精簡型代理程式安裝在虛擬機器客體作業系統上,可攔截各種類型的 IO 活動,包括檔案、網路、程序等。
記錄路徑和範例訊息
精簡型代理程式由 NSX Guest Introspection 驅動程式 (vsepflt.sys、vnetwfp.sys) 組成。
將精簡型代理程式記錄推送到 ESXi 主機上,屬於 vCenter 記錄服務包的一部分。記錄路徑為 /vmfs/volumes/<datastore>/<vmname>/vmware.log 例如: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log
精簡型代理程式訊息會遵循格式:<timestamp> <VM Name><Process Name><[PID]>: <message>。
在 Guest: vnet or Guest:vsep 下方的記錄範例中,指出與個別 GI 驅動程式相關的記錄訊息,後面接著偵錯訊息。
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry : vnetFilter build-4325502 loaded 2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T14:25:20.375Z| vcpu-0| I125: Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded 2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileSocketMgrConnectHelper : Mux is connected 2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\ SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
啟用 NSX 檔案自我檢查驅動程式記錄
由於偵錯設定可能會讓 vmware.log 檔案湧入其節流的點,建議您於收集所有必要資訊後,立即停用偵錯模式。
此程序需要您修改 Windows 登錄。在修改登錄之前,請務必備份登錄。如需有關備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫文章 136393。
按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986。
- 使用登錄編輯程式建立此機碼:HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters。
- 在新建立的參數機碼下方,建立這些 DWORD。確保在放入這些值時選取十六進位:
Name: log_dest Type: DWORD Value: 0x2 Name: log_level Type: DWORD Value: 0x10
log level 參數機碼的其他值:
Audit 0x1 Error 0x2 Warn 0x4 Info 0x8 Debug 0x10
如果需要重新啟動檔案自我檢查驅動程式,請以管理員身分開啟命令提示字元。執行下列命令,以解除載入並重新載入 NSX 端點檔案系統迷你驅動程式:
- fltmc unload vsepflt
- fltmc load vsepflt
您可以在位於虛擬機器的 vmware.log 檔案中找到記錄項目。
啟用 NSX 網路自我檢查驅動程式記錄
由於偵錯設定可能會讓 vmware.log 檔案用入它可以進行節流的點,建議您在收集所有必要資訊後,隨即停用偵錯模式。
- 按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986。
- 編輯登錄:
Windows Registry Editor Version 5.0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] "log_level" = DWORD: 0x0000001F "log_dest" = DWORD: 0x00000001
使用 log_dest 登錄設定 DWORD: 0x00000001 時,端點精簡型代理程式驅動程式記錄將轉送至偵錯工具。執行偵錯工具 (來自 SysInternals 或 windbg 的 DbgView),以擷取偵錯輸出。
或者,您也可以將 log_dest 登錄設定設為 DWORD: 0x000000002,在此情況下,驅動程式記錄會列印到 vmware.log 檔案,該檔案位於 ESXi 主機上對應的虛擬機器資料夾中。
啟用 UMC 記錄
端點保護使用者模式元件 (UMC) 會在受保護虛擬機器中的 VMware Tools 服務內執行。
在 Windows 虛擬機器上,請建立 tools config 檔案 (如果該檔案尚不存在於下列路徑中:C:\ProgramData\VMware\VMware Tools\tools.conf)。
- 在 tools.conf 檔案中新增這些行,以啟用 UMC 元件記錄。
[logging] log = true vsep.level = debug vsep.handler = vmx
使用 vsep.handler = vmx 設定,UMC 元件會記錄至 vmware.log 檔案 (位於 ESXi 主機上對應的虛擬機器資料夾中)。
使用下列設定記錄,UMC 元件記錄將會列印在指定的記錄檔中。
vsep.handler = file vsep.data = c:/path/to/vsep.log
疑難排解 Windows 上的精簡型代理程式
- 檢查所涉及所有元件的相容性。您需要所選取的 ESXi、vCenter Server、NSX Manager,以及您已選取安全性解決方案 (例如,Trend Micro、McAfee、Kaspersky 或 Symantec) 的組建編號。收集此資料後,您可以比較 vSphere 元件的相容性。如需詳細資訊,請參閱 VMware 產品互通性對照表。
- 確保 VMware Tools™ 是最新的。如果您發現只有特定虛擬機器受到影響,請參閱在 vSphere 中安裝和升級 VMware Tools (2004754)。
- 透過執行 PowerShell 命令 fltmc 來確認已載入精簡型代理程式。
確認 vsepflt 包含在驅動程式清單中。如果未載入驅動程式,請嘗試使用 fltmc load vsepflt 命令載入驅動程式。
如果精簡型代理程式導致系統發生效能問題,請使用此命令來解除載入驅動程式:fltmc unload vsepflt。
如果您未使用網路自我檢查,請移除或停用此驅動程式。
也可以透過修改 VMware Tools 安裝程式來移除網路自我檢查:- 掛接 VMware Tools 安裝程式。
- 導覽至控制台 > 程式和功能。
- 以滑鼠右鍵按一下 VMware Tools > 修改。
- 選取完整安裝。
- 尋找 NSX 檔案自我檢查。這包含用於網路自我檢查的子資料夾。
- 停用網路自我檢查。
- 將虛擬機器重新開機,以完成驅動程式的解除安裝。
- 啟用精簡型代理程式的偵錯記錄。所有偵錯資訊皆已設定為記錄至該虛擬機器的 vmware.log 檔案。
- 透過檢閱 procmon 記錄,以檢閱精簡型代理程式的檔案掃描。如需詳細資訊,請參閱疑難排解防毒軟體的 vShield Endpoint 效能問題 (2094239)。
對 Windows 上的精簡型代理程式當機進行疑難排解
如果精簡型代理程式核心模式元件當機,則會在 /%systemroot%\MEMORY.DM 中產生記憶體傾印。