シン エージェントは、仮想マシンのゲスト OS にインストールされ、ユーザー アクティビティの詳細を検出します。

ログのパスとサンプル メッセージ

シン エージェントは、ゲスト イントロスペクション ドライバの vsepflt.sysvnetwfp.sys(Windows 10 以降)で構成されます。

シン エージェントのログは、vCenter Server のログ バンドルの一部として、ESXi ホストに保存されます。ログのパスは、/vmfs/volumes/<datastore>/<vmname>/vmware.log です。例:  /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

シン エージェントのメッセージは、<timestamp> <VM Name><Process Name><[PID]>: <message> の形式で記録されます。

以下の Guest: vnet or Guest:vsep のログの例では、ゲスト イントロスペクション ドライバ関連のログ メッセージの後にデバッグ メッセージが続きます。

次はその例です。
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

NSX ゲスト イントロスペクション プラットフォーム シン エージェント ドライバ ログの有効化

デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整(スロットル)が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。

この手順では、Windows レジストリを変更する必要があります。レジストリを変更する前に、レジストリのバックアップを行ってください。レジストリのバックアップとリストアの詳細については、Microsoft 社のナレッジベースの記事 136393 を参照してください。

  1. [スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。

  2. レジストリ エディターで HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters キーを作成します。
  3. 新しく作成したパラメータ キーの下に、次の DWORD を作成します。これらの値を入力するときに、16 進数が選択されていることを確認します。
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    log level パラメータ キーの他の値:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. 管理者としてコマンド プロンプトを開きます。次のコマンドを実行して、NSX Endpoint ファイル システム ミニドライバをアンロードし、再ロードします。
    • fltmc unload vsepflt
    • fltmc load vsepflt

    仮想マシンにある vmware.log ファイルでログ エントリを確認できます。

NSX ゲスト イントロスペクション プラットフォーム ドライバ ログの有効化

デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。

この手順では、Windows レジストリを変更する必要があります。レジストリを変更する前に、レジストリのバックアップを行ってください。レジストリのバックアップとリストアの詳細については、Microsoft 社のナレッジベースの記事 136393 を参照してください。
  1. [スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。
  2. レジストリを編集します。
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 
  3. 仮想マシンを再起動します。

vsepflt.sys ログ ファイルの場所

レジストリで log_destDWORD: 0x00000001 に設定されているため、エンドポイント シン エージェント ドライバのログがデバッガに出力されます。デバッガ(SysInternals の DbgView または windbg)を実行します。

あるいは、レジストリで log_destDWORD:0x000000002 に設定することもできます。この場合、ドライバ ログは vmware.log に出力されます。このファイルは、ESXi ホストの該当する仮想マシンのフォルダに保存されます。

UMC のログ作成を有効にする

エンドポイント保護ユーザー モード コンポーネント (UMC) は、保護対象の仮想マシンの VMware Tools サービス内で実行されます。

  1. Windows XP または Windows Server 2003 で、C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf に tools config ファイルが見つからない場合、このファイルを作成します。
  2. Windows Vista、Windows 7 または Windows Server 2008 で、C:\ProgramData\VMWare\VMware Tools\tools.conf に tools config が見つからない場合、このファイルを作成します。
  3. 次の行を tools.conf ファイルに追加して、ユーザー モード コンポーネントのロギングを有効にします。
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    vsep.handler = vmx が設定されているため、ユーザー モード コンポーネントのログは vmware.log に出力されます。このファイルは、ESXi ホストで該当する仮想マシンのフォルダにあります。

    次の設定を行うと、指定したログ ファイルにユーザー モード コンポーネントのログが出力されます。

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log

Windows でのシン エージェントのトラブルシューティング

  1. 関連するすべてのコンポーネントの互換性を確認します。ESXi、vCenter Server、NSX Manager、選択したセキュリティ ソリューション(Trend Micro、McAfee、Kaspersky、Symantec など)のビルド番号が必要です。このデータを収集して、vSphere コンポーネントの互換性を比較します。詳細については、VMware 製品互換性マトリクスを参照してください。
  2. VMware Tools™ が最新であることを確認します。特定の仮想マシンのみが影響を受ける場合は、Installing and upgrading VMware Tools in vSphere (2004754)を参照してください。
  3. PowerShell コマンド fltmc を実行して、シン エージェントがロードされていることを確認します。

    ドライバのリストに vsepflt があることを確認します。ドライバがロードされていない場合は、fltmc load vsepflt コマンドを実行してドライバをロードします。

  4. シン エージェントが原因でシステムのパフォーマンスに問題が発生している場合は、fltmc unload vsepflt コマンドを実行してドライバをアンロードします。

  5. 次に、テストを実行して、ベースラインを取得します。ドライバをロードし、次のコマンドを実行して、別のテストを実行します。

    fltmc load vsepflt

    シン エージェントにパフォーマンスの問題があるかどうか確認する方法については、Slow VMs after upgrading VMware tools in NSX and vCloud Networking and Security (2144236)を参照してください。

  6. ネットワーク イントロスペクションを使用していない場合は、このドライバを削除するか、無効にします。

    VMware Tools インストーラの変更メニューでもネットワーク イントロスペクションを削除できます。
    1. VMware Tools インストーラをマウントします。
    2. [コントロール パネル] > [プログラムと機能] の順に移動します。
    3. 右クリックして、[VMware Tools] > [変更] の順に選択します。
    4. [完全インストール] を選択します。
    5. NSX ファイル イントロスペクションを検索します。これには、ネットワーク イントロスペクションのサブフォルダが含まれます。
    6. [ネットワーク イントロスペクション] を無効にします。
    7. 仮想マシンを再起動して、ドライバのアンインストールを完了します。
  7. シン エージェントのデバッグ ログを有効にします。すべてのデバッグ情報がその仮想マシンの vmware.log ファイルに記録されます。
  8. procmon ログを確認して、シン エージェントのファイル スキャンを確認します。詳細については、Troubleshooting vShield Endpoint performance issues with anti-virus software (2094239)を参照してください。

Windows でのシン エージェントのクラッシュのトラブルシューティング

シン エージェントがクラッシュすると、/directory にコア ファイルが生成されます。location/directory からコア ダンプ ファイル (コア) を収集します。