VM에 Win Server 2008 R2가 있습니다. 누군가 실수로 핫 플러그 가능 장치로 표시되는 NIC 카드를 꺼낸 것 같습니다. 하지만 Windows 이벤트 로그에서 이에 대한 증거를 찾으려고 노력 중이지만 지금까지 아무 것도 찾지 못했습니다. 나는 무엇을 찾아야 합니까?
감사해요
명확성을 위해 편집하십시오.
- VMware는 Win Srv 2003 및 최신 VM에 NIC 카드와 HDD를 핫 리무버블 장치로 제공합니다. 이는 누군가가 클릭한 위치를 보지 않으면 쉽게 NIC 카드를 꺼낼 수 있으며 이 활동은 VMware 일반 로그 메시지에 기록되지 않음을 의미합니다. 아래 KB에 따라 수정 사항도 있습니다.
http://kb.vmware.com/selfservice/microsites/search.do?언어=en_US&cmd=displayKC&externalId=1020718
이동식 장치의 핫 플러그 연결 및 연결 해제는 분명히 기록되지 않습니다.
VM이 이미 수정되었습니다. 나는 무슨 일이 일어났는지에 대한 이론으로 위와 같은 것을 가지고 있지만, 충분한 증거가 없다면 그다지 설득력 있는 이론은 아닐 것입니다. NIC가 상황에 따라 이동식 장치로 표시되는 것을 보여주는 스크린샷이 있습니다. 차라리 "xx:xx 장치 제거 시간"에 표시되는 로그 메시지를 갖고 싶습니다.
답변1
예, 이는 vmware.log 또는hostd 로그 파일에 명확하게 기록되지 않습니다. 그러나 설정에 따라 추적이 가능할 수도 있습니다.
기간을 알고 있다면 vSphere Client에서 파일 > 내보내기 > 이벤트 내보내기로 이동할 수 있습니다. (VI Client를 사용한다고 가정하지만 이것이 어떤 환경인지 언급하지 않은 경우...) 기간을 선택하고 완료합니다. 그런 다음 해당 작업을 수행한 사용자의 사용자 이름을 포함하여 "VM 재구성" 작업이 있어야 합니다.
더 나은 방법은 VM이 vCenter Server의 일부인 ESXi 호스트에 있는 경우입니다. vCenter 데이터베이스에서 이 정보를 매우 쉽게 찾을 수 있기 때문입니다.
먼저 테스트 VM을 생성하고 네트워크 카드를 제거합니다(또는 크게 문제가 되지 않는 VM에서 수행). 그런 다음 SQL Management Studio를 사용하여 vCenter 데이터베이스에 연결하고 SQL 쿼리를 실행합니다. vpx_task에서 *를 선택합니다.
제거되는 NIC 작업을 찾고 NIC 제거에 대한 설명의 코드 이름을 기록해 둡니다(지금은 SQL Db 앞에 있지 않으므로 지금은 이를 테스트할 수 없습니다). 추측으로는 networkcard.remove 또는 network.destroy와 같은 것이 될 것입니다.
그런 다음, 다음 쿼리를 실행하여 %와 % 사이의 비트를 위의 설명 코드로 변경합니다.
설명이 '%description%'인 vpx_task에서 *를 선택하세요.
예: '%network.destroy%'와 같은 설명이 있는 vpx_task에서 *를 선택합니다. VM과 기간을 찾으면 NIC를 제거한 사람과 시기를 확인할 수 있습니다.