L'agent léger est installé sur le système d'exploitation invité de machine virtuelle et détecte les détails de l'ouverture de session utilisateur.
Chemin du journal et exemple de message
L'agent léger se compose de pilotes GI : vsepflt.sys, vnetwfp.sys (Windows 10 et versions ultérieures).
Les journaux de l'agent léger se trouvent sur l'hôte ESXi, dans le cadre du bundle de journaux vCenter. Le chemin du journal est /vmfs/volumes/<datastore>/<vmname>/vmware.log. Par exemple : /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log
Les messages de l'agent léger suivent le format <timestamp> <VM Name><Process Name><[PID]>: <message>.
Dans l'exemple de journal ci-dessous, Guest: vnet or Guest:vsep indique les messages de journal liés aux pilotes GI respectifs, suivis de messages de débogage.
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
Activation de la journalisation du pilote d'agent léger vShield Guest Introspection
Comme le paramètre de débogage peut saturer le fichier vmware.log jusqu'à la limite, nous vous recommandons de désactiver le mode de débogage dès que vous avez collecté toutes les informations requises.
Cette procédure vous oblige à modifier le Registre Windows. Avant de modifier le Registre, veillez à en faire une sauvegarde. Pour plus d'informations sur la sauvegarde et la restauration du Registre, consultez l'article 136393 de la base de connaissances de Microsoft.
Pour activer la journalisation de débogage pour le pilote d'agent léger :
-
Cliquez sur Démarrer > Exécuter. Entrez regedit et cliquez sur OK. La fenêtre Éditeur du Registre s'ouvre. Pour plus d'informations, consultez l'article 256986 de la base de connaissances de Microsoft.
- Créez cette clé à l'aide de l'éditeur du Registre : HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
- Sous la clé de paramètre qui vient d'être créée, créez ces valeurs de type DWORD. Assurez-vous que hexadécimal est sélectionné lorsque vous entrez ces valeurs :
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
Autres valeurs pour la clé de paramètre log level :
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
- Ouvrez une invite de commande en tant qu'administrateur. Exécutez ces commandes pour décharger et recharger le mini-pilote du système de fichiers vShield Endpoint :
- fltmc unload vsepflt
- fltmc load vsepflt
Les entrées de journal se trouvent dans le fichier vmware.log situé dans la machine virtuelle.
Activation de la journalisation du pilote d'introspection réseau vShield GI
Comme le paramètre de débogage peut saturer le fichier vmware.log jusqu'à la limite, nous vous recommandons de désactiver le mode de débogage dès que vous avez collecté toutes les informations requises.
- Cliquez sur Démarrer > Exécuter. Entrez regedit et cliquez sur OK. La fenêtre Éditeur du Registre s'ouvre. Pour plus d'informations, consultez l'article 256986 de la base de connaissances de Microsoft.
- Modifiez le Registre :
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
- Redémarrez la machine virtuelle.
Emplacement du fichier journal vsepflt.sys
Avec les paramètres de Registre log_dest DWORD: 0x00000001, le pilote de l'agent léger de point de terminaison se connecte au débogueur. Exécutez le débogueur (DbgView depuis SysInternals ou windbg) pour capturer la sortie de débogage.
Vous pouvez également définir le paramètre de Registre log_dest sur DWORD:0x000000002. Dans ce cas, les journaux de pilote seront imprimés dans le fichier vmware.log, qui se trouve dans le dossier de machine virtuelle correspondant sur l'hôte ESXi.
Activation de la journalisation d'UMC
Le composant en mode utilisateur (UMC) de protection de point de terminaison s'exécute dans le service VMware Tools sur la machine virtuelle protégée.
- Sous Windows XP et Windows Server 2003, créez un fichier tools config, s'il n'existe pas dans le chemin suivant :C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf.
- Sous Windows Vista, Windows 7 et Windows Server 2008, créez un fichier tools config, s'il n'existe pas dans le chemin suivant : C:\ProgramData\VMWare\VMware Tools\tools.conf
- Ajoutez ces lignes dans le fichier tools.conf pour activer la journalisation de composant UMC.
[logging] log = true vsep.level = debug vsep.handler = vmx
Avec le paramètre vsep.handler = vmx , le composant UMC se connecte au fichier vmware.log , qui se trouve dans le dossier de machine virtuelle correspondant sur l'hôte ESXi.
Avec les journaux de paramètre suivants, les journaux de composant UMC sont imprimés dans le fichier journal spécifié.
vsep.handler = file vsep.data = c:/path/to/vsep.log