シン エージェントは、仮想マシンのゲスト OS にインストールされ、ユーザー ログインの詳細を検出します。
ログのパスとサンプル メッセージ
シン エージェントは、ゲスト イントロスペクション ドライバの vsepflt.sys と vnetwfp.sys(Windows 10 以降)で構成されます。
シン エージェントのログは、vCenter Server のログ バンドルの一部として、ESXi ホストに保存されます。ログのパスは、/vmfs/volumes/<datastore>/<vmname>/vmware.log です。例: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log
シン エージェントのメッセージは、<timestamp> <VM Name><Process Name><[PID]>: <message> の形式で記録されます。
以下の Guest: vnet or Guest:vsep のログの例では、ゲスト イントロスペクション ドライバ関連のログ メッセージの後にデバッグ メッセージが続きます。
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
vShield ゲスト イントロスペクション シン エージェント ドライバのログ作成を有効にする
デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整(スロットル)が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。
この手順では、Windows レジストリを変更する必要があります。レジストリを変更する前に、レジストリのバックアップを行ってください。レジストリのバックアップとリストアの詳細については、Microsoft 社のナレッジベースの記事 136393 を参照してください。
シン エージェント ドライバのデバッグ ログの作成を有効にするには:
-
[スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。
- レジストリ エディターで HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters キーを作成します。
- 新しく作成したパラメータ キーの下に、次の DWORD を作成します。これらの値を入力するときに、16 進数が選択されていることを確認します。
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
log level パラメータ キーの他の値:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
- 管理者としてコマンド プロンプトを開きます。次のコマンドを実行して、vShield Endpoint ファイル システム ミニドライバをアンロードし、再ロードします。
- fltmc unload vsepflt
- fltmc load vsepflt
仮想マシンにある vmware.log ファイルでログ エントリを確認できます。
vShield ゲスト イントロスペクション ネットワーク イントロスペクション ドライバのログインを有効にする
デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。
- [スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。
- レジストリを編集します。
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
- 仮想マシンを再起動します。
vsepflt.sys ログ ファイルの場所
レジストリで log_dest が DWORD: 0x00000001 に設定されているため、エンドポイント シン エージェント ドライバのログがデバッガに出力されます。デバッガ(SysInternals の DbgView または windbg)を実行します。
あるいは、レジストリで log_dest を DWORD:0x000000002 に設定することもできます。この場合、ドライバ ログは vmware.log に出力されます。このファイルは、ESXi ホストの該当する仮想マシンのフォルダに保存されます。
UMC のログ作成を有効にする
エンドポイント保護ユーザー モード コンポーネント (UMC) は、保護対象の仮想マシンの VMware Tools サービス内で実行されます。
- Windows XP または Windows Server 2003 で、C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf に tools config ファイルが見つからない場合、このファイルを作成します。
- Windows Vista、Windows 7 または Windows Server 2008 で、C:\ProgramData\VMWare\VMware Tools\tools.conf に tools config が見つからない場合、このファイルを作成します。
- 次の行を tools.conf ファイルに追加して、ユーザー モード コンポーネントのロギングを有効にします。
[logging] log = true vsep.level = debug vsep.handler = vmx
vsep.handler = vmx が設定されているため、ユーザー モード コンポーネントのログは vmware.log に出力されます。このファイルは、ESXi ホストで該当する仮想マシンのフォルダにあります。
次の設定を行うと、指定したログ ファイルにユーザー モード コンポーネントのログが出力されます。
vsep.handler = file vsep.data = c:/path/to/vsep.log