Obtuve un Win Server 2008 R2 en una VM. Creo que alguien expulsó accidentalmente la tarjeta NIC que se presenta como un dispositivo conectable en caliente. Pero estoy tratando de encontrar pruebas de eso en los registros de eventos de Windows y hasta ahora no he encontrado nada. ¿Qué debería buscar?
Gracias
EDITAR para mayor claridad:
- VMware presenta tarjetas NIC y HDD para Win Srv 2003 y VM más recientes como dispositivos extraíbles en caliente. Esto significa que si alguien no mira dónde está haciendo clic, puede expulsar fácilmente la tarjeta NIC y esta actividad no se registrará en los mensajes de registro normales de VMware. Según KB a continuación, también tiene la solución:
Aparentemente, la conexión y desconexión de dispositivos extraíbles en caliente no se registran.
La VM ya está arreglada. Tengo lo anterior como teoría sobre lo que sucedió, pero no sería una teoría muy convincente sin pruebas suficientes. Si bien tengo la captura de pantalla que muestra que la NIC se presenta como un dispositivo extraíble, eso es circunstancial. Preferiría tener un mensaje de registro que se muestre en "momento xx:xx dispositivo eliminado".
Respuesta1
Sí, esto no se registrará claramente en el archivo de registro vmware.log o hostd. Sin embargo, dependiendo de su configuración, aún es posible rastrear esto.
Si conoce el período de tiempo, puede ir a archivo > exportar > exportar eventos en vSphere Client (asumiendo que está utilizando VI Client, pero no ha mencionado qué tipo de entorno es este...) Seleccione el período de tiempo y finalice. Entonces debería haber una tarea "Reconfigurar VM" en ese momento, incluido el nombre de usuario de quién lo hizo.
Un mejor método es si la VM está en un host ESXi que forma parte de vCenter Server, ya que puede encontrar esta información en la base de datos de vCenter con bastante facilidad.
Primero, cree una máquina virtual de prueba y retire una tarjeta de red (o hágalo en una máquina virtual donde no será gran cosa). Luego, conéctese a la base de datos de vCenter con SQL Management Studio y ejecute una consulta SQL: seleccione * de vpx_task
Busque la tarea de la NIC que se está eliminando y anote el nombre del código de la descripción para eliminar una NIC (no estoy frente a una base de datos SQL en este momento, por lo que no puedo probar esto en este momento). Supongo que será algo así como networkcard.remove o network.destroy, algo así...
A continuación, ejecute la siguiente consulta, cambiando el bit entre % y % al código de descripción anterior:
seleccione * de vpx_task donde la descripción es como '%descripción%'
Ejemplo: seleccione * de vpx_task donde una descripción como '%network.destroy%' Ubique la VM y el período de tiempo, y verá quién eliminó la NIC y cuándo.