シン エージェントは仮想マシンのゲスト OS にインストールされ、ファイル、ネットワーク、プロセスなど、さまざまなタイプの I/O アクティビティを傍受します。
ログのパスとサンプル メッセージ
シン エージェントは、NSX ゲスト イントロスペクション ドライバ(vsepflt.sys、vnetwfp.sys)で構成されます。
シン エージェントのログは、vCenter Server のログ バンドルの一部として、ESXi ホストにプッシュされます。ログのパスは、/vmfs/volumes/<datastore>/<vmname>/vmware.log です。例: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log
シン エージェントのメッセージは、<timestamp> <VM Name><Process Name><[PID]>: <message> の形式で記録されます。
以下の Guest: vnet or Guest:vsep のログの例では、ゲスト イントロスペクション ドライバ関連のログ メッセージの後にデバッグ メッセージが続きます。
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
NSX ファイル イントロスペクション ドライバ ログを有効にする
デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整(スロットル)が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。
この手順では、Windows レジストリを変更する必要があります。レジストリを変更する前に、レジストリのバックアップを行ってください。レジストリのバックアップとリストアの詳細については、Microsoft 社のナレッジベースの記事 136393 を参照してください。
[スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。
- レジストリ エディターで HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters キーを作成します。
- 新しく作成したパラメータ キーの下に、次の DWORD を作成します。これらの値を入力するときに、16 進数が選択されていることを確認します。
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
log level パラメータ キーの他の値:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
ファイル イントロスペクション ドライバを再起動する必要がある場合は、管理者としてコマンド プロンプトを開きます。次のコマンドを実行して、NSX Endpoint ファイル システム ミニドライバをアンロードし、再ロードします。
- fltmc unload vsepflt
- fltmc load vsepflt
仮想マシンにある vmware.log ファイルでログ エントリを確認できます。
NSX ネットワーク イントロスペクション ドライバ ログを有効にする
デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。
- [スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。
- レジストリを編集します。
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
レジストリで log_dest が DWORD: 0x00000001 に設定されているため、エンドポイントのシン エージェント ドライバのログがデバッガに転送されます。デバッガ(SysInternals の DbgView または windbg)を実行します。
あるいは、レジストリで log_dest を DWORD:0x000000002 に設定することもできます。この場合、ドライバ ログは vmware.log に出力されます。このファイルは、ESXi ホストの該当する仮想マシンのフォルダに保存されます。
UMC のログ作成を有効にする
エンドポイント保護ユーザー モード コンポーネント (UMC) は、保護対象の仮想マシンの VMware Tools サービス内で実行されます。
Windows 仮想マシンで、C:\ProgramData\VMWare\VMware Tools\tools.conf に tools config ファイルが見つからない場合、このファイルを作成します。
- 次の行を tools.conf ファイルに追加して、ユーザー モード コンポーネントのロギングを有効にします。
[logging] log = true vsep.level = debug vsep.handler = vmx
vsep.handler = vmx が設定されているため、ユーザー モード コンポーネントのログは vmware.log に出力されます。このファイルは、ESXi ホストで該当する仮想マシンのフォルダにあります。
次の設定を行うと、指定したログ ファイルにユーザー モード コンポーネントのログが出力されます。
vsep.handler = file vsep.data = c:/path/to/vsep.log
Windows でのシン エージェントのトラブルシューティング
- 関連するすべてのコンポーネントの互換性を確認します。ESXi、vCenter Server、NSX Manager、選択したセキュリティ ソリューション(Trend Micro、McAfee、Kaspersky、Symantec など)のビルド番号が必要です。このデータを収集して、vSphere コンポーネントの互換性を比較します。詳細については、VMware 製品互換性マトリクスを参照してください。
- VMware Tools™ が最新であることを確認します。特定の仮想マシンのみが影響を受ける場合は、Installing and upgrading VMware Tools in vSphere (2004754)を参照してください。
- PowerShell コマンド fltmc を実行して、シン エージェントがロードされていることを確認します。
ドライバのリストに vsepflt があることを確認します。ドライバがロードされていない場合は、fltmc load vsepflt コマンドを実行してドライバをロードします。
シン エージェントが原因でシステムのパフォーマンスに問題が発生している場合は、fltmc unload vsepflt コマンドを実行してドライバをアンロードします。
ネットワーク イントロスペクションを使用していない場合は、このドライバを削除するか、無効にします。
VMware Tools インストーラの変更メニューでもネットワーク イントロスペクションを削除できます。- VMware Tools インストーラをマウントします。
- [コントロール パネル] > [プログラムと機能] の順に移動します。
- 右クリックして、[VMware Tools] > [変更] の順に選択します。
- [完全インストール] を選択します。
- NSX ファイル イントロスペクションを検索します。これには、ネットワーク イントロスペクションのサブフォルダが含まれます。
- [ネットワーク イントロスペクション] を無効にします。
- 仮想マシンを再起動して、ドライバのアンインストールを完了します。
- シン エージェントのデバッグ ログを有効にします。すべてのデバッグ情報がその仮想マシンの vmware.log ファイルに記録されます。
- procmon ログを確認して、シン エージェントのファイル スキャンを確認します。詳細については、Troubleshooting vShield Endpoint performance issues with anti-virus software (2094239)を参照してください。
Windows でのシン エージェントのクラッシュのトラブルシューティング
シン エージェント カーネル モード コンポーネントがクラッシュすると、メモリ ダンプが /%systemroot%\MEMORY.DM に生成されます。