Ich habe einen Win Server 2008 R2 auf einer VM. Ich glaube, jemand hat versehentlich die NIC-Karte ausgeworfen, die als Hot-Plug-fähiges Gerät angezeigt wird. Aber ich versuche, in den Windows-Ereignisprotokollen einen Beweis dafür zu finden, und habe bisher nichts gefunden. Wonach soll ich suchen?
Danke
BEARBEITEN zur Klarstellung:
- VMware präsentiert NIC-Karten und HDDs für VMs unter Win Srv 2003 und neuer als Hot-Removable-Geräte. Das bedeutet, dass jemand, der nicht aufpasst, wo er klickt, die NIC-Karte einfach auswerfen kann, und diese Aktivität wird nicht in den normalen Protokollmeldungen von VMware protokolliert. Laut KB unten gibt es auch den Fix:
Das An- und Abstecken bzw. Hotpluggen von Wechseldatenträgern wird offenbar nicht protokolliert.
Die VM ist bereits repariert. Ich habe die oben genannte Theorie, was passiert ist, aber ohne ausreichende Beweise wäre es keine sehr überzeugende Theorie. Ich habe zwar den Screenshot, der zeigt, dass die Netzwerkkarte als entfernbares Gerät dargestellt wird, aber das ist nur ein Indiz. Ich hätte lieber eine Protokollnachricht, die „Uhrzeit xx:xx Gerät entfernt“ anzeigt.
Antwort1
Ja, dies wird nicht eindeutig in der vmware.log- oder hostd-Protokolldatei protokolliert. Abhängig von Ihrem Setup kann dies jedoch dennoch nachvollziehbar sein.
Wenn Sie den Zeitrahmen kennen, können Sie im vSphere-Client zu Datei > Exportieren > Ereignisse exportieren gehen (vorausgesetzt, Sie verwenden den VI-Client, haben aber nicht erwähnt, um welche Art von Umgebung es sich handelt ...). Wählen Sie den Zeitrahmen aus und beenden Sie den Vorgang. Zu diesem Zeitpunkt sollte dann eine Aufgabe „VM neu konfigurieren“ vorhanden sein, einschließlich des Benutzernamens des Erstellers.
Eine bessere Methode ist, wenn sich die VM auf einem ESXi-Host befindet, der Teil des vCenter-Servers ist, da Sie diese Informationen recht einfach in der vCenter-Datenbank finden können.
Erstellen Sie zunächst eine Test-VM und entfernen Sie eine Netzwerkkarte (oder tun Sie dies auf einer VM, wo es kein großes Problem ist). Stellen Sie anschließend mit SQL Management Studio eine Verbindung zur vCenter-Datenbank her und führen Sie eine SQL-Abfrage aus: select * from vpx_task
Suchen Sie die Aufgabe der zu entfernenden Netzwerkkarte und notieren Sie sich den Codenamen der Beschreibung zum Entfernen einer Netzwerkkarte (ich befinde mich im Moment nicht vor einer SQL-Datenbank, daher kann ich dies derzeit nicht testen). Vermutlich wird es so etwas wie networkcard.remove oder network.destroy sein – etwas in dieser Art …
Führen Sie als Nächstes die folgende Abfrage aus und ändern Sie das Bit zwischen % und % in den Beschreibungscode von oben:
Wählen Sie * aus vpx_task, wobei die Beschreibung wie „%description%“ aussieht.
Beispiel: select * from vpx_task where description like '%network.destroy%'. Suchen Sie die VM und den Zeitrahmen, und Sie werden sehen, wer die Netzwerkkarte wann entfernt hat.