シン エージェントは仮想マシンのゲスト OS にインストールされ、ファイル、ネットワーク、プロセスなど、さまざまなタイプの I/O アクティビティを傍受します。

ログのパスとサンプル メッセージ

シン エージェントは、NSX ゲスト イントロスペクション ドライバ(vsepflt.sysvnetwfp.sys)で構成されます。

シン エージェントのログは、vCenter Server のログ バンドルの一部として、ESXi ホストにプッシュされます。ログのパスは、/vmfs/volumes/<datastore>/<vmname>/vmware.log です。例:  /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

シン エージェントのメッセージは、<timestamp> <VM Name><Process Name><[PID]>: <message> の形式で記録されます。

以下の Guest: vnet or Guest:vsep のログの例では、ゲスト イントロスペクション ドライバ関連のログ メッセージの後にデバッグ メッセージが続きます。

次はその例です。 
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

NSX ファイル イントロスペクション ドライバ ログを有効にする

デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整(スロットル)が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。

この手順では、Windows レジストリを変更する必要があります。レジストリを変更する前に、レジストリのバックアップを行ってください。レジストリのバックアップとリストアの詳細については、Microsoft 社のナレッジベースの記事 136393 を参照してください。

  1. [スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。

  2. レジストリ エディターで HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters キーを作成します。
  3. 新しく作成したパラメータ キーの下に、次の DWORD を作成します。これらの値を入力するときに、16 進数が選択されていることを確認します。 
    Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10

    log level パラメータ キーの他の値: 

    Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10

  4. ファイル イントロスペクション ドライバを再起動する必要がある場合は、管理者としてコマンド プロンプトを開きます。次のコマンドを実行して、NSX Endpoint ファイル システム ミニドライバをアンロードし、再ロードします。

    • fltmc unload vsepflt
    • fltmc load vsepflt

    仮想マシンにある vmware.log ファイルでログ エントリを確認できます。

NSX ネットワーク イントロスペクション ドライバ ログを有効にする

デバッグを設定すると、vmware.log ファイルがいっぱいになり、調整が行われる可能性があります。このため、必要な情報をすべて収集したらすぐにデバッグ モードを無効にすることをお勧めします。

この手順では、Windows レジストリを変更する必要があります。レジストリを変更する前に、レジストリのバックアップを行ってください。レジストリのバックアップとリストアの詳細については、Microsoft 社のナレッジベースの記事 136393 を参照してください。
  1. [スタート] > [ファイル名を指定して実行] の順にクリックします。regedit と入力して、[OK] をクリックします。レジストリ エディターのウィンドウが開きます。詳細については、Microsoft 社のナレッジベースの記事 256986 を参照してください。
  2. レジストリを編集します。 
    Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001

レジストリで log_destDWORD: 0x00000001 に設定されているため、エンドポイントのシン エージェント ドライバのログがデバッガに転送されます。デバッガ(SysInternals の DbgView または windbg)を実行します。

あるいは、レジストリで log_destDWORD:0x000000002 に設定することもできます。この場合、ドライバ ログは vmware.log に出力されます。このファイルは、ESXi ホストの該当する仮想マシンのフォルダに保存されます。

UMC のログ作成を有効にする

エンドポイント保護ユーザー モード コンポーネント (UMC) は、保護対象の仮想マシンの VMware Tools サービス内で実行されます。

  1. Windows 仮想マシンで、C:\ProgramData\VMWare\VMware Tools\tools.conftools config ファイルが見つからない場合、このファイルを作成します。

  2. 次の行を tools.conf ファイルに追加して、ユーザー モード コンポーネントのロギングを有効にします。 
    [logging]
log = true
vsep.level = debug
vsep.handler = vmx

    vsep.handler = vmx が設定されているため、ユーザー モード コンポーネントのログは vmware.log に出力されます。このファイルは、ESXi ホストで該当する仮想マシンのフォルダにあります。

    次の設定を行うと、指定したログ ファイルにユーザー モード コンポーネントのログが出力されます。 

    vsep.handler = file
vsep.data = c:/path/to/vsep.log

Windows でのシン エージェントのトラブルシューティング

  1. 関連するすべてのコンポーネントの互換性を確認します。ESXi、vCenter Server、NSX Manager、選択したセキュリティ ソリューション(Trend Micro、McAfee、Kaspersky、Symantec など)のビルド番号が必要です。このデータを収集して、vSphere コンポーネントの互換性を比較します。詳細については、VMware 製品互換性マトリクスを参照してください。
  2. VMware Tools™ が最新であることを確認します。特定の仮想マシンのみが影響を受ける場合は、Installing and upgrading VMware Tools in vSphere (2004754)を参照してください。
  3. PowerShell コマンド fltmc を実行して、シン エージェントがロードされていることを確認します。

    ドライバのリストに vsepflt があることを確認します。ドライバがロードされていない場合は、fltmc load vsepflt コマンドを実行してドライバをロードします。

  4. シン エージェントが原因でシステムのパフォーマンスに問題が発生している場合は、fltmc unload vsepflt コマンドを実行してドライバをアンロードします。

  5. ネットワーク イントロスペクションを使用していない場合は、このドライバを削除するか、無効にします。

    VMware Tools インストーラの変更メニューでもネットワーク イントロスペクションを削除できます。
    1. VMware Tools インストーラをマウントします。
    2. [コントロール パネル] > [プログラムと機能] の順に移動します。
    3. 右クリックして、[VMware Tools] > [変更] の順に選択します。
    4. [完全インストール] を選択します。
    5. NSX ファイル イントロスペクションを検索します。これには、ネットワーク イントロスペクションのサブフォルダが含まれます。
    6. [ネットワーク イントロスペクション] を無効にします。
    7. 仮想マシンを再起動して、ドライバのアンインストールを完了します。
  6. シン エージェントのデバッグ ログを有効にします。すべてのデバッグ情報がその仮想マシンの vmware.log ファイルに記録されます。
  7. procmon ログを確認して、シン エージェントのファイル スキャンを確認します。詳細については、Troubleshooting vShield Endpoint performance issues with anti-virus software (2094239)を参照してください。

Windows でのシン エージェントのクラッシュのトラブルシューティング

シン エージェント カーネル モード コンポーネントがクラッシュすると、メモリ ダンプが /%systemroot%\MEMORY.DM に生成されます。