У меня есть Win Server 2008 R2 на виртуальной машине. Я думаю, что кто-то случайно вытащил сетевую карту, которая представлена как устройство с возможностью горячей замены. Но я пытаюсь найти доказательства этого в журналах событий Windows и пока ничего не нашел. Что я должен искать?
Спасибо
ИЗМЕНИТЬ для ясности:
Плагин и отключение горячего подключения съемных устройств, по-видимому, не регистрируются.
ВМ уже исправлена. У меня есть изложенная выше теория относительно того, что произошло, но она не была бы очень убедительной без достаточных доказательств. Хотя у меня есть снимок экрана, на котором показано, что сетевая карта представлена как съемное устройство, это косвенно. Я бы предпочел иметь сообщение журнала, которое показывает «время xx: xx устройство удалено».
Да, это не будет четко записано в файл журнала vmware.log или hostd. Однако, в зависимости от ваших настроек, это все еще можно отследить.
Если вы знаете временные рамки, вы можете перейти в файл> экспорт> экспорт событий в vSphere Client (при условии, что вы используете VI Client, но вы не упомянули, что это за среда ...). Выберите временные рамки и закончите. Тогда должна быть задача «Перенастроить виртуальную машину», включая имя пользователя, который это сделал.
Лучше всего, если виртуальная машина находится на хосте ESXi, который является частью vCenter Server, так как вы можете легко найти эту информацию в базе данных vCenter.
Сначала создайте тестовую виртуальную машину и удалите сетевую карту (или сделайте это на виртуальной машине, где это не будет иметь большого значения). Затем подключитесь к базе данных vCenter с помощью SQL Management Studio и выполните SQL-запрос: выберите * из vpx_task
Найдите задачу удаления сетевой карты и обратите внимание на кодовое имя описания для удаления сетевой карты (в данный момент я не перед SQL Db, поэтому я не могу проверить это прямо сейчас). Предположительно это будет что-то вроде networkcard.remove или network.destroy - что-то в этом роде ....
Затем выполните следующий запрос, изменив бит между% и% на код описания сверху:
выберите * из vpx_task, где описание типа "% description%"
Пример: выберите * из vpx_task, где описание типа «% network.destroy%». Найдите виртуальную машину и временные рамки, и вы увидите, кто удалил сетевой адаптер и когда.