У меня Win Server 2008 R2 на виртуальной машине. Думаю, кто-то случайно вытащил сетевую карту, которая представлена как устройство с возможностью горячей замены. Но я пытаюсь найти доказательства этого в журналах событий Windows, и пока ничего не нашел. Что мне искать?
Спасибо
ИЗМЕНИТЬ для ясности:
- VMware представляет сетевые карты и жесткие диски для Win Srv 2003 и более новых виртуальных машин как горячие съемные устройства. Это означает, что если кто-то не смотрит, куда нажимает, он может легко извлечь сетевую карту, и эта активность не будет зарегистрирована в обычных сообщениях журнала VMware. Согласно KB ниже, это также исправление:
Подключение и отключение съемных устройств в горячем режиме, по-видимому, не регистрируется.
VM уже исправлена. У меня есть вышеизложенное как теория о том, что произошло, но это не будет очень убедительной теорией без достаточных доказательств. Хотя у меня есть скриншот, показывающий, что NIC представлен как съемное устройство, это косвенные доказательства. Я бы предпочел иметь сообщение журнала, которое показывает "время xx:xx устройство удалено".
решение1
Да, это не будет четко зарегистрировано в файле журнала vmware.log или hostd. Однако, в зависимости от настроек, это все еще можно отследить.
Если вы знаете временные рамки, вы можете перейти в Файл > Экспорт > Экспортировать события в vSphere Client (предполагая, что вы используете VI Client, но не указали тип среды...) Выберите временные рамки и завершите. Затем в это время должна появиться задача "Перенастроить ВМ", включая имя пользователя, который ее выполнил.
Лучшим методом будет размещение виртуальной машины на хосте ESXi, который является частью vCenter Server, поскольку эту информацию можно довольно легко найти в базе данных vCenter.
Сначала создайте тестовую виртуальную машину и удалите сетевую карту (или сделайте это на виртуальной машине, где это не будет большой проблемой). Затем подключитесь к базе данных vCenter с помощью SQL Management Studio и выполните SQL-запрос: select * from vpx_task
Найдите задачу удаления сетевой карты и запомните кодовое имя описания для удаления сетевой карты (сейчас я не перед SQL Db, поэтому не могу это проверить). Полагаю, это будет что-то вроде networkcard.remove или network.destroy — что-то в этом роде...
Далее выполните следующий запрос, изменив бит между % и % на код описания, приведенный выше:
выберите * из vpx_task, где описание похоже на '%description%'
Пример: выберите * из vpx_task, где описание похоже на '%network.destroy%' Найдите виртуальную машину и временные рамки, и вы увидите, кто и когда удалил сетевую карту.