L'agente thin viene installato nel sistema operativo guest della macchina virtuale e rileva i dettagli delle attività dell'utente.

Percorso del registro e messaggio di esempio

L'agente thin è composto da driver di Guest Introspection – vsepflt.sys, vnetwfp.sys (Windows 10 e versioni successive).

I registri dell'agente thin si trovano nell'host ESXi, come parte del bundle di registri di vCenter. Il percorso del registro è /vmfs/volumes/<datastore>/<nomevm>/vmware.log Ad esempio: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

I messaggi dell'agente thin seguono il formato <timestamp><NomeVm><Nome processo><[PID]>: <messaggio>.

Nell'esempio di registro seguente Guest: vnet or Guest:vsep indicare i messaggi del registro relativi ai rispettivi driver di Guest Introspection, seguiti dai messaggi di debug.

Ad esempio: 
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

Abilitazione della registrazione del driver dell'agente thin NSX Guest Introspection Platform

Poiché l'impostazione di debug può saturare il file vmware.log fino al limite, è consigliabile disabilitare la modalità di debug non appena sono state raccolte tutte le informazioni richieste.

Questa procedura richiede la modifica del registro di sistema Windows. Prima di modificare il registro, assicurarsi di eseguire un backup del registro. Per ulteriori informazioni su backup e ripristino del registro di sistema, vedere l'articolo della Knowledge Base di Microsoft 136393.

  1. Fare clic su Start > Esegui. Immettere regedit e fare clic su OK. Viene aperta la finestra Editor del Registro di sistema. Per ulteriori informazioni, consultare l'articolo della Knowledge Base di Microsoft 256986.

  2. Creare questa chiave utilizzando l'editor del Registro di sistema: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Nella chiave dei parametri appena creata creare queste DWORD. Assicurarsi che durante l'immissione di questi valori sia selezionata l'opzione esadecimale: 
    Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10

    Altri valori per la chiave del parametrolog level: 

    Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10
  4. Aprire un prompt dei comandi come amministratore. Eseguire questi comandi per scaricare e ricaricare il mini driver del file system dell'endpoint NSX:
    • fltmc unload vsepflt
    • fltmc load vsepflt

    Le voci di registro si trovano nel file vmware.log della macchina virtuale.

Abilitazione della registrazione del driver NSX Guest Introspection Platform

Poiché l'impostazione di debug può saturare il file vmware.log fino al limite, è consigliabile disabilitare la modalità di debug non appena sono state raccolte tutte le informazioni richieste.

Questa procedura richiede la modifica del registro di sistema Windows. Prima di modificare il registro, assicurarsi di eseguire un backup del registro. Per ulteriori informazioni su backup e ripristino del registro di sistema, vedere l'articolo della Knowledge Base di Microsoft 136393.
  1. Fare clic su Start > Esegui. Immettere regedit e fare clic su OK. Viene aperta la finestra Editor del Registro di sistema. Per ulteriori informazioni, consultare l'articolo della Knowledge Base di Microsoft 256986.
  2. Modificare il registro: 
    Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001
  3. Riavviare la macchina virtuale.

Posizione file di registro vsepflt.sys

Con le impostazioni di registro log_dest DWORD: 0x00000001, il driver dell'agente thin dell'endpoint accede al debugger. Eseguire il debugger (DbgView da SysInternals o windbg) per acquisire l'output del debug.

In alternativa, è possibile specificare l'impostazione di registro log_dest su DWORD:0x000000002, nel qual caso i registri del driver verranno stampati nel file vmware.log, che si trova nella cartella della macchina virtuale corrispondente nell'host ESXi.

Abilitazione della registrazione UMC

Il componente UMC (user-mode component) di protezione endpoint viene eseguito nel servizio VMware Tools nella macchina virtuale protetta.

  1. In Windows XP e Windows Server 2003 creare un file tools config, se non esiste nel seguente percorso: C:\Documents and Settings\Tutti gli utenti\Dati applicazioni\VMware\VMware Tools\tools.conf.
  2. In Windows Vista, Windows 7 e Windows Server 2008 creare un file tools config, se non esiste nel seguente percorso: C:\ProgramData\VMWare\VMware Tools\tools.conf
  3. Aggiungere queste righe nel file tools.conf per abilitare la registrazione del componente UMC. 
    [logging]
log = true
vsep.level = debug
vsep.handler = vmx

    Con l'impostazione vsep.handler = vmx, il componente UMC accede al file vmware.log, che si trova nella cartella della macchina virtuale corrispondente nell'host ESXi.

    Con le seguenti impostazioni, i registri del componente UMC verranno stampati nel file di registro specificato. 

    vsep.handler = file
vsep.data = c:/path/to/vsep.log

Risoluzione dei problemi relativi al thin agent su Windows

  1. Verificare la compatibilità di tutti i componenti coinvolti. Sono necessari i numeri di build per ESXi, vCenter Server, NSX Manager e la soluzione di sicurezza selezionata (ad esempio, Trend Micro, McAfee, Kaspersky o Symantec). Una volta raccolti questi dati, è possibile confrontare la compatibilità dei componenti vSphere. Per ulteriori informazioni, vedere Matrici di interoperabilità dei prodotti VMware.
  2. Assicurarsi che VMware Tools™ sia aggiornato. Se l'operazione influisce solo su una determinata macchina virtuale, vedere Installazione e aggiornamento di VMware Tools in vSphere (2004754).
  3. Verificare che il thin agent sia caricato eseguendo il comando PowerShell fltmc.

    Verificare che vsepflt sia incluso nell'elenco di driver. Se il driver non è caricato, provare a caricare il driver con il comando fltmc load vsepflt.

  4. Se il thin agent causa un problema di prestazioni nel sistema, scaricare il driver con il seguente comando: fltmc unload vsepflt.

  5. Eseguire quindi un test per ottenere una base di confronto. È quindi possibile caricare il driver ed eseguire un altro test eseguendo questo comando:

    fltmc load vsepflt.

    Se si osserva un eventuale problema di prestazioni con il thin agent, vedere Macchine virtuali lente dopo l'aggiornamento di VMware Tools in NSX e vCloud Networking and Security (2144236).

  6. Se non si utilizza Network Introspection, rimuovere o disabilitare questo driver.

    Network Introspection può anche essere rimosso tramite il programma di installazione Modifica di VMware Tools:
    1. Montare il programma di installazione di VMware Tools.
    2. Passare a Pannello di controllo > Programmi e funzionalità.
    3. Fare clic con il pulsante destro del mouse su VMware Tools > Modifica.
    4. Selezionare Completa installazione.
    5. Trovare NSX File Introspection, che contiene una sottocartella per Network Introspection.
    6. Disabilitare Network Introspection.
    7. Riavviare la macchina virtuale per completare la disinstallazione del driver.
  7. Abilitare la registrazione debug per il thin agent. Tutte le informazioni di debug sono configurate per accedere al file vmware.log di tale macchina virtuale.
  8. Esaminare le scansioni dei file del thin agent esaminando i registri di procmon. Per ulteriori informazioni, consultare Risoluzione dei problemi di prestazioni di vShield Endpoint relativi al software anti-virus (2094239).

Risoluzione dei problemi relativi agli arresti anomali dell'agente thin su Windows

Se il thin agent si arresta in modo anomalo, il file core viene generato in /directory. Raccogliere il file di dump principale (core) da percorso / directory.