我在虛擬機器上安裝了 Win Server 2008 R2。我認為有人不小心彈出了作為熱插拔設備的 NIC 卡。但我試圖在 Windows 事件日誌中找到證據,但到目前為止我還沒有找到任何東西。我該尋找什麼?
謝謝
為了清楚起見編輯:
- VMware 將 NIC 卡和 HDD 作為熱可移動設備提供給 Win Srv 2003 和更新的 VM。這意味著,如果有人不注意點擊的位置,就可以輕鬆彈出 NIC 卡,並且此活動不會記錄在 VMware 正常日誌訊息中。根據下面的知識庫文章,它也有修復:
可移動設備熱插拔的插入和拔出不會明顯記錄。
VM已經修復了。我有上述作為關於發生了什麼的理論,但如果沒有足夠的證據,這不會是一個非常令人信服的理論。雖然我的螢幕截圖顯示網卡顯示為可移動設備,但這是偶然的。我寧願有一條在“時間 xx:xx 設備已刪除”時顯示的日誌訊息。
答案1
是的,這不會清楚地記錄在 vmware.log 或 hostd 日誌檔案中。但是,根據您的設置,這仍然可以追蹤。
如果您知道時間範圍,可以在vSphere Client 中前往「檔案」>「匯出」>「匯出事件」(假設您使用的是VI Client,但您沒有提到這是一個什麼樣的環境...)選擇時間範圍並完成。當時應該有一個「重新配置虛擬機器」任務,包括執行此操作的使用者名稱。
更好的方法是虛擬機器位於屬於 vCenter Server 一部分的 ESXi 主機上,因為您可以在 vCenter 資料庫中輕鬆找到此資訊。
首先,建立一個測試虛擬機器並刪除網卡(或在虛擬機器上執行此操作,這不會是一個大問題。)接下來,使用 SQL Management Studio 連接到 vCenter 資料庫,並執行 SQL 查詢: select * from vpx_task
找到要刪除的網路卡的任務,並記下刪除網路卡的描述的代號(我目前不在 SQL 資料庫前面,所以現在無法測試它)。根據猜測,它會類似於 networkcard.remove 或 network.destroy - 類似的東西...
接下來,執行以下查詢,將 % 和 % 之間的位元變更為上面的描述程式碼:
select * from vpx_task 其中描述如“%description%”
範例: select * from vpx_task 其中描述如「%network.destroy%」 找到虛擬機器和時間範圍,您將看到誰刪除了網路卡以及何時刪除。