D.Z*_*Zou 5 windows-server-2008-r2
我在 VM 上安装了 Win Server 2008 R2。我认为有人不小心弹出了作为热插拔设备的 NIC 卡。但是我试图在 Windows 事件日志中找到证据,到目前为止我还没有找到任何东西。我应该寻找什么?
谢谢
为清楚起见编辑:
可移动设备热插拔的插拔没有明显记录。
VM 已经修复。我有上述作为关于发生了什么的理论,但如果没有足够的证据,它不会是一个非常有说服力的理论。虽然我有截图显示 NIC 显示为一个可移动的设备,但它是间接的。我宁愿有一条日志消息显示在“时间 xx:xx 设备删除”。
是的,这不会清楚地记录在 vmware.log 或 hostd 日志文件中。但是,根据您的设置,这仍然可以跟踪。
如果您知道时间范围,可以在 vSphere Client 中转到“文件”>“导出”>“导出事件”(假设您使用的是 VI Client,但您没有提到这是一个什么样的环境...)选择时间范围并完成。此时应该有一个“重新配置虚拟机”任务,包括执行此操作的用户名。
更好的方法是虚拟机位于属于 vCenter Server 一部分的 ESXi 主机上,因为您可以在 vCenter 数据库中轻松找到此信息。
首先,创建一个测试虚拟机并删除网卡(或者在虚拟机上执行此操作,这不会是一个大问题。)接下来,使用 SQL Management Studio 连接到 vCenter 数据库,并运行 SQL 查询: select * from vpx_task
找到要删除的网卡的任务,并记下删除网卡的描述的代号(我目前不在 SQL 数据库前面,所以现在无法测试它)。据猜测,它会类似于 networkcard.remove 或 network.destroy - 类似的东西......
接下来,运行以下查询,将 % 和 % 之间的位更改为上面的描述代码:
select * from vpx_task 其中描述如“%description%”
示例: select * from vpx_task where description like '%network.destroy%' 找到虚拟机和时间范围,您将看到谁删除了网卡以及何时删除。
| 归档时间: |
|
| 查看次数: |
996 次 |
| 最近记录: |