精簡型代理程式安裝在虛擬機器客體作業系統上,可攔截各種類型的 IO 活動,包括檔案、網路、程序等。

記錄路徑和範例訊息

精簡型代理程式由 NSX Guest Introspection 驅動程式 (vsepflt.sysvnetwfp.sys) 組成。

將精簡型代理程式記錄推送到 ESXi 主機上,屬於 vCenter 記錄服務包的一部分。記錄路徑為 /vmfs/volumes/<datastore>/<vmname>/vmware.log 例如: /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

精簡型代理程式訊息會遵循格式:<timestamp> <VM Name><Process Name><[PID]>: <message>。

Guest: vnet or Guest:vsep 下方的記錄範例中,指出與個別 GI 驅動程式相關的記錄訊息,後面接著偵錯訊息。

例如:
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore
 

啟用 NSX 檔案自我檢查驅動程式記錄

由於偵錯設定可能會讓 vmware.log 檔案湧入其節流的點,建議您於收集所有必要資訊後,立即停用偵錯模式。

此程序需要您修改 Windows 登錄。在修改登錄之前,請務必備份登錄。如需有關備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫文章 136393

  1. 按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986

  2. 使用登錄編輯程式建立此機碼:HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters
  3. 在新建立的參數機碼下方,建立這些 DWORD。確保在放入這些值時選取十六進位:
    Name: log_dest
    Type: DWORD
    Value: 0x2
    
    Name: log_level
    Type: DWORD
    Value: 0x10

    log level 參數機碼的其他值:

    Audit 0x1
    Error 0x2
    Warn 0x4
    Info 0x8
    Debug 0x10
  4. 如果需要重新啟動檔案自我檢查驅動程式,請以管理員身分開啟命令提示字元。執行下列命令,以解除載入並重新載入 NSX 端點檔案系統迷你驅動程式:

    • fltmc unload vsepflt
    • fltmc load vsepflt

    您可以在位於虛擬機器的 vmware.log 檔案中找到記錄項目。

啟用 NSX 網路自我檢查驅動程式記錄

由於偵錯設定可能會讓 vmware.log 檔案用入它可以進行節流的點,建議您在收集所有必要資訊後,隨即停用偵錯模式。

此程序需要您修改 Windows 登錄。在修改登錄之前,請務必備份登錄。如需有關備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫文章 136393
  1. 按一下開始 > 執行。輸入 regedit,然後按一下確定。登錄編輯程式視窗隨即開啟。如需詳細資訊,請參閱 Microsoft 知識庫文章 256986
  2. 編輯登錄:
    Windows Registry Editor Version 5.0 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
    "log_level" = DWORD: 0x0000001F
    "log_dest"  = DWORD: 0x00000001 

使用 log_dest 登錄設定 DWORD: 0x00000001 時,端點精簡型代理程式驅動程式記錄將轉送至偵錯工具。執行偵錯工具 (來自 SysInternals 或 windbg 的 DbgView),以擷取偵錯輸出。

或者,您也可以將 log_dest 登錄設定設為 DWORD: 0x000000002,在此情況下,驅動程式記錄會列印到 vmware.log 檔案,該檔案位於 ESXi 主機上對應的虛擬機器資料夾中。

啟用 UMC 記錄

端點保護使用者模式元件 (UMC) 會在受保護虛擬機器中的 VMware Tools 服務內執行。

  1. 在 Windows 虛擬機器上,請建立 tools config 檔案 (如果該檔案尚不存在於下列路徑中:C:\ProgramData\VMware\VMware Tools\tools.conf)。

  2. tools.conf 檔案中新增這些行,以啟用 UMC 元件記錄。
    [logging]
    log = true
    vsep.level = debug
    vsep.handler = vmx

    使用 vsep.handler = vmx 設定,UMC 元件會記錄至 vmware.log 檔案 (位於 ESXi 主機上對應的虛擬機器資料夾中)。

    使用下列設定記錄,UMC 元件記錄將會列印在指定的記錄檔中。

    vsep.handler = file
    vsep.data = c:/path/to/vsep.log

疑難排解 Windows 上的精簡型代理程式

  1. 檢查所涉及所有元件的相容性。您需要所選取的 ESXi、vCenter Server、NSX Manager,以及您已選取安全性解決方案 (例如,Trend Micro、McAfee、Kaspersky 或 Symantec) 的組建編號。收集此資料後,您可以比較 vSphere 元件的相容性。如需詳細資訊,請參閱 VMware 產品互通性對照表
  2. 確保 VMware Tools™ 是最新的。如果您發現只有特定虛擬機器受到影響,請參閱在 vSphere 中安裝和升級 VMware Tools (2004754)
  3. 透過執行 PowerShell 命令 fltmc 來確認已載入精簡型代理程式。

    確認 vsepflt 包含在驅動程式清單中。如果未載入驅動程式,請嘗試使用 fltmc load vsepflt 命令載入驅動程式。

  4. 如果精簡型代理程式導致系統發生效能問題,請使用此命令來解除載入驅動程式:fltmc unload vsepflt

  5. 如果您未使用網路自我檢查,請移除或停用此驅動程式。

    也可以透過修改 VMware Tools 安裝程式來移除網路自我檢查:
    1. 掛接 VMware Tools 安裝程式。
    2. 導覽至控制台 > 程式和功能
    3. 以滑鼠右鍵按一下 VMware Tools > 修改
    4. 選取完整安裝
    5. 尋找 NSX 檔案自我檢查。這包含用於網路自我檢查的子資料夾。
    6. 停用網路自我檢查
    7. 將虛擬機器重新開機,以完成驅動程式的解除安裝。
  6. 啟用精簡型代理程式的偵錯記錄。所有偵錯資訊皆已設定為記錄至該虛擬機器的 vmware.log 檔案。
  7. 透過檢閱 procmon 記錄,以檢閱精簡型代理程式的檔案掃描。如需詳細資訊,請參閱疑難排解防毒軟體的 vShield Endpoint 效能問題 (2094239)

對 Windows 上的精簡型代理程式當機進行疑難排解

如果精簡型代理程式核心模式元件當機,則會在 /%systemroot%\MEMORY.DM 中產生記憶體傾印。