L'agent léger est installé sur le système d'exploitation invité de machine virtuelle et détecte les détails de l'ouverture de session utilisateur.

Chemin du journal et exemple de message

L'agent léger se compose de pilotes GI : vsepflt.sys, vnetwfp.sys (Windows 10 et versions ultérieures).

Les journaux de l'agent léger se trouvent sur l'hôte ESXi, dans le cadre du bundle de journaux vCenter. Le chemin du journal est /vmfs/volumes/<datastore>/<vmname>/vmware.log. Par exemple : /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

Les messages de l'agent léger suivent le format <timestamp> <VM Name><Process Name><[PID]>: <message>.

Dans l'exemple de journal ci-dessous, Guest: vnet or Guest:vsep indique les messages de journal liés aux pilotes GI respectifs, suivis de messages de débogage.

Par exemple : 
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

Activation de la journalisation du pilote d'agent léger vShield Guest Introspection

Comme le paramètre de débogage peut saturer le fichier vmware.log jusqu'à la limite, nous vous recommandons de désactiver le mode de débogage dès que vous avez collecté toutes les informations requises.

Cette procédure vous oblige à modifier le Registre Windows. Avant de modifier le Registre, veillez à en faire une sauvegarde. Pour plus d'informations sur la sauvegarde et la restauration du Registre, consultez l'article 136393 de la base de connaissances de Microsoft.

Pour activer la journalisation de débogage pour le pilote d'agent léger :

  1. Cliquez sur Démarrer > Exécuter. Entrez regedit et cliquez sur OK. La fenêtre Éditeur du Registre s'ouvre. Pour plus d'informations, consultez l'article 256986 de la base de connaissances de Microsoft.

  2. Créez cette clé à l'aide de l'éditeur du Registre : HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Sous la clé de paramètre qui vient d'être créée, créez ces valeurs de type DWORD. Assurez-vous que hexadécimal est sélectionné lorsque vous entrez ces valeurs : 
    Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10

    Autres valeurs pour la clé de paramètre log level : 

    Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10
  4. Ouvrez une invite de commande en tant qu'administrateur. Exécutez ces commandes pour décharger et recharger le mini-pilote du système de fichiers vShield Endpoint :
    • fltmc unload vsepflt
    • fltmc load vsepflt

    Les entrées de journal se trouvent dans le fichier vmware.log situé dans la machine virtuelle.

Activation de la journalisation du pilote d'introspection réseau vShield GI

Comme le paramètre de débogage peut saturer le fichier vmware.log jusqu'à la limite, nous vous recommandons de désactiver le mode de débogage dès que vous avez collecté toutes les informations requises.

Cette procédure vous oblige à modifier le Registre Windows. Avant de modifier le Registre, veillez à en faire une sauvegarde. Pour plus d'informations sur la sauvegarde et la restauration du Registre, consultez l'article  136393 de la base de connaissances de Microsoft.
  1. Cliquez sur Démarrer > Exécuter. Entrez regedit et cliquez sur OK. La fenêtre Éditeur du Registre s'ouvre. Pour plus d'informations, consultez l'article 256986 de la base de connaissances de Microsoft.
  2. Modifiez le Registre : 
    Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001
  3. Redémarrez la machine virtuelle.

Emplacement du fichier journal vsepflt.sys

Avec les paramètres de Registre log_dest DWORD: 0x00000001, le pilote de l'agent léger de point de terminaison se connecte au débogueur. Exécutez le débogueur (DbgView depuis SysInternals ou windbg) pour capturer la sortie de débogage.

Vous pouvez également définir le paramètre de Registre log_dest sur DWORD:0x000000002. Dans ce cas, les journaux de pilote seront imprimés dans le fichier vmware.log, qui se trouve dans le dossier de machine virtuelle correspondant sur l'hôte ESXi.

Activation de la journalisation d'UMC

Le composant en mode utilisateur (UMC) de protection de point de terminaison s'exécute dans le service VMware Tools sur la machine virtuelle protégée.

  1. Sous Windows XP et Windows Server 2003, créez un fichier tools config, s'il n'existe pas dans le chemin suivant :C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf.
  2. Sous Windows Vista, Windows 7 et Windows Server 2008, créez un fichier tools config, s'il n'existe pas dans le chemin suivant : C:\ProgramData\VMWare\VMware Tools\tools.conf
  3. Ajoutez ces lignes dans le fichier tools.conf pour activer la journalisation de composant UMC. 
    [logging]
log = true
vsep.level = debug
vsep.handler = vmx

    Avec le paramètre vsep.handler = vmx , le composant UMC se connecte au fichier vmware.log , qui se trouve dans le dossier de machine virtuelle correspondant sur l'hôte ESXi.

    Avec les journaux de paramètre suivants, les journaux de composant UMC sont imprimés dans le fichier journal spécifié. 

    vsep.handler = file
vsep.data = c:/path/to/vsep.log