我在虚拟机上安装了 Win Server 2008 R2。我认为有人意外弹出了显示为热插拔设备的 NIC 卡。但我试图在 Windows 事件日志中寻找证据,但到目前为止还没有找到任何东西。我应该寻找什么?
谢谢
为了清楚起见,请进行编辑:
- VMware 将 NIC 卡和 HDD 作为热可移动设备呈现给 Win Srv 2003 和更新版本的 VM。这意味着,如果有人不注意他们点击的位置,就可以轻松弹出 NIC 卡,并且此活动不会记录在 VMware 正常日志消息中。根据下面的 KB,它也有修复:
可移动设备的热插拔显然没有被记录。
VM 已修复。我对发生的情况有上述理论,但如果没有足够的证据,这种理论就不怎么令人信服。虽然我有显示 NIC 被显示为可移动设备的屏幕截图,但这只是间接证据。我宁愿看到一条日志消息,显示“时间 xx:xx 设备被移除”。
答案1
是的,这不会清楚地记录在 vmware.log 或 hostd 日志文件中。但是,根据您的设置,仍然可以跟踪。
如果您知道时间范围,您可以转到 vSphere Client 中的文件 > 导出 > 导出事件(假设您使用的是 VI Client,但您没有提到这是哪种环境...)选择时间范围并完成。然后应该有一个“重新配置虚拟机”任务,包括执行该任务的用户名。
更好的方法是,如果虚拟机位于属于 vCenter Server 的 ESXi 主机上,因为您可以很容易地在 vCenter 数据库中找到此信息。
首先,创建一个测试虚拟机并移除网卡(或者在不会有什么大问题的虚拟机上执行此操作)。接下来,使用 SQL Management Studio 连接到 vCenter 数据库,并运行 SQL 查询:select * from vpx_task
找到要移除的 NIC 的任务,并记下移除 NIC 的描述的代码名称(我目前不在 SQL Db 前面,因此无法立即测试)。我猜,它会是类似于 networkcard.remove 或 network.destroy 的东西 - 类似的东西......
接下来,运行以下查询,将 % 和 % 之间的位更改为上面的描述代码:
从 vpx_task 中选择 *,其中描述类似于“%description%”
示例:从 vpx_task 中选择 *,其中描述类似于“%network.destroy%” 找到虚拟机和时间范围,您将看到谁在何时删除了 NIC。