Soru Birinin takılabilir bir aygıtı çıkardığı olay nasıl bulunur?


Sanal makinede bir Win Server 2008 R2 var. Birisi yanlışlıkla takılabilir bir aygıt olarak sunulan NIC kartını çıkardı düşünüyorum. Ama ben pencere olay günlüklerinde bunun kanıtını bulmaya çalışıyorum ve şimdiye kadar bir şey bulamadım. Ne aramalıyım?

Teşekkürler

Açıklık için EDIT:

  1. VMware, NIC kartları ve HDD'leri Win Srv 2003 ve daha yeni VM'ye sıcak çıkarılabilir cihazlar olarak sunar. Bu, birisinin nerede tıklandığını görünmüyorsa NIC kartını kolayca çıkarabildiği ve bu etkinliğin VMware normal günlük mesajlarına kaydedilmeyeceği anlamına gelir. Aşağıdaki KB'ye göre, düzeltmeyi de yapar:

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1020718

  1. Çıkarılabilir aygıtların takıp çıkarmasının pluggin ve unpluggin görünüşe göre günlüğe kaydedilmiyor.

  2. VM zaten sabit. Yukarıda olana dair bir teori olarak var, ama yeterli kanıt olmadan çok ikna edici bir teori olmayacaktı. NIC'in, durumsal olan çıkarılabilir bir cihaz olarak sunulduğunu gösteren ekran görüntüsüne sahipken. "Xx: xx aygıtı kaldırıldı" bölümünde görüntülenen bir günlük mesajı olmasını tercih ederim.


5
2018-02-24 15:25


Menşei


Sistem Olay Günlüğü kaydediliyorsa, ancak olmayabilir. - HopelessN00b
teşekkürler, sunucu yöneticisi / tanılama altında bulunan windows günlüklerini ve uygulama hizmetleri günlüklerini inceledim. Bu etkinlik kimlikleri için bir saat harcadım ve sıcak su geçirmez bir cihaz çıkartan birine benzeyen bir şey bulamadım. - D.Zou
Tekrar çalışmak için önemli olan şey değil mi? Bulmaya çalıştığını söylediğinde proof Bu bana hiç kimseye hizmet etmeyen suçlama oyununu oynadığınızı düşünür. - joeqwerty
Tartışacağım ve düşüş notlarını gerçekten anlamadığımı söyleyeceğim - bence bu soru gayet mantıklı ve üretim sorununa neyin neden olduğuna dair kesin kanıtlar sunmak tamamen anlaşılabilir. - Dan
@ D.Zou - Özür dilerim. Yorumumla ateş etmeye niyetim yoktu. Olay analizi bağlamında kullanılan "kanıt" kelimesinin kullanılmasından nefret ediyorum çünkü sadece birilerinin hata yapmak için dövüldüğü zaman kullandığını duydum. Yaptığın şeyin bu olduğunu ima etmek istemedim. Yine özür dilerim. - joeqwerty


Cevaplar:


Evet, bu açıkça vmware.log veya hostd kütük dosyasında oturum açılmayacaktır. Ancak, kurulumunuza bağlı olarak, bu hala izlenebilir.

Zaman dilimini biliyorsanız, vSphere Client'ta dosya> dışa aktar> dışa aktarma etkinliklerine gidebilirsiniz (VI İstemcisi kullandığınızı varsayarsınız, ancak bunun ne tür bir ortam olduğunu söylemediniz). Zaman dilimini seçin ve bitirin. O zaman, kimin yaptıklarının kullanıcı adı da dahil olmak üzere o anda bir "Yeniden Yapılandırma VM" görevi olmalıdır.

VM'nin vCenter Server'ın bir parçası olan bir ESXi ana bilgisayarında olması daha iyi bir yöntemdir, çünkü bu bilgiyi vCenter veritabanında kolayca bulabilirsiniz.

Öncelikle bir test VM'si oluşturun ve bir ağ kartını kaldırın (veya büyük bir anlaşma olmayacağı bir VM'de yapın.) Ardından, vCenter veritabanına SQL Management Studio'yla bağlanın ve bir SQL sorgusu çalıştırın: vpx_task'dan * seçin

Kaldırılan NIC'nin görevini bulun ve bir NIC'yi kaldırmak için açıklamanın kod adını not edin (şu anda bir SQL Db'nin önünde değilim, bu yüzden şu anda bunu test edemiyorum). Bir tahminde, networkcard.remove veya network.destroy gibi bir şey olacak - bu çizgiler boyunca bir şey ....

Ardından, aşağıdaki sorguyu çalıştırın, bit'i% ve% arasında yukarıdaki koddan değiştirerek:

'% description%' gibi açıklamanın bulunduğu vpx_task'dan * seçin

Örnek: '% network.destroy%' gibi açıklamanın bulunduğu vpx_task'dan * seçin VM'yi ve zaman çerçevesini bulun, NIC'yi kimin ve ne zaman kaldırdığını göreceksiniz.


0
2018-06-11 00:55