VM に Win Server 2008 R2 をインストールしました。ホット プラグ可能なデバイスとして表示される NIC カードを誰かが誤って取り外したのではないかと思います。しかし、Windows イベント ログでその証拠を見つけようとしていますが、今のところ何も見つかりません。何を探せばいいのでしょうか。
ありがとう
わかりやすくするために編集:
- VMware は、Win Srv 2003 以降の VM に NIC カードと HDD をホット リムーバブル デバイスとして提示します。つまり、クリックする場所に注意しないと、NIC カードを簡単に取り出すことができ、このアクティビティは VMware の通常のログ メッセージに記録されません。以下の KB によると、修正も含まれています。
リムーバブル デバイスのホット プラグのプラグの挿入と取り外しは、どうやらログに記録されないようです。
VM はすでに修正されています。何が起こったかについては、上記のような仮説を立てていますが、十分な証拠がなければ説得力のある仮説にはなりません。NIC が取り外し可能なデバイスとして表示されていることを示すスクリーンショットはありますが、これは状況証拠です。むしろ、「時刻 xx:xx デバイスが削除されました」というログ メッセージを表示してほしいです。
答え1
はい、これは vmware.log または hostd ログ ファイルに明確に記録されません。ただし、設定によっては、これを追跡することは可能です。
期間がわかっている場合は、vSphere Client で [ファイル] > [エクスポート] > [イベントのエクスポート] に移動できます (VI Client を使用していると想定していますが、どのような環境であるかは記載されていません...)。期間を選択して終了します。その時点で、「VM の再構成」タスクが実行され、それを実行したユーザー名も表示されます。
より良い方法は、VM が vCenter Server の一部である ESXi ホスト上にある場合です。この情報は vCenter データベースで簡単に見つけることができます。
まず、テスト VM を作成し、ネットワーク カードを削除します (または、大きな問題にならない VM で実行します)。次に、SQL Management Studio を使用して vCenter データベースに接続し、SQL クエリを実行します: select * from vpx_task
削除される NIC のタスクを見つけ、NIC を削除するための説明のコード名を書き留めます (現在 SQL DB の前にいないため、これを今すぐテストすることはできません)。推測ですが、networkcard.remove や network.destroy のような名前になると思います。
次に、% と % の間のビットを上記の説明コードに変更して、次のクエリを実行します。
vpx_task から * を選択、説明が '%description%' のような場合
例: select * from vpx_task where description like '%network.destroy%' VM と時間枠を特定すると、誰がいつ NIC を削除したかがわかります。