精簡型代理程式會安裝在虛擬機器客體作業系統上,並偵測使用者活動詳細資料。

記錄路徑和範例訊息

精簡型代理程式包含 GI 驅動程式 - vsepflt.sysvnetwfp.sys (Windows 10 及更新版本)。

精簡型代理程式記錄位於 ESXi 主機上,屬於 vCenter 記錄服務包的一部分。記錄路徑為 /vmfs/volumes/<datastore>/<vmname>/vmware.log 例如: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

精簡型代理程式訊息會遵循格式:<timestamp> <VM Name><Process Name><[PID]>: <message>。

Guest: vnet or Guest:vsep 下方的記錄範例中,指出與個別 GI 驅動程式相關的記錄訊息,後面接著偵錯訊息。

例如:
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

啟用 NSX Guest Introspection 平台精簡型代理程式驅動程式記錄

由於偵錯設定可能會讓 vmware.log 檔案湧入其節流的點,建議您於收集所有必要資訊後,立即停用偵錯模式。

此程序需要您修改 Windows 登錄。在修改登錄之前,請務必備份登錄。如需有關備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫文章 136393

  1. 按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986

  2. 使用登錄編輯程式建立此機碼:HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters
  3. 在新建立的參數機碼下方,建立這些 DWORD。確保在放入這些值時選取十六進位:
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    log level 參數機碼的其他值:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. 以管理員身分開啟命令提示字元。執行下列命令,以解除載入並重新載入 NSX 端點檔案系統迷你驅動程式:
    • fltmc unload vsepflt
    • fltmc load vsepflt

    您可以在位於虛擬機器的 vmware.log 檔案中找到記錄項目。

啟用 NSX Guest Introspection 平台驅動程式記錄

由於偵錯設定可能會讓 vmware.log 檔案用入它可以進行節流的點,建議您在收集所有必要資訊後,隨即停用偵錯模式。

此程序需要您修改 Windows 登錄。在修改登錄之前,請務必備份登錄。如需有關備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫文章 136393
  1. 按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986
  2. 編輯登錄:
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 
  3. 將虛擬機器重新開機。

vsepflt.sys 記錄檔位置

使用 log_dest 登錄設定 DWORD: 0x00000001,端點精簡型代理程式驅動程式會記錄至偵錯工具。執行偵錯工具 (來自 SysInternals 或 windbg 的 DbgView),以擷取偵錯輸出。

或者,您也可以將 log_dest 登錄設定設為 DWORD: 0x000000002,在此情況下,驅動程式記錄會列印到 vmware.log 檔案,該檔案位於 ESXi 主機上對應的虛擬機器資料夾中。

啟用 UMC 記錄

端點保護使用者模式元件 (UMC) 會在受保護虛擬機器中的 VMware Tools 服務內執行。

  1. 在 Windows XP 和 Windows Server 2003 上,建立 tools config 檔案 (如果該檔案尚不存在於下列路徑中:C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf)。
  2. 在 Windows Vista、Windows 7 和 Windows Server 2008 上,建立 tools config 檔案 (如果該檔案尚不存在於下列路徑中:C:\ProgramData\VMWare\VMware Tools\tools.conf)
  3. tools.conf 檔案中新增這些行,以啟用 UMC 元件記錄。
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    使用 vsep.handler = vmx 設定,UMC 元件會記錄至 vmware.log 檔案 (位於 ESXi 主機上對應的虛擬機器資料夾中)。

    使用下列設定記錄,UMC 元件記錄將會列印在指定的記錄檔中。

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log

疑難排解 Windows 上的精簡型代理程式

  1. 檢查所涉及所有元件的相容性。您需要所選取的 ESXi、vCenter Server、NSX Manager,以及您已選取安全性解決方案 (例如,Trend Micro、McAfee、Kaspersky 或 Symantec) 的組建編號。收集此資料後,您可以比較 vSphere 元件的相容性。如需詳細資訊,請參閱 VMware 產品互通性對照表
  2. 確保 VMware Tools™ 是最新的。如果您發現只有特定虛擬機器受到影響,請參閱在 vSphere 中安裝和升級 VMware Tools (2004754)
  3. 透過執行 PowerShell 命令 fltmc 來確認已載入精簡型代理程式。

    確認 vsepflt 包含在驅動程式清單中。如果未載入驅動程式,請嘗試使用 fltmc load vsepflt 命令載入驅動程式。

  4. 如果精簡型代理程式導致系統發生效能問題,請使用此命令來解除載入驅動程式:fltmc unload vsepflt

  5. 接下來,執行測試以取得基準。然後,您可以透過執行此命令來載入驅動程式並執行其他測試:

    fltmc load vsepflt

    如果您確實確認精簡型代理程式存在效能問題,請參閱在 NSX 和 vCloud Networking and Security 中升級 VMware Tools 後虛擬機器緩慢 (2144236)

  6. 如果您未使用網路自我檢查,請移除或停用此驅動程式。

    也可以透過修改 VMware Tools 安裝程式來移除網路自我檢查:
    1. 掛接 VMware Tools 安裝程式。
    2. 導覽至控制台 > 程式和功能
    3. 以滑鼠右鍵按一下 VMware Tools > 修改
    4. 選取完整安裝
    5. 尋找 NSX 檔案自我檢查。這包含用於網路自我檢查的子資料夾。
    6. 停用網路自我檢查
    7. 將虛擬機器重新開機,以完成驅動程式的解除安裝。
  7. 啟用精簡型代理程式的偵錯記錄。所有偵錯資訊皆已設定為記錄至該虛擬機器的 vmware.log 檔案。
  8. 透過檢閱 procmon 記錄,以檢閱精簡型代理程式的檔案掃描。如需詳細資訊,請參閱疑難排解防毒軟體的 vShield Endpoint 效能問題 (2094239)

對 Windows 上的精簡型代理程式當機進行疑難排解

如果精簡型代理程式當機,則會在 /directory 中產生核心檔案。從 location / directory 收集核心傾印檔案 (core)。