Thin Agent está instalado en el SO invitado de la máquina virtual y detecta la información de la actividad del usuario.
Ruta de acceso a registros y mensaje de muestra
Thin Agent consta de controladores de GI: vsepflt.sys, vnetwfp.sys (Windows 10 y versiones posteriores).
Los registros de Thin Agent se encuentran en el host ESXi y forman parte del paquete de registros de vCenter. La ruta de acceso a los registros es /vmfs/volumes/<almacéndedatos>/<nombredemáquinavirtual>/vmware.log. Por ejemplo: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log.
Los mensajes de Thin Agent siguen el formato <marcadetiempo> <Nombre de máquina virtual><Nombre de proceso><[PID]>: <mensaje>.
En el ejemplo de registro que aparece a continuación, Guest: vnet or Guest:vsep indica los mensajes de registro relacionados con los respectivos controladores de GI, seguidos por los mensajes de depuración.
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
Habilitar el registro de controladores de Thin Agent de Plataforma NSX Guest Introspection
Como la opción de depuración puede saturar el archivo vmware.log hasta el punto de reducir el flujo de tráfico, le recomendamos que deshabilite el modo de depuración tras recopilar toda la información necesaria.
Este procedimiento requiere que modifique el Registro de Windows. Antes de modificar el registro, realice una copia de seguridad de este. Para obtener más información sobre cómo realizar la copia de seguridad de registro y restablecerlo, consulte el artículo 136393 de Microsoft Knowledge Base.
-
Haga clic en Inicio > Ejecutar (Start > Run). Escriba regedit y haga clic en Aceptar (OK). Se abre la ventana Editor del Registro. Para obtener más información, consulte el artículo 256986 de Microsoft Knowledge Base.
- Cree esta clave con el Editor del Registro: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
- En la clave de parámetros creada recientemente, cree estos DWORD. Asegúrese de que el formato hexadecimal esté seleccionado cuando introduzca estos valores:
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
Otros valores para la clave del parámetro log level:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
- Abra un símbolo del sistema como administrador. Ejecute estos comandos para descargar y volver a cargar el minicontrolador del sistema de archivos de NSX Endpoint:
- fltmc unload vsepflt
- fltmc load vsepflt
Puede encontrar las entradas de registro en el archivo vmware.log de la máquina virtual.
Habilitar el registro de los controladores de Plataforma NSX Guest Introspection
Como la opción de depuración puede saturar el archivo vmware.log hasta el punto de reducir el flujo de tráfico, le recomendamos que deshabilite el modo de depuración tras recopilar toda la información necesaria.
- Haga clic en Inicio > Ejecutar (Start > Run). Escriba regedit y haga clic en Aceptar (OK). Se abre la ventana Editor del Registro. Para obtener más información, consulte el artículo 256986 de Microsoft Knowledge Base.
- Editar el registro:
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
- Reinicie la máquina virtual.
Ubicación del archivo de registro vsepflt.sys
Si se establece la configuración de registro log_dest en DWORD: 0x00000001, el controlador Thin Agent de Endpoint inicia sesión en el depurador. Ejecute el depurador (DbgView desde SysInternals o windbg) para capturar la salida del proceso.
También puede establecer la configuración de registro log_dest en DWORD:0x000000002. En este caso, los registros del controlador se escribirán en un archivo vmware.log, que se encuentra en la carpeta de la máquina virtual correspondiente del host ESXi.
Habilitar el registro UMC
El componente del modo de usuario (UMC) de la protección de endpoints se ejecuta en el servicio VMware Tools de la máquina virtual protegida.
- En Windows XP y Windows Server 2003, cree un archivo tools config si no existe en la siguiente ruta: C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf.
- En Windows Vista, Windows 7 y Windows Server 2008, cree un archivo tools config si no existe en la siguiente ruta: C:\ProgramData\VMWare\VMware Tools\tools.conf.
- Agregue estas líneas en el archivo tools.conf para habilitar el registro del componente UMC.
[logging] log = true vsep.level = debug vsep.handler = vmx
Con la opción vsep.handler = vmx, el componente UMC se registra en el archivo vmware.log , que se encuentra en la carpeta correspondiente de la máquina virtual del host ESXi.
Con los siguientes registros de la configuración, los registros del componente UMC se escribirán en el archivo de registro especificado.
vsep.handler = file vsep.data = c:/path/to/vsep.log
Solucionar problemas de Thin Agent en Windows
- Compruebe la compatibilidad de todos los componentes involucrados. Necesita los números de compilación de ESXi, vCenter Server, NSX Manager y la solución de seguridad que seleccionó (por ejemplo,Trend Micro, McAfee, Kaspersky o Symantec). Después de recopilar estos datos, puede comparar la compatibilidad de los componentes de vSphere. Para obtener más información, consulte las Matrices de interoperabilidad de productos de VMware.
- Asegúrese de que la utilidad VMware Tools™ esté actualizada. Si observa que únicamente está afectada una máquina virtual en particular, consulte el artículo 2004754 sobre cómo instalar y actualizar VMware Tools en vSphere.
- Verifique que Thin Agent se carga al ejecutar el comando fltmc de PowerShell.
Verifique que vsepflt se incluya en la lista de controladores. Si el controlador no se carga, intente cargar el controlador con el comando fltmc load vsepflt.
-
Si Thin Agent está causando un problema de rendimiento en el sistema, descargue el controlador con este comando: fltmc unload vsepflt.
-
A continuación, realice una prueba para obtener un valor de referencia. Luego puede cargar el controlador y realizar otra prueba con este comando:
fltmc load vsepflt.
Si existe un problema de rendimiento con Thin Agent, consulte el artículo 2144236 sobre máquinas virtuales lentas tras actualizar VMware Tools en NSX y vCloud Networking and Security.
-
Si no está utilizando la introspección de red, elimine o deshabilite este controlador.
También la puede eliminar mediante el instalador para modificar VMware Tools:- Monte el instalador de VMware Tools.
- Acceda a Panel de control > Programas y características.
- Haga clic con el botón secundario en VMware Tools > Cambiar.
- Seleccione Instalación completa.
- Busque la introspección de archivos de NSX. Esta contiene una subcarpeta para la introspección de red.
- Deshabilite Introspección de red (Network Introspection).
- Reinicie la máquina virtual para completar la desinstalación del controlador.
- Habilite el registro de depuración de Thin Agent. Toda la información de depuración está configurada para que se registre en el archivo vmware.log de esa máquina virtual.
- Revise los análisis de los archivos de Thin Agent consultando los registros procmon. Para obtener más información, consulte el artículo 2094239 sobre cómo solucionar problemas de rendimiento de vShield Endpoint con un software antivirus.
Solucionar bloqueos de Thin Agent en Windows
Si se bloquea Thin Agent, se genera el archivo de núcleo en /directory. Recopile el archivo (núcleo) del volcado de núcleo de location / directory.
