Ändern.
    4. Wählen Sie Vollständige Installation aus.
    5. Suchen Sie NSX File Introspection. Dort ist ein Unterordner für Network Introspection enthalten.
    6. Deaktivieren Sie Network Introspection.
    7. Starten Sie die VM neu, um die Deinstallation des Treibers abzuschließen.
  6. Aktivieren Sie die Debugging-Protokollierung für den Thin Agent. Alle Debugging-Informationen werden in der Datei vmware.log für diese virtuelle Maschine protokolliert.
  7. Anhand der Procmon-Protokolle können Sie die Dateiprüfungen des Thin Agent überprüfen. Weitere Informationen finden Sie unter Fehlerbehebung bei vShield Endpoint-Leistungsproblemen mit Antivirus-Software (2094239).

Fehlerbehebung bei Thin Agent-Abstürzen auf Windows

Wenn die Komponenten des Thin Agent-Kernelmodus abstürzen, wird das Speicherabbild in /%systemroot%\MEMORY.DM generiert.