Thin Agent는 VM 게스트 운영 체제에 설치되고 파일, 네트워크, 프로세스 등을 포함하는 다양한 유형의 IO 작업을 가로챕니다.
로그 경로 및 샘플 메시지
Thin Agent는 vsepflt.sys, vnetwfp.sys의 NSX Guest Introspection 드라이버로 구성됩니다.
Thin Agent 로그는 vCenter 로그 번들의 일부로 ESXi 호스트에 푸시됩니다. 로그 경로는 /vmfs/volumes/<datastore>/<vmname>/vmware.log입니다. 예: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log
Thin Agent 메시지는 <timestamp> <VM Name><Process Name><[PID]>: <message> 형식을 따릅니다.
Guest: vnet or Guest:vsep 아래의 로그 예제에서는 해당 GI 드라이버와 관련된 로그 메시지와 디버그 메시지를 차례로 표시합니다.
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
NSX 파일 자체 검사 드라이버 로그 사용
디버그 설정은 vmware.log 파일을 조절하는 지점까지 플러딩할 수 있으므로 필요한 모든 정보를 수집한 후에는 바로 디버그 모드를 사용하지 않도록 설정하는 것이 좋습니다.
이 절차에서는 Windows 레지스트리를 수정해야 합니다. 레지스트리를 수정하기 전에 레지스트리 백업을 생성해야 합니다. 레지스트리 백업 및 복원에 대한 자세한 내용은 Microsoft 기술 자료 문서 136393을 참조하십시오.
시작 > 실행을 클릭합니다. regedit를 입력하고 확인을 클릭합니다. 레지스트리 편집기 창이 열립니다. 자세한 내용은 Microsoft 기술 자료 문서 256986을 참조하십시오.
- 레지스트리 편집기를 사용하여 다음 키를 생성합니다. HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters
- 새로 생성된 매개 변수 키 아래에 이러한 DWORD를 생성합니다. 이러한 값을 입력할 때는 16진수를 선택해야 합니다.
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
log level 매개 변수 키의 다른 값:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
파일 자체 검사 드라이버를 다시 시작해야 하는 경우 관리자 권한으로 명령 프롬프트를 엽니다. 다음 명령을 실행하여 NSX 끝점 파일 시스템 미니 드라이버를 언로드했다가 다시 로드합니다.
- fltmc unload vsepflt
- fltmc load vsepflt
가상 시스템에 있는 vmware.log 파일에서 로그 항목을 찾을 수 있습니다.
NSX Network Introspection 드라이버 로그 사용
디버그 설정은 vmware.log 파일을 조절할 수 있는 지점까지 플러딩할 수 있으므로 필요한 모든 정보를 수집한 후에는 바로 디버그 모드를 사용하지 않도록 설정하는 것이 좋습니다.
- 시작 > 실행을 클릭합니다. regedit를 입력하고 확인을 클릭합니다. 레지스트리 편집기 창이 열립니다. 자세한 내용은 Microsoft 기술 자료 문서 256986을 참조하십시오.
- 레지스트리를 편집합니다.
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
log_dest 레지스트리 설정 DWORD: 0x00000001을 사용하는 경우 Endpoint Thin Agent 드라이버가 디버거에 로그를 전달합니다. 디버거(SysInternals 또는 windbg의 DbgView)를 실행하여 디버그 출력을 캡처합니다.
또는 log_dest 레지스트리 설정 DWORD:0x000000002를 설정할 수 있습니다. 이 경우 드라이버 로그는 ESXi 호스트의 해당 가상 시스템 폴더에 있는 vmware.log 파일에 인쇄됩니다.
UMC 로깅 사용
끝점 보호 UMC(사용자 모드 구성 요소)는 보호된 가상 시스템의 VMware Tools 서비스 내에서 실행됩니다.
Windows VM에서는 경로 C:\ProgramData\VMWare\VMware Tools\tools.conf에 존재하지 않을 경우 tools config 파일을 생성합니다.
- tools.conf 파일에 다음 줄을 추가하여 UMC 구성 요소 로깅을 사용하도록 설정합니다.
[logging] log = true vsep.level = debug vsep.handler = vmx
vsep.handler = vmx 설정에서 UMC 구성 요소는 ESXi 호스트의 해당 가상 시스템 폴더에 있는 vmware.log 파일에 로그인합니다.
다음 설정 로그를 사용하면 UMC 구성 요소 로그가 지정한 로그 파일에 인쇄됩니다.
vsep.handler = file vsep.data = c:/path/to/vsep.log
Windows의 Thin Agent 문제 해결
- 관련된 모든 구성 요소의 호환성을 확인합니다. ESXi, vCenter Server, NSX Manager 및 선택한 보안 솔루션(예: Trend Micro, McAfee, Kaspersky 또는 Symantec)의 빌드 번호가 필요합니다. 이 데이터를 수집한 후 vSphere 구성 요소의 호환성을 비교할 수 있습니다. 자세한 내용은 VMware 제품 상호 운용성 매트릭스를 참조하십시오.
- VMware Tools™가 최신 상태인지 확인합니다. 특정 가상 시스템이 영향을 받는다는 것이 확인되면 vSphere에서 VMware Tools 설치 및 업그레이드(2004754)를 참조하십시오.
- PowerShell 명령 fltmc를 실행하여 Thin Agent가 로드되었는지 확인합니다.
vsepflt가 드라이버의 목록에 포함되어 있는지 확인합니다. 드라이버가 로드되지 않은 경우 fltmc load vsepflt 명령을 사용하여 드라이버를 로드합니다.
Thin Agent가 시스템에 성능 문제를 야기하는 경우 fltmc unload vsepflt 명령을 실행하여 드라이버를 언로드합니다.
네트워크 검사를 사용하지 않는 경우 이 드라이버를 제거하거나 사용하지 않도록 설정합니다.
VMware Tools 설치 관리자를 수정하여 네트워크 검사를 제거할 수도 있습니다.- VMware Tools 설치 관리자를 마운트합니다.
- 제어판 > 프로그램 및 기능으로 이동합니다.
- 마우스 오른쪽 버튼으로 VMware Tools > 수정을 클릭합니다.
- 설치 완료를 선택합니다.
- NSX 파일 자체 검사를 찾습니다. 여기에는 네트워크 검사용 하위 폴더가 포함됩니다.
- 네트워크 검사를 사용하지 않도록 설정합니다.
- VM을 재부팅하여 드라이버 제거를 완료합니다.
- Thin Agent에 대해 디버그 로깅을 사용하도록 설정합니다. 모든 디버깅 정보는 해당 가상 시스템에 대한 vmware.log 파일에 기록되도록 구성됩니다.
- procmon 로그를 검토하여 Thin Agent의 파일 검사를 검토합니다. 자세한 내용은 바이러스 백신 소프트웨어로 인한 vShield Endpoint 성능 문제 해결(2094239)을 참조하십시오.
Windows의 Thin Agent 충돌 문제 해결
Thin Agent 커널 모드 구성 요소가 충돌하면 메모리 덤프가 /%systemroot%\MEMORY.DM에 생성됩니다.