L'agente thin viene installato nel sistema operativo guest della macchina virtuale e intercetta vari tipi di attività I/O che includono file, rete, processi e così via.

Percorso del registro e messaggio di esempio

L'agente thin è costituito da driver di NSX Guest Introspection, vsepflt.sys, vnetwfp.sys.

I registri dell'agente thin vengono inviati all'host ESXi, come parte del bundle di registri di vCenter. Il percorso del registro è /vmfs/volumes/<datastore>/<nomevm>/vmware.log Ad esempio: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

I messaggi dell'agente thin seguono il formato <timestamp><NomeVm><Nome processo><[PID]>: <messaggio>.

Nell'esempio di registro seguente Guest: vnet or Guest:vsep indicare i messaggi del registro relativi ai rispettivi driver di Guest Introspection, seguiti dai messaggi di debug.

Ad esempio:
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

Abilitazione dei registri del driver NSXFile Introspection

Poiché l'impostazione di debug può saturare il file vmware.log fino al limite, è consigliabile disabilitare la modalità di debug non appena sono state raccolte tutte le informazioni richieste.

Questa procedura richiede la modifica del registro di sistema Windows. Prima di modificare il registro, assicurarsi di eseguire un backup del registro. Per ulteriori informazioni su backup e ripristino del registro di sistema, vedere l'articolo della Knowledge Base di Microsoft 136393.

  1. Fare clic su Start > Esegui. Immettere regedit e fare clic su OK. Viene aperta la finestra Editor del Registro di sistema. Per ulteriori informazioni, consultare l'articolo della Knowledge Base di Microsoft 256986.

  2. Creare questa chiave utilizzando l'editor del Registro di sistema: HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Nella chiave dei parametri appena creata creare queste DWORD. Assicurarsi che durante l'immissione di questi valori sia selezionata l'opzione esadecimale:
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    Altri valori per la chiave del parametrolog level:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. Se è necessario riavviare il driver File Introspection, aprire un prompt dei comandi come amministratore. Eseguire questi comandi per scaricare e ricaricare il mini driver del file system dell'endpoint NSX:

    • fltmc unload vsepflt
    • fltmc load vsepflt

    Le voci di registro si trovano nel file vmware.log della macchina virtuale.

Abilitazione dei registri dei driver NSX Network Introspection

Poiché l'impostazione di debug può saturare il file vmware.log fino al limite, è consigliabile disabilitare la modalità di debug non appena sono state raccolte tutte le informazioni richieste.

Questa procedura richiede la modifica del registro di sistema Windows. Prima di modificare il registro, assicurarsi di eseguire un backup del registro. Per ulteriori informazioni su backup e ripristino del registro di sistema, vedere l'articolo della Knowledge Base di Microsoft 136393.
  1. Fare clic su Start > Esegui. Immettere regedit e fare clic su OK. Viene aperta la finestra Editor del Registro di sistema. Per ulteriori informazioni, consultare l'articolo della Knowledge Base di Microsoft 256986.
  2. Modificare il registro:
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 

Con le impostazioni di registro log_dest DWORD: 0x00000001, il driver dell'agente thin dell'endpoint che inoltra i registri al debugger. Eseguire il debugger (DbgView da SysInternals o windbg) per acquisire l'output del debug.

In alternativa, è possibile specificare l'impostazione di registro log_dest su DWORD:0x000000002, nel qual caso i registri del driver verranno stampati nel file vmware.log, che si trova nella cartella della macchina virtuale corrispondente nell'host ESXi.

Abilitazione della registrazione UMC

Il componente UMC (user-mode component) di protezione endpoint viene eseguito nel servizio VMware Tools nella macchina virtuale protetta.

  1. In una macchina virtuale Windows, creare un file tools config, se non esiste nel seguente percorso: C:\ProgramData\VMWare\VMware Tools\tools.conf

  2. Aggiungere queste righe nel file tools.conf per abilitare la registrazione del componente UMC.
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    Con l'impostazione vsep.handler = vmx, il componente UMC accede al file vmware.log, che si trova nella cartella della macchina virtuale corrispondente nell'host ESXi.

    Con le seguenti impostazioni, i registri del componente UMC verranno stampati nel file di registro specificato.

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log

Risoluzione dei problemi relativi al thin agent su Windows

  1. Verificare la compatibilità di tutti i componenti coinvolti. Sono necessari i numeri di build per ESXi, vCenter Server, NSX Manager e la soluzione di sicurezza selezionata (ad esempio, Trend Micro, McAfee, Kaspersky o Symantec). Una volta raccolti questi dati, è possibile confrontare la compatibilità dei componenti vSphere. Per ulteriori informazioni, vedere Matrici di interoperabilità dei prodotti VMware.
  2. Assicurarsi che VMware Tools™ sia aggiornato. Se l'operazione influisce solo su una determinata macchina virtuale, vedere Installazione e aggiornamento di VMware Tools in vSphere (2004754).
  3. Verificare che il thin agent sia caricato eseguendo il comando PowerShell fltmc.

    Verificare che vsepflt sia incluso nell'elenco di driver. Se il driver non è caricato, provare a caricare il driver con il comando fltmc load vsepflt.

  4. Se il thin agent causa un problema di prestazioni nel sistema, scaricare il driver con il seguente comando: fltmc unload vsepflt.

  5. Se non si utilizza Network Introspection, rimuovere o disabilitare questo driver.

    Network Introspection può anche essere rimosso tramite il programma di installazione Modifica di VMware Tools:
    1. Montare il programma di installazione di VMware Tools.
    2. Passare a Pannello di controllo > Programmi e funzionalità.
    3. Fare clic con il pulsante destro del mouse su VMware Tools > Modifica.
    4. Selezionare Completa installazione.
    5. Trovare NSX File Introspection, che contiene una sottocartella per Network Introspection.
    6. Disabilitare Network Introspection.
    7. Riavviare la macchina virtuale per completare la disinstallazione del driver.
  6. Abilitare la registrazione debug per il thin agent. Tutte le informazioni di debug sono configurate per accedere al file vmware.log di tale macchina virtuale.
  7. Esaminare le scansioni dei file del thin agent esaminando i registri di procmon. Per ulteriori informazioni, consultare Risoluzione dei problemi di prestazioni di vShield Endpoint relativi al software anti-virus (2094239).

Risoluzione dei problemi relativi agli arresti anomali dell'agente thin su Windows

Se si verifica l'arresto anomalo dei componenti della modalità kernel dell'agente thin, il dump della memoria viene generato in /%systemroot%\MEMORY. DM.