Thin Agent는 VM 게스트 OS에 설치되고 사용자 활동 세부 정보를 감지합니다.

로그 경로 및 샘플 메시지

Thin Agent는 GI 드라이버인 vsepflt.sys, vnetwfp.sys(Windows 10 이상)로 구성되어 있습니다.

Thin Agent 로그는 vCenter 로그 번들의 일부로 ESXi 호스트에 있습니다. 로그 경로는 /vmfs/volumes/<datastore>/<vmname>/vmware.log입니다. 예: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

Thin Agent 메시지는 <timestamp> <VM Name><Process Name><[PID]>: <message> 형식을 따릅니다.

Guest: vnet or Guest:vsep 아래의 로그 예제에서는 해당 GI 드라이버와 관련된 로그 메시지와 디버그 메시지를 차례로 표시합니다.

예: 
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

NSX Guest Introspection 플랫폼 Thin Agent 드라이버 로깅 사용

디버그 설정은 vmware.log 파일을 조절하는 지점까지 플러딩할 수 있으므로 필요한 모든 정보를 수집한 후에는 바로 디버그 모드를 사용하지 않도록 설정하는 것이 좋습니다.

이 절차에서는 Windows 레지스트리를 수정해야 합니다. 레지스트리를 수정하기 전에 레지스트리 백업을 생성해야 합니다. 레지스트리 백업 및 복원에 대한 자세한 내용은 Microsoft 기술 자료 문서 136393을 참조하십시오.

  1. 시작 > 실행을 클릭합니다. regedit를 입력하고 확인을 클릭합니다. 레지스트리 편집기 창이 열립니다. 자세한 내용은 Microsoft 기술 자료 문서 256986을 참조하십시오.

  2. 레지스트리 편집기를 사용하여 다음 키를 생성합니다. HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters
  3. 새로 생성된 매개 변수 키 아래에 이러한 DWORD를 생성합니다. 이러한 값을 입력할 때는 16진수를 선택해야 합니다. 
    Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10

    log level 매개 변수 키의 다른 값: 

    Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10
  4. 관리자 권한으로 명령 프롬프트를 엽니다. 다음 명령을 실행하여 NSX 끝점 파일 시스템 미니 드라이버를 언로드했다가 다시 로드합니다.
    • fltmc unload vsepflt
    • fltmc load vsepflt

    가상 시스템에 있는 vmware.log 파일에서 로그 항목을 찾을 수 있습니다.

NSX Guest Introspection 플랫폼 드라이버 로깅 사용

디버그 설정은 vmware.log 파일을 조절할 수 있는 지점까지 플러딩할 수 있으므로 필요한 모든 정보를 수집한 후에는 바로 디버그 모드를 사용하지 않도록 설정하는 것이 좋습니다.

이 절차에서는 Windows 레지스트리를 수정해야 합니다. 레지스트리를 수정하기 전에 레지스트리 백업을 생성해야 합니다. 레지스트리 백업 및 복원에 대한 자세한 내용은 Microsoft 기술 자료 문서 136393을 참조하십시오.
  1. 시작 > 실행을 클릭합니다. regedit를 입력하고 확인을 클릭합니다. 레지스트리 편집기 창이 열립니다. 자세한 내용은 Microsoft 기술 자료 문서 256986을 참조하십시오.
  2. 레지스트리를 편집합니다. 
    Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001
  3. 가상 시스템을 재부팅합니다.

vsepflt.sys 로그 파일 위치

log_dest 레지스트리 설정 DWORD: 0x00000001을 사용하여 Endpoint Thin Agent 드라이버가 디버거에 로깅합니다. 디버거(SysInternals 또는 windbg의 DbgView)를 실행하여 디버그 출력을 캡처합니다.

또는 log_dest 레지스트리 설정 DWORD:0x000000002를 설정할 수 있습니다. 이 경우 드라이버 로그는 ESXi 호스트의 해당 가상 시스템 폴더에 있는 vmware.log 파일에 인쇄됩니다.

UMC 로깅 사용

끝점 보호 UMC(사용자 모드 구성 요소)는 보호된 가상 시스템의 VMware Tools 서비스 내에서 실행됩니다.

