Thin Agent는 VM 게스트 OS에 설치되고 사용자 로그온 세부 정보를 감지합니다.

로그 경로 및 샘플 메시지

Thin Agent는 GI 드라이버인 vsepflt.sys, vnetwfp.sys(Windows 10 이상)로 구성되어 있습니다.

Thin Agent 로그는 VCenter 로그 번들의 일부로 ESXi 호스트에 있습니다. 로그 경로는 /vmfs/volumes/<datastore>/<vmname>/vmware.log입니다. 예: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

Thin Agent 메시지는 <timestamp> <VM Name><Process Name><[PID]>: <message> 형식을 따릅니다.

Guest: vnet or Guest:vsep 아래의 로그 예제에서는 해당 GI 드라이버와 관련된 로그 메시지와 디버그 메시지를 차례로 표시합니다.

예: 
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

vShield Guest Introspection Thin Agent 드라이버 로깅 사용

디버그 설정은 vmware.log 파일을 조절하는 지점까지 플러딩할 수 있으므로 필요한 모든 정보를 수집한 후에는 바로 디버그 모드를 사용하지 않도록 설정하는 것이 좋습니다.

이 절차에서는 Windows 레지스트리를 수정해야 합니다. 레지스트리를 수정하기 전에 레지스트리 백업을 생성해야 합니다. 레지스트리 백업 및 복원에 대한 자세한 내용은 Microsoft 기술 자료 문서 136393을 참조하십시오.

Thin Agent 드라이버에 대한 디버그 로깅을 사용하도록 설정하려면:

  1. 시작 > 실행을 클릭합니다. regedit를 입력하고 확인을 클릭합니다. 레지스트리 편집기 창이 열립니다. 자세한 내용은 Microsoft 기술 자료 문서 256986을 참조하십시오.

  2. 레지스트리 편집기를 사용하여 다음 키를 생성합니다. HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters
  3. 새로 생성된 매개 변수 키 아래에 이러한 DWORD를 생성합니다. 이러한 값을 입력할 때는 16진수를 선택해야 합니다. 
    Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10

    log level 매개 변수 키의 다른 값: 

    Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10
  4. 관리자 권한으로 명령 프롬프트를 엽니다. 다음 명령을 실행하여 vShield Endpoint 파일 시스템 미니 드라이버를 언로드했다가 다시 로드합니다.
    • fltmc unload vsepflt
    • fltmc load vsepflt

    가상 시스템에 있는 vmware.log 파일에서 로그 항목을 찾을 수 있습니다.

vShield GI 네트워크 검사 드라이버 로깅 사용

디버그 설정은 vmware.log 파일을 조절할 수 있는 지점까지 플러딩할 수 있으므로 필요한 모든 정보를 수집한 후에는 바로 디버그 모드를 사용하지 않도록 설정하는 것이 좋습니다.

이 절차에서는 Windows 레지스트리를 수정해야 합니다. 레지스트리를 수정하기 전에 레지스트리 백업을 생성해야 합니다. 레지스트리 백업 및 복원에 대한 자세한 내용은 Microsoft 기술 자료 문서 136393을 참조하십시오.
  1. 시작 > 실행을 클릭합니다. regedit를 입력하고 확인을 클릭합니다. 레지스트리 편집기 창이 열립니다. 자세한 내용은 Microsoft 기술 자료 문서 256986을 참조하십시오.
  2. 레지스트리를 편집합니다. 
    Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001
  3. 가상 시스템을 재부팅합니다.

vsepflt.sys 로그 파일 위치

log_dest 레지스트리 설정 DWORD: 0x00000001을 사용하여 Endpoint Thin Agent 드라이버가 디버거에 로깅합니다. 디버거(SysInternals 또는 windbg의 DbgView)를 실행하여 디버그 출력을 캡처합니다.

또는 log_dest 레지스트리 설정 DWORD:0x000000002를 설정할 수 있습니다. 이 경우 드라이버 로그는 ESXi 호스트의 해당 가상 시스템 폴더에 있는 vmware.log 파일에 인쇄됩니다.

UMC 로깅 사용

끝점 보호 UMC(사용자 모드 구성 요소)는 보호된 가상 시스템의 VMware Tools 서비스 내에서 실행됩니다.

  1. Windows XP 및 Windows Server 2003에서는 경로 C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf에 존재하지 않을 경우 tools config 파일을 생성합니다.
  2. Windows Vista, Windows 7 및 Windows Server 2008에서는 경로 C:\ProgramData\VMWare\VMware Tools\tools.conf에 존재하지 않을 경우 tools config 파일을 생성합니다.
  3. tools.conf 파일에 다음 줄을 추가하여 UMC 구성 요소 로깅을 사용하도록 설정합니다. 
    [logging]
log = true
vsep.level = debug
vsep.handler = vmx

    vsep.handler = vmx 설정에서 UMC 구성 요소는 ESXi 호스트의 해당 가상 시스템 폴더에 있는 vmware.log 파일에 로그인합니다.

    다음 설정 로그를 사용하면 UMC 구성 요소 로그가 지정한 로그 파일에 인쇄됩니다. 

    vsep.handler = file
vsep.data = c:/path/to/vsep.log