我在虚拟机上获得了一个Win Server 2008 R2。 我认为有人不小心popup了作为热插拔设备呈现的NIC卡。 但是我正在试图在Windows事件日志中find这个证据,到目前为止还没有发现。 我该找什么?
谢谢
编辑澄清:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1020718
可移动设备热插拔的插拔并不明显。
虚拟机已经被修复了。 我有上述这样一个理论,但是如果没有足够的证据,这不是一个很有说服力的理论。 虽然我有屏幕截图,显示NIC是作为一个可移动的设备,是间接的。 我宁愿有一个日志消息显示在“时间xx:xx设备删除”。
是的,这不会明确地logging在vmware.log或hostd日志文件中。 但是,根据您的设置,这仍然可以追踪。
如果知道时间范围,则可以在vSphere Client中转到文件>导出>导出事件(假设您正在使用VI Client,但是您没有提及这是什么types的环境…)select时间段并完成。 那时应该有一个“重新configuration虚拟机”的任务,包括谁做的用户名。
如果虚拟机位于vCenter Server一部分的ESXi主机上,则更好的方法是在vCenter数据库中轻松find此信息。
首先,创build一个testing虚拟机并删除一个网卡(或者在虚拟机上执行它,这不会是个大问题)。接下来,使用SQL Management Studio连接到vCenter数据库,然后运行SQL查询:select * from vpx_task
find正在被删除的网卡的任务,并且记下删除网卡的描述的代码名(我现在不在SQL Db的前面,所以我现在不能testing它)。 有人猜测,这将是像networkcard.remove或network.destroy – 沿着这些线….
接下来,运行以下查询,将%和%之间的位更改为上面的描述代码:
select * from vpx_task其中描述如'%description%'
例如:select * from vpx_task其中描述如'%network.destroy%'定位虚拟机和时间范围,您将看到谁删除了NIC以及何时。