  1. Windows XP 및 Windows Server 2003에서는 경로 C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf에 존재하지 않을 경우 tools config 파일을 생성합니다.
  2. Windows Vista, Windows 7 및 Windows Server 2008에서는 경로 C:\ProgramData\VMWare\VMware Tools\tools.conf에 존재하지 않을 경우 tools config 파일을 생성합니다.
  3. tools.conf 파일에 다음 줄을 추가하여 UMC 구성 요소 로깅을 사용하도록 설정합니다. 
    [logging]
log = true
vsep.level = debug
vsep.handler = vmx

    vsep.handler = vmx 설정에서 UMC 구성 요소는 ESXi 호스트의 해당 가상 시스템 폴더에 있는 vmware.log 파일에 로그인합니다.

    다음 설정 로그를 사용하면 UMC 구성 요소 로그가 지정한 로그 파일에 인쇄됩니다. 

    vsep.handler = file
vsep.data = c:/path/to/vsep.log

Windows의 Thin Agent 문제 해결

  1. 관련된 모든 구성 요소의 호환성을 확인합니다. ESXi, vCenter Server, NSX Manager 및 선택한 보안 솔루션(예: Trend Micro, McAfee, Kaspersky 또는 Symantec)의 빌드 번호가 필요합니다. 이 데이터를 수집한 후 vSphere 구성 요소의 호환성을 비교할 수 있습니다. 자세한 내용은 VMware 제품 상호 운용성 매트릭스를 참조하십시오.
  2. VMware Tools™가 최신 상태인지 확인합니다. 특정 가상 시스템이 영향을 받는다는 것이 확인되면 vSphere에서 VMware Tools 설치 및 업그레이드(2004754)를 참조하십시오.
  3. PowerShell 명령 fltmc를 실행하여 Thin Agent가 로드되었는지 확인합니다.

    vsepflt가 드라이버의 목록에 포함되어 있는지 확인합니다. 드라이버가 로드되지 않은 경우 fltmc load vsepflt 명령을 사용하여 드라이버를 로드합니다.

  4. Thin Agent가 시스템에 성능 문제를 야기하는 경우 fltmc unload vsepflt 명령을 실행하여 드라이버를 언로드합니다.

  5. 다음으로, 테스트를 수행하여 기준선을 얻습니다. 다음 명령을 실행하여 드라이버를 로드하고 다른 테스트를 수행할 수 있습니다.

    fltmc load vsepflt 항목을 참조하십시오.

    Thin Agent에 성능 문제가 있음을 확인한 경우 NSX/vCloud Networking & Security에서 VMware Tools를 업그레이드한 후에 VM이 느려짐(2144236)을 참조하십시오.

  6. 네트워크 검사를 사용하지 않는 경우 이 드라이버를 제거하거나 사용하지 않도록 설정합니다.

    VMware Tools 설치 관리자를 수정하여 네트워크 검사를 제거할 수도 있습니다.
    1. VMware Tools 설치 관리자를 마운트합니다.
    2. 제어판 > 프로그램 및 기능으로 이동합니다.
    3. 마우스 오른쪽 버튼으로 VMware Tools > 수정을 클릭합니다.
    4. 설치 완료를 선택합니다.
    5. NSX 파일 자체 검사를 찾습니다. 여기에는 네트워크 검사용 하위 폴더가 포함됩니다.
    6. 네트워크 검사를 사용하지 않도록 설정합니다.
    7. VM을 재부팅하여 드라이버 제거를 완료합니다.
  7. Thin Agent에 대해 디버그 로깅을 사용하도록 설정합니다. 모든 디버깅 정보는 해당 가상 시스템에 대한 vmware.log 파일에 기록되도록 구성됩니다.
  8. procmon 로그를 검토하여 Thin Agent의 파일 검사를 검토합니다. 자세한 내용은 바이러스 백신 소프트웨어로 인한 vShield Endpoint 성능 문제 해결(2094239)을 참조하십시오.

Windows의 Thin Agent 충돌 문제 해결

Thin Agent가 충돌하는 경우 /directory에 코어 파일이 생성됩니다. location / directory에서 코어 덤프 파일(코어)을 수집합니다.