精簡型代理程式會安裝在虛擬機器客體作業系統上,並偵測使用者登入詳細資料。

記錄路徑和範例訊息

精簡型代理程式包含 GI 驅動程式 - vsepflt.sys、vnetwfp.sys (Windows 10 及更新版本)。

精簡型代理程式記錄位於 ESXi 主機上,屬於 vCenter 記錄服務包的一部分。記錄路徑為 /vmfs/volumes/<datastore>/<vmname>/vmware.log 例如: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

精簡型代理程式訊息會遵循格式:<timestamp> <VM Name><Process Name><[PID]>: <message>。

Guest: vnet or Guest:vsep 下方的記錄範例中,指出與個別 GI 驅動程式相關的記錄訊息,後面接著偵錯訊息。

例如:
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

啟用 vShield Guest Introspection 精簡型代理程式記錄

由於偵錯設定可能會讓 vmware.log 檔案湧入其節流的點,建議您於收集所有必要資訊後,立即停用偵錯模式。

此程序需要您修改 Windows 登錄。在修改登錄之前,請務必備份登錄。如需有關備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫文章 136393

若要啟用精簡型代理程式驅動程式的偵錯記錄:

  1. 按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986

  2. 使用登錄編輯程式建立此機碼:HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters
  3. 在新建立的參數機碼下方,建立這些 DWORD。確保在放入這些值時選取十六進位:
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    log level 參數機碼的其他值:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. 以管理員身分開啟命令提示字元。執行下列命令以解除載入並重新載入 vShield Endpoint 檔案系統迷你驅動程式:
    • fltmc unload vsepflt
    • fltmc load vsepflt

    您可以在位於虛擬機器的 vmware.log 檔案中找到記錄項目。

啟用 vShield GI 網路自我檢查驅動程式記錄

由於偵錯設定可能會讓 vmware.log 檔案用入它可以進行節流的點,建議您在收集所有必要資訊後,隨即停用偵錯模式。

此程序需要您修改 Windows 登錄。在修改登錄之前,請務必備份登錄。如需有關備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫文章 136393
  1. 按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986
  2. 編輯登錄:
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 
  3. 將虛擬機器重新開機。

vsepflt.sys 記錄檔位置

使用 log_dest 登錄設定 DWORD: 0x00000001,端點精簡型代理程式驅動程式會記錄至偵錯工具。執行偵錯工具 (來自 SysInternals 或 windbg 的 DbgView),以擷取偵錯輸出。

或者,您也可以將 log_dest 登錄設定設為 DWORD: 0x000000002,在此情況下,驅動程式記錄會列印到 vmware.log 檔案,該檔案位於 ESXi 主機上對應的虛擬機器資料夾中。

啟用 UMC 記錄

端點保護使用者模式元件 (UMC) 會在受保護虛擬機器中的 VMware Tools 服務內執行。

  1. 在 Windows XP 和 Windows Server 2003 上,建立 tools config 檔案 (如果該檔案尚不存在於下列路徑中:C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf)。
  2. 在 Windows Vista、Windows 7 和 Windows Server 2008 上,建立 tools config 檔案 (如果該檔案尚不存在於下列路徑中:C:\ProgramData\VMWare\VMware Tools\tools.conf)
  3. tools.conf 檔案中新增這些行,以啟用 UMC 元件記錄。
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    使用 vsep.handler = vmx 設定,UMC 元件會記錄至 vmware.log 檔案 (位於 ESXi 主機上對應的虛擬機器資料夾中)。

    使用下列設定記錄,UMC 元件記錄將會列印在指定的記錄檔中。

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log