L'agente thin viene installato nel sistema operativo guest della macchina virtuale e rileva i dettagli di accesso dell'utente.

Percorso del registro e messaggio di esempio

L'agente thin è composto da driver di Guest Introspection – vsepflt.sys, vnetwfp.sys (Windows 10 e versioni successive).

I registri dell'agente thin si trovano nell'host ESXi, come parte del bundle di registri di VCenter. Il percorso del registro è /vmfs/volumes/<datastore>/<nomevm>/vmware.log Ad esempio: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

I messaggi dell'agente thin seguono il formato <timestamp><NomeVm><Nome processo><[PID]>: <messaggio>.

Nell'esempio di registro seguente Guest: vnet or Guest:vsep indicare i messaggi del registro relativi ai rispettivi driver di Guest Introspection, seguiti dai messaggi di debug.

Ad esempio: 
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

Abilitazione della registrazione dei driver dell'agente thin di Guest Introspection vShield

Poiché l'impostazione di debug può saturare il file vmware.log fino al limite, è consigliabile disabilitare la modalità di debug non appena sono state raccolte tutte le informazioni richieste.

Questa procedura richiede la modifica del registro di sistema Windows. Prima di modificare il registro, assicurarsi di eseguire un backup del registro. Per ulteriori informazioni su backup e ripristino del registro di sistema, vedere l'articolo della Knowledge Base di Microsoft 136393.

Per abilitare la registrazione debug per il driver dell'agente thin:

  1. Fare clic su Start > Esegui. Immettere regedit e fare clic su OK. Viene aperta la finestra Editor del Registro di sistema. Per ulteriori informazioni, consultare l'articolo della Knowledge Base di Microsoft 256986.

  2. Creare questa chiave utilizzando l'editor del Registro di sistema: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Nella chiave dei parametri appena creata creare queste DWORD. Assicurarsi che durante l'immissione di questi valori sia selezionata l'opzione esadecimale: 
    Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10

    Altri valori per la chiave del parametrolog level: 

    Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10
  4. Aprire un prompt dei comandi come amministratore. Eseguire questi comandi per scaricare e ricaricare il mini driver del file system di vShield Endpoint:
    • fltmc unload vsepflt
    • fltmc load vsepflt

    Le voci di registro si trovano nel file vmware.log della macchina virtuale.

Abilitazione della registrazione del driver Network Introspection di Guest Introspection vShield

Poiché l'impostazione di debug può saturare il file vmware.log fino al limite, è consigliabile disabilitare la modalità di debug non appena sono state raccolte tutte le informazioni richieste.

Questa procedura richiede la modifica del registro di sistema Windows. Prima di modificare il registro, assicurarsi di eseguire un backup del registro. Per ulteriori informazioni su backup e ripristino del registro di sistema, vedere l'articolo della Knowledge Base di Microsoft 136393.
  1. Fare clic su Start > Esegui. Immettere regedit e fare clic su OK. Viene aperta la finestra Editor del Registro di sistema. Per ulteriori informazioni, consultare l'articolo della Knowledge Base di Microsoft 256986.
  2. Modificare il registro: 
    Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001
  3. Riavviare la macchina virtuale.

Posizione file di registro vsepflt.sys

Con le impostazioni di registro log_dest DWORD: 0x00000001, il driver dell'agente thin dell'endpoint accede al debugger. Eseguire il debugger (DbgView da SysInternals o windbg) per acquisire l'output del debug.

In alternativa, è possibile specificare l'impostazione di registro log_dest su DWORD:0x000000002, nel qual caso i registri del driver verranno stampati nel file vmware.log, che si trova nella cartella della macchina virtuale corrispondente nell'host ESXi.

Abilitazione della registrazione UMC

Il componente UMC (user-mode component) di protezione endpoint viene eseguito nel servizio VMware Tools nella macchina virtuale protetta.

  1. In Windows XP e Windows Server 2003 creare un file tools config, se non esiste nel seguente percorso: C:\Documents and Settings\Tutti gli utenti\Dati applicazioni\VMware\VMware Tools\tools.conf.
  2. In Windows Vista, Windows 7 e Windows Server 2008 creare un file tools config, se non esiste nel seguente percorso: C:\ProgramData\VMWare\VMware Tools\tools.conf
  3. Aggiungere queste righe nel file tools.conf per abilitare la registrazione del componente UMC. 
    [logging]
log = true
vsep.level = debug
vsep.handler = vmx

    Con l'impostazione vsep.handler = vmx, il componente UMC accede al file vmware.log, che si trova nella cartella della macchina virtuale corrispondente nell'host ESXi.

    Con le seguenti impostazioni, i registri del componente UMC verranno stampati nel file di registro specificato. 

    vsep.handler = file
vsep.data = c:/path/to/vsep.log