Thin Agent se instala en el sistema operativo invitado de la máquina virtual e intercepta varios tipos de actividad de E/S que incluyen archivos, redes, procesos, etc.
Ruta de acceso a registros y mensaje de muestra
Thin Agent consta de controladores de NSX Guest Introspection: vsepflt.sys, vnetwfp.sys.
Los registros de Thin Agent se insertan en el host ESXi y forman parte del paquete de registros de vCenter. La ruta de acceso a los registros es /vmfs/volumes/<almacéndedatos>/<nombredemáquinavirtual>/vmware.log. Por ejemplo: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log.
Los mensajes de Thin Agent siguen el formato <marcadetiempo> <Nombre de máquina virtual><Nombre de proceso><[PID]>: <mensaje>.
En el ejemplo de registro que aparece a continuación, Guest: vnet or Guest:vsep indica los mensajes de registro relacionados con los respectivos controladores de GI, seguidos por los mensajes de depuración.
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
Habilitar registros del controlador de Introspección de archivos de NSX
Como la opción de depuración puede saturar el archivo vmware.log hasta el punto de reducir el flujo de tráfico, le recomendamos que deshabilite el modo de depuración tras recopilar toda la información necesaria.
Este procedimiento requiere que modifique el Registro de Windows. Antes de modificar el registro, realice una copia de seguridad de este. Para obtener más información sobre cómo realizar la copia de seguridad de registro y restablecerlo, consulte el artículo 136393 de Microsoft Knowledge Base.
Haga clic en Inicio > Ejecutar (Start > Run). Escriba regedit y haga clic en Aceptar (OK). Se abre la ventana Editor del Registro. Para obtener más información, consulte el artículo 256986 de Microsoft Knowledge Base.
- Cree esta clave con el Editor del Registro: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
- En la clave de parámetros creada recientemente, cree estos DWORD. Asegúrese de que el formato hexadecimal esté seleccionado cuando introduzca estos valores:
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
Otros valores para la clave del parámetro log level:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
Si necesita reiniciar el controlador de Introspección de archivos, abra la aplicación de línea de comandos como administrador. Ejecute estos comandos para descargar y volver a cargar el minicontrolador del sistema de archivos de NSX Endpoint:
- fltmc unload vsepflt
- fltmc load vsepflt
Puede encontrar las entradas de registro en el archivo vmware.log de la máquina virtual.
Habilitar registros de controladores de Introspección de red de NSX
Como la opción de depuración puede saturar el archivo vmware.log hasta el punto de reducir el flujo de tráfico, le recomendamos que deshabilite el modo de depuración tras recopilar toda la información necesaria.
- Haga clic en Inicio > Ejecutar (Start > Run). Escriba regedit y haga clic en Aceptar (OK). Se abre la ventana Editor del Registro. Para obtener más información, consulte el artículo 256986 de Microsoft Knowledge Base.
- Editar el registro:
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
Si se establece la configuración de registro log_dest en DWORD: 0x00000001, los registros del controlador del Thin Agent del endpoint que reenvían los registros al depurador. Ejecute el depurador (DbgView desde SysInternals o windbg) para capturar la salida del proceso.
También puede establecer la configuración de registro log_dest en DWORD:0x000000002. En este caso, los registros del controlador se escribirán en un archivo vmware.log, que se encuentra en la carpeta de la máquina virtual correspondiente del host ESXi.
Habilitar el registro UMC
El componente del modo de usuario (UMC) de la protección de endpoints se ejecuta en el servicio VMware Tools de la máquina virtual protegida.
En una máquina virtual Windows, cree un archivo tools config si no existe en la siguiente ruta: C:\ProgramData\VMware\VMware Tools\tools.conf.
- Agregue estas líneas en el archivo tools.conf para habilitar el registro del componente UMC.
[logging] log = true vsep.level = debug vsep.handler = vmx
Con la opción vsep.handler = vmx, el componente UMC se registra en el archivo vmware.log , que se encuentra en la carpeta correspondiente de la máquina virtual del host ESXi.
Con los siguientes registros de la configuración, los registros del componente UMC se escribirán en el archivo de registro especificado.
vsep.handler = file vsep.data = c:/path/to/vsep.log
Solucionar problemas de Thin Agent en Windows
- Compruebe la compatibilidad de todos los componentes involucrados. Necesita los números de compilación de ESXi, vCenter Server, NSX Manager y la solución de seguridad que seleccionó (por ejemplo,Trend Micro, McAfee, Kaspersky o Symantec). Después de recopilar estos datos, puede comparar la compatibilidad de los componentes de vSphere. Para obtener más información, consulte las Matrices de interoperabilidad de productos de VMware.
- Asegúrese de que la utilidad VMware Tools™ esté actualizada. Si observa que únicamente está afectada una máquina virtual en particular, consulte el artículo 2004754 sobre cómo instalar y actualizar VMware Tools en vSphere.
- Verifique que Thin Agent se carga al ejecutar el comando fltmc de PowerShell.
Verifique que vsepflt se incluya en la lista de controladores. Si el controlador no se carga, intente cargar el controlador con el comando fltmc load vsepflt.
Si Thin Agent está causando un problema de rendimiento en el sistema, descargue el controlador con este comando: fltmc unload vsepflt.
Si no está utilizando la introspección de red, elimine o deshabilite este controlador.
También la puede eliminar mediante el instalador para modificar VMware Tools:- Monte el instalador de VMware Tools.
- Acceda a Panel de control > Programas y características.
- Haga clic con el botón secundario en VMware Tools > Cambiar.
- Seleccione Instalación completa.
- Busque la introspección de archivos de NSX. Esta contiene una subcarpeta para la introspección de red.
- Deshabilite Introspección de red (Network Introspection).
- Reinicie la máquina virtual para completar la desinstalación del controlador.
- Habilite el registro de depuración de Thin Agent. Toda la información de depuración está configurada para que se registre en el archivo vmware.log de esa máquina virtual.
- Revise los análisis de los archivos de Thin Agent consultando los registros procmon. Para obtener más información, consulte el artículo 2094239 sobre cómo solucionar problemas de rendimiento de vShield Endpoint con un software antivirus.
Solucionar bloqueos de Thin Agent en Windows
Si los componentes del modo kernel de Thin Agent se bloquean, el volcado de memoria se generará en /%systemroot%\MEMORY. DM.