シン エージェントは、仮想マシンのゲスト OS にインストールされ、ユーザー ログインの詳細を検出します。

ログのパスとサンプル メッセージ

シン エージェントは、ゲスト イントロスペクション ドライバの vsepflt.sys と vnetwfp.sys(Windows 10 以降)で構成されます。

シン エージェントのログは、vCenter Server のログ バンドルの一部として、ESXi ホストに保存されます。ログのパスは、/vmfs/volumes/<datastore>/<vmname>/vmware.log です。例:  /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

シン エージェントのメッセージは、<timestamp> <VM Name><Process Name><[PID]>: <message> の形式で記録されます。

以下の Guest: vnet or Guest:vsep のログの例では、ゲスト イントロスペクション ドライバ関連のログ メッセージの後にデバッグ メッセージが続きます。

次はその例です。
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

vShield ゲスト イントロスペクション シン エージェント ドライバのログ作成を有効にする

デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整(スロットル)が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。

この手順では、Windows レジストリを変更する必要があります。レジストリを変更する前に、レジストリのバックアップを行ってください。レジストリのバックアップとリストアの詳細については、Microsoft 社のナレッジベースの記事 136393 を参照してください。

シン エージェント ドライバのデバッグ ログの作成を有効にするには:

  1. [スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。

  2. レジストリ エディターで HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters キーを作成します。
  3. 新しく作成したパラメータ キーの下に、次の DWORD を作成します。これらの値を入力するときに、16 進数が選択されていることを確認します。
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    log level パラメータ キーの他の値:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. 管理者としてコマンド プロンプトを開きます。次のコマンドを実行して、vShield Endpoint ファイル システム ミニドライバをアンロードし、再ロードします。
    • fltmc unload vsepflt
    • fltmc load vsepflt

    仮想マシンにある vmware.log ファイルでログ エントリを確認できます。

vShield ゲスト イントロスペクション ネットワーク イントロスペクション ドライバのログインを有効にする

デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。

この手順では、Windows レジストリを変更する必要があります。レジストリを変更する前に、レジストリのバックアップを行ってください。レジストリのバックアップとリストアの詳細については、Microsoft 社のナレッジベースの記事 136393 を参照してください。
  1. [スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。
  2. レジストリを編集します。
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 
  3. 仮想マシンを再起動します。

vsepflt.sys ログ ファイルの場所

レジストリで log_destDWORD: 0x00000001 に設定されているため、エンドポイント シン エージェント ドライバのログがデバッガに出力されます。デバッガ(SysInternals の DbgView または windbg)を実行します。

あるいは、レジストリで log_destDWORD:0x000000002 に設定することもできます。この場合、ドライバ ログは vmware.log に出力されます。このファイルは、ESXi ホストの該当する仮想マシンのフォルダに保存されます。

UMC のログ作成を有効にする

エンドポイント保護ユーザー モード コンポーネント (UMC) は、保護対象の仮想マシンの VMware Tools サービス内で実行されます。

  1. Windows XP または Windows Server 2003 で、C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf に tools config ファイルが見つからない場合、このファイルを作成します。
  2. Windows Vista、Windows 7 または Windows Server 2008 で、C:\ProgramData\VMWare\VMware Tools\tools.conf に tools config が見つからない場合、このファイルを作成します。
  3. 次の行を tools.conf ファイルに追加して、ユーザー モード コンポーネントのロギングを有効にします。
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    vsep.handler = vmx が設定されているため、ユーザー モード コンポーネントのログは vmware.log に出力されます。このファイルは、ESXi ホストで該当する仮想マシンのフォルダにあります。

    次の設定を行うと、指定したログ ファイルにユーザー モード コンポーネントのログが出力されます。

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log