Eu tenho um Win Server 2008 R2 em uma VM. Acho que alguém ejetou acidentalmente a placa NIC apresentada como um dispositivo hot plug. Mas estou tentando encontrar provas disso nos logs de eventos do Windows e não encontrei nada até agora. O que devo procurar?
Obrigado
EDITAR para maior clareza:
- A VMware apresenta placas NIC e HDDs para o Win Srv 2003 e VM mais recente como dispositivos removíveis a quente. Isso significa que se alguém não olhar onde está clicando, poderá ejetar facilmente a placa NIC e essa atividade não será registrada nas mensagens de log normais do VMware. Conforme KB abaixo, ele também tem a correção:
Aparentemente, o pluggin e o unpluggin do hot plugging de dispositivos removíveis não são registrados.
A VM já está corrigida. Tenho o que foi dito acima como uma teoria sobre o que aconteceu, mas não seria uma teoria muito convincente sem provas suficientes. Embora eu tenha a captura de tela que mostra que a NIC é apresentada como um dispositivo removível que é circunstancial. Prefiro ter uma mensagem de log exibida em "hora xx:xx dispositivo removido".
Responder1
Sim, isso não será registrado claramente no arquivo de log vmware.log ou hostd. No entanto, dependendo da sua configuração, isso ainda pode ser rastreado.
Se você souber o prazo, poderá ir em arquivo > exportar > exportar eventos no vSphere Client (supondo que você esteja usando o VI Client, mas não mencionou que tipo de ambiente é esse...) Selecione o prazo e finalize. Deverá então haver uma tarefa "Reconfigurar VM" no momento, incluindo o nome de usuário de quem a fez.
Um método melhor é se a VM estiver em um host ESXi que faça parte do vCenter Server, pois você pode encontrar essas informações no banco de dados do vCenter com bastante facilidade.
Primeiro, crie uma VM de teste e remova uma placa de rede (ou faça isso em uma VM onde isso não será um grande problema). Em seguida, conecte-se ao banco de dados vCenter com SQL Management Studio e execute uma consulta SQL: select * from vpx_task
Encontre a tarefa da NIC que está sendo removida e anote o nome do código da descrição para remover uma NIC (não estou na frente de um banco de dados SQL no momento, então não posso testar isso agora). Suponho que será algo como networkcard.remove ou network.destroy - algo nesse sentido....
Em seguida, execute a seguinte consulta, alterando o bit entre% e% para o código de descrição acima:
selecione * em vpx_task onde a descrição é '%description%'
Exemplo: selecione * em vpx_task onde a descrição é '%network.destroy%' Localize a VM e o prazo e você verá quem removeu a NIC e quando.