L'agent léger est installé sur le SE invité de la VM et intercepte différents types d'activité d'E/S qui incluent les fichiers, le réseau, les processus, et ainsi de suite.

Chemin du journal et exemple de message

L'agent léger se compose de pilotes Guest Introspection NSX ( vsepflt.sys, vnetwfp.sys).

Les journaux de l'agent léger sont poussés sur l'hôte ESXi, dans le cadre du bundle de journaux vCenter. Le chemin du journal est /vmfs/volumes/<datastore>/<vmname>/vmware.log. Par exemple : /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

Les messages de l'agent léger suivent le format <timestamp> <VM Name><Process Name><[PID]>: <message>.

Dans l'exemple de journal ci-dessous, Guest: vnet or Guest:vsep indique les messages de journal liés aux pilotes GI respectifs, suivis de messages de débogage.

Par exemple :
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

Activation des journaux du pilote d'introspection de fichiers NSX

Comme le paramètre de débogage peut saturer le fichier vmware.log jusqu'à la limite, nous vous recommandons de désactiver le mode de débogage dès que vous avez collecté toutes les informations requises.

Cette procédure vous oblige à modifier le Registre Windows. Avant de modifier le Registre, veillez à en faire une sauvegarde. Pour plus d'informations sur la sauvegarde et la restauration du Registre, consultez l'article 136393 de la base de connaissances de Microsoft.

  1. Cliquez sur Démarrer > Exécuter. Entrez regedit et cliquez sur OK. La fenêtre Éditeur du Registre s'ouvre. Pour plus d'informations, consultez l'article 256986 de la base de connaissances de Microsoft.

  2. Créez cette clé à l'aide de l'éditeur du Registre : HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Sous la clé de paramètre qui vient d'être créée, créez ces valeurs de type DWORD. Assurez-vous que hexadécimal est sélectionné lorsque vous entrez ces valeurs :
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    Autres valeurs pour la clé de paramètre log level :

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. Si vous devez redémarrer le pilote d'introspection de fichiers, ouvrez une invite de commande en tant qu'administrateur. Exécutez ces commandes pour décharger et recharger le mini-pilote du système de fichiers du point de terminaison NSX :

    • fltmc unload vsepflt
    • fltmc load vsepflt

    Les entrées de journal se trouvent dans le fichier vmware.log situé dans la machine virtuelle.

Activation des journaux de pilotes d'introspection réseau NSX

Comme le paramètre de débogage peut saturer le fichier vmware.log jusqu'à la limite, nous vous recommandons de désactiver le mode de débogage dès que vous avez collecté toutes les informations requises.

Cette procédure vous oblige à modifier le Registre Windows. Avant de modifier le Registre, veillez à en faire une sauvegarde. Pour plus d'informations sur la sauvegarde et la restauration du Registre, consultez l'article  136393 de la base de connaissances de Microsoft.
  1. Cliquez sur Démarrer > Exécuter. Entrez regedit et cliquez sur OK. La fenêtre Éditeur du Registre s'ouvre. Pour plus d'informations, consultez l'article 256986 de la base de connaissances de Microsoft.
  2. Modifiez le Registre :
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 

Avec les paramètres de Registre log_dest DWORD: 0x00000001, le pilote de l'agent léger de point de terminaison se connecte et transmet les journaux au débogueur. Exécutez le débogueur (DbgView depuis SysInternals ou windbg) pour capturer la sortie de débogage.

Vous pouvez également définir le paramètre de Registre log_dest sur DWORD:0x000000002. Dans ce cas, les journaux de pilote seront imprimés dans le fichier vmware.log, qui se trouve dans le dossier de machine virtuelle correspondant sur l'hôte ESXi.

Activation de la journalisation d'UMC

Le composant en mode utilisateur (UMC) de protection de point de terminaison s'exécute dans le service VMware Tools sur la machine virtuelle protégée.

  1. Sur une machine virtuelle Windows, créez un fichier tools config, s'il n'existe pas dans le chemin suivant : C:\ProgramData\VMWare\VMware Tools\tools.conf

  2. Ajoutez ces lignes dans le fichier tools.conf pour activer la journalisation de composant UMC.
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    Avec le paramètre vsep.handler = vmx , le composant UMC se connecte au fichier vmware.log , qui se trouve dans le dossier de machine virtuelle correspondant sur l'hôte ESXi.

    Avec les journaux de paramètre suivants, les journaux de composant UMC sont imprimés dans le fichier journal spécifié.

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log

Dépannage de l'agent léger sur Windows

  1. Vérifiez la compatibilité de tous les composants concernés. Vous avez besoin des numéros de build pour ESXi, vCenter Server, NSX Manager et la solution de sécurité que vous avez sélectionnée (par exemple, Trend Micro, McAfee, Kaspersky ou Symantec). Une fois ces données collectées, vous pouvez comparer la compatibilité des composants vSphere. Pour plus d'informations, consultez les Matrices d'interopérabilité des produits VMware.
  2. Vérifiez que VMware Tools™ est à jour. Si vous voyez qu'une seule machine virtuelle en particulier est affectée, consultez l'article Installing and upgrading VMware Tools in vSphere (2004754) (Installation et mise à niveau de VMware Tools dans vSphere).
  3. Vérifiez que l'agent léger est chargé en exécutant la commande PowerShell fltmc.

    Verify que vsepflt est inclus dans la liste des pilotes. Si le pilote n'est pas chargé, essayez de le charger avec la commande fltmc load vsepflt.

  4. Si l'agent léger pose un problème de performances avec le système, déchargez le pilote avec cette commande : fltmc unload vsepflt.

  5. Si vous n'utilisez pas l'introspection réseau, supprimez ou désactivez ce pilote.

    L'introspection réseau peut également être supprimée par le biais du programme d'installation Modifier VMware Tools :
    1. Montez le programme d'installation de VMware Tools.
    2. Accédez à Panneau de configuration > Programmes et fonctionnalités.
    3. Cliquez avec le bouton droit sur VMware Tools > Modifier.
    4. Sélectionnez Installation complète.
    5. Recherchez l'introspection de fichier NSX. Un sous-dossier pour l'introspection réseau s'y trouve.
    6. Désactivez Introspection réseau.
    7. Redémarrez la machine virtuelle pour terminer la désinstallation du pilote.
  6. Activez la journalisation de débogage pour l'agent léger. Toutes les informations de débogage sont configurées pour s'enregistrer dans le fichier vmware.log pour cette machine virtuelle.
  7. Consultez les analyses de fichier de l'agent léger en consultant les journaux procmon. Pour plus d'informations, consultez l'article Troubleshooting vShield Endpoint performance issues with anti-virus software (2094239) (Dépannage des problèmes de performances de vShield Endpoint avec un logiciel antivirus).

Dépannage des blocages de l'agent léger sous Windows

Si les composants du mode noyau de l'agent léger se bloquent, le vidage de mémoire est généré dans /%systemroot%\MEMORY.DM.