Thin Agent está instalado en el SO invitado de la máquina virtual y detecta la información de la sesión del usuario.

Ruta de acceso a registros y mensaje de muestra

Thin Agent consta de controladores de GI: vsepflt.sys, vnetwfp.sys (Windows 10 y versiones posteriores).

Los registros de Thin Agent se encuentran en el host ESXi y forman parte del paquete de registros de vCenter. La ruta de acceso a los registros es /vmfs/volumes/<almacéndedatos>/<nombredemáquinavirtual>/vmware.log. Por ejemplo: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log.

Los mensajes de Thin Agent siguen el formato <marcadetiempo> <Nombre de máquina virtual><Nombre de proceso><[PID]>: <mensaje>.

En el ejemplo de registro que aparece a continuación, Guest: vnet or Guest:vsep indica los mensajes de registro relacionados con los respectivos controladores de GI, seguidos por los mensajes de depuración.

Por ejemplo:
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

Habilitar el registro de los controladores de Thin Agent de vShield Guest Introspection

Como la opción de depuración puede saturar el archivo vmware.log hasta el punto de reducir el flujo de tráfico, le recomendamos que deshabilite el modo de depuración tras recopilar toda la información necesaria.

Este procedimiento requiere que modifique el Registro de Windows. Antes de modificar el registro, realice una copia de seguridad de este. Para obtener más información sobre cómo realizar la copia de seguridad de registro y restablecerlo, consulte el artículo 136393 de Microsoft Knowledge Base.

Siga estos pasos para habilitar el registro de depuración del controlador de Thin Agent:

  1. Haga clic en Inicio > Ejecutar (Start > Run). Escriba regedit y haga clic en Aceptar (OK). Se abre la ventana Editor del Registro. Para obtener más información, consulte el artículo 256986 de Microsoft Knowledge Base.

  2. Cree esta clave con el Editor del Registro: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. En la clave de parámetros creada recientemente, cree estos DWORD. Asegúrese de que el formato hexadecimal esté seleccionado cuando introduzca estos valores:
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    Otros valores para la clave del parámetro log level:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. Abra un símbolo del sistema como administrador. Ejecute estos comandos para descargar y volver a cargar el minicontrolador del sistema de archivos de vShield Endpoint:
    • fltmc unload vsepflt
    • fltmc load vsepflt

    Puede encontrar las entradas de registro en el archivo vmware.log de la máquina virtual.

Habilitar el registro de los controladores de introspección de red de vShield GI

Como la opción de depuración puede saturar el archivo vmware.log hasta el punto de reducir el flujo de tráfico, le recomendamos que deshabilite el modo de depuración tras recopilar toda la información necesaria.

Este procedimiento requiere que modifique el Registro de Windows. Antes de modificar el registro, realice una copia de seguridad de este. Para obtener más información sobre cómo realizar la copia de seguridad de registro y restablecerlo, consulte el artículo 136393 de Microsoft Knowledge Base.
  1. Haga clic en Inicio > Ejecutar (Start > Run). Escriba regedit y haga clic en Aceptar (OK). Se abre la ventana Editor del Registro. Para obtener más información, consulte el artículo 256986 de Microsoft Knowledge Base.
  2. Editar el registro:
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 
  3. Reinicie la máquina virtual.

Ubicación del archivo de registro vsepflt.sys

Si se establece la configuración de registro log_dest en DWORD: 0x00000001, el controlador Thin Agent de Endpoint inicia sesión en el depurador. Ejecute el depurador (DbgView desde SysInternals o windbg) para capturar la salida del proceso.

También puede establecer la configuración de registro log_dest en DWORD:0x000000002. En este caso, los registros del controlador se escribirán en un archivo vmware.log, que se encuentra en la carpeta de la máquina virtual correspondiente del host ESXi.

Habilitar el registro UMC

El componente del modo de usuario (UMC) de la protección de endpoints se ejecuta en el servicio VMware Tools de la máquina virtual protegida.

  1. En Windows XP y Windows Server 2003, cree un archivo tools config si no existe en la siguiente ruta: C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf.
  2. En Windows Vista, Windows 7 y Windows Server 2008, cree un archivo tools config si no existe en la siguiente ruta: C:\ProgramData\VMWare\VMware Tools\tools.conf.
  3. Agregue estas líneas en el archivo tools.conf para habilitar el registro del componente UMC.
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    Con la opción vsep.handler = vmx, el componente UMC se registra en el archivo vmware.log , que se encuentra en la carpeta correspondiente de la máquina virtual del host ESXi.

    Con los siguientes registros de la configuración, los registros del componente UMC se escribirán en el archivo de registro especificado.

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log