精簡型代理程式會安裝在虛擬機器客體作業系統上,並偵測使用者登入詳細資料。
記錄路徑和範例訊息
精簡型代理程式包含 GI 驅動程式 - vsepflt.sys、vnetwfp.sys (Windows 10 及更新版本)。
精簡型代理程式記錄位於 ESXi 主機上,屬於 vCenter 記錄服務包的一部分。記錄路徑為 /vmfs/volumes/<datastore>/<vmname>/vmware.log 例如: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log
精簡型代理程式訊息會遵循格式:<timestamp> <VM Name><Process Name><[PID]>: <message>。
在 Guest: vnet or Guest:vsep 下方的記錄範例中,指出與個別 GI 驅動程式相關的記錄訊息,後面接著偵錯訊息。
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
啟用 vShield Guest Introspection 精簡型代理程式記錄
由於偵錯設定可能會讓 vmware.log 檔案湧入其節流的點,建議您於收集所有必要資訊後,立即停用偵錯模式。
此程序需要您修改 Windows 登錄。在修改登錄之前,請務必備份登錄。如需有關備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫文章 136393。
若要啟用精簡型代理程式驅動程式的偵錯記錄:
-
按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986。
- 使用登錄編輯程式建立此機碼:HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters。
- 在新建立的參數機碼下方,建立這些 DWORD。確保在放入這些值時選取十六進位:
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
log level 參數機碼的其他值:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
- 以管理員身分開啟命令提示字元。執行下列命令以解除載入並重新載入 vShield Endpoint 檔案系統迷你驅動程式:
- fltmc unload vsepflt
- fltmc load vsepflt
您可以在位於虛擬機器的 vmware.log 檔案中找到記錄項目。
啟用 vShield GI 網路自我檢查驅動程式記錄
由於偵錯設定可能會讓 vmware.log 檔案用入它可以進行節流的點,建議您在收集所有必要資訊後,隨即停用偵錯模式。
- 按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986。
- 編輯登錄:
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
- 將虛擬機器重新開機。
vsepflt.sys 記錄檔位置
使用 log_dest 登錄設定 DWORD: 0x00000001,端點精簡型代理程式驅動程式會記錄至偵錯工具。執行偵錯工具 (來自 SysInternals 或 windbg 的 DbgView),以擷取偵錯輸出。
或者,您也可以將 log_dest 登錄設定設為 DWORD: 0x000000002,在此情況下,驅動程式記錄會列印到 vmware.log 檔案,該檔案位於 ESXi 主機上對應的虛擬機器資料夾中。
啟用 UMC 記錄
端點保護使用者模式元件 (UMC) 會在受保護虛擬機器中的 VMware Tools 服務內執行。
- 在 Windows XP 和 Windows Server 2003 上,建立 tools config 檔案 (如果該檔案尚不存在於下列路徑中:C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf)。
- 在 Windows Vista、Windows 7 和 Windows Server 2008 上,建立 tools config 檔案 (如果該檔案尚不存在於下列路徑中:C:\ProgramData\VMWare\VMware Tools\tools.conf)
- 在 tools.conf 檔案中新增這些行,以啟用 UMC 元件記錄。
[logging] log = true vsep.level = debug vsep.handler = vmx
使用 vsep.handler = vmx 設定,UMC 元件會記錄至 vmware.log 檔案 (位於 ESXi 主機上對應的虛擬機器資料夾中)。
使用下列設定記錄,UMC 元件記錄將會列印在指定的記錄檔中。
vsep.handler = file vsep.data = c:/path/to/vsep.log