- Remove From My Forums
-
Question
-
Hi,
Kindly let me know where can we check the logs for VM deletion details and who did it in HyperV. I have checked event id 13003 and HyperV-worker and HyperV-VMMs logs, but didn’t get proper information.
In 13003 event ID, shows that VMs is deleted from one SID (S-1-5-83-1-2063782822-1162780032-1510854323-830704), but this SID belongs to replication machine NT VIRTUAL MACHINE7B02D3A6-9D80-454E-B3CE-0D5AF0AC0C00.
what is the meaning of this, is it deleted by its Own or automatically? Kindly help me to find out the same.Thanks & Regards,
Libish A
Answers
-
There is no auditing built into Hyper-V for things like this. It is possible to track it with SCVMM. But if auditing of any sort was not in place before it happened, there is no way to trace the events.
Don’t understand why you posted this query again after having received an answer to a similar post earlier. The response really has not changed.
. : | : . : | : . tim
-
Edited by
Thursday, August 18, 2016 1:12 PM
-
Proposed as answer by
BrianEhMVP
Thursday, August 18, 2016 2:52 PM -
Marked as answer by
Leo Han
Thursday, August 25, 2016 7:26 AM
-
Edited by
-
As Tim mentioned as has been mentioned in another thread — Hyper-V will never provide auditing back to an individual user.
What you are seeing is that each VM gets a local SID that is used under the covers. This SID is the space where this VM runs.
If a VM is deleted, it is performed by the VMMS which runs as Local System, not by the user that opened Hyper-V Manager which made a WMI call to the VMMS.
Not to mention that there are multiple ways to ‘delete’ a VM. Using Hyper-V Manager is only one way.
Brian Ehlert
http://ITProctology.blogspot.com
Learn. Apply. Repeat.-
Proposed as answer by
Leo Han
Friday, August 19, 2016 2:31 AM -
Marked as answer by
Leo Han
Thursday, August 25, 2016 7:26 AM
-
Proposed as answer by
-
Hi Libish,
I have replied in your other post that you could find when it is deleted in Hyper-V manager.
To find out who delete the VM, you need SCVMM. And you could find in the Jobs tab of SCVMM management console.
Here is the forum for SCVMM, you could get more detailed information there:
https://social.technet.microsoft.com/Forums/systemcenter/en-us/home?category=virtualmachinemanager
Best Regards,
Leo
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.
-
Marked as answer by
AditionalDC
Thursday, September 1, 2016 11:37 AM
-
Marked as answer by
Ищем в sql-базе vCenter события удаления виртуалок (Managment Studio > sql-базе vCenter > New Query):
- все события удаления:
SELECT CREATE_TIME, USERNAME, VM_NAME, HOST_NAME, EVENT_TYPE FROM dbo.VPX_EVENT WHERE EVENT_TYPE = ‘vim.event.VmRemovedEvent’
- удаление виртуалки с именем VMname1:
SELECT CREATE_TIME, USERNAME, VM_NAME, HOST_NAME, EVENT_TYPE FROM dbo.VPX_EVENT WHERE (VM_NAME = ‘VMname1’) AND (EVENT_TYPE = ‘vim.event.VmRemovedEvent’)
http://www.vmgu.ru/articles/esx-who-deleted-vm
Содержание
- — Как восстановить виртуальную машину?
- — Как восстановить VMDK файл?
- — Как восстановить VMX файл?
- — Как восстановить виртуальную машину в Hyper V?
- — Где хранятся виртуальные машины VMware?
- — Как сделать снапшот в VMware?
- — Как восстановить ESXi?
- — Как извлечь файлы из Vmdk?
- — Что такое Flat Vmdk?
- — Где хранятся файлы виртуальные машины Hyper-V?
- — Где находятся виртуальные машины Hyper-V?
Чтобы удалить Acronis True Image Home с компьютера, выберите Пуск > Настройки > Панель управления > Установка и удаление программ > Acronis True Image Home > Удалить. Для подтверждения удаления в диалоговом окне нажмите кнопку «Да».
Как восстановить виртуальную машину?
Чтобы восстановить виртуальную машину целиком в исходное местоположение:
- Откройте представление Backup & Replication.
- В иерархии объектов щелкните по узлу Backups > Disk. В рабочей области разверните задание резервного копирования, щелкните правой кнопкой мыши по нужной виртуальной машине и выберите Restore entire VM.
Как восстановить VMDK файл?
Чтобы восстановить данные из файла VMWare *. vmdk, вам нужно запустить RS Partition Recovery и выбрать файл (файлы) вашей виртуальной машины, запустив команду «Сервис» -> «Монтировать диск».
Как восстановить VMX файл?
Для восстановления файлов просто переименуйте виртуальную машину через Веб клиента или vSphere клиента. Таким образом, ESX создаст вам новый vmx файл с рабочими параметрами.»
Как восстановить виртуальную машину в Hyper V?
Hyper—V
- Перейдите в Панель управления / Программы и компоненты / Включение или отключение компонентов Windows.
- В открывшемся окне компонентов Windows найдите пункт Hyper—V, поставьте галочки возле каждого подпункта и нажмите OK.
- Перезагрузите компьютер
Где хранятся виртуальные машины VMware?
Как мы уже оговаривали, все файлы, которые сохраняются на дисках виртуальной машины, располагаются в . vmdk файлах виртуального диска. Программа для восстановления данных жесткого диска Hetman Partition Recovery имеет функцию монтирования виртуальных дисков и восстановления данных из них.
Как сделать снапшот в VMware?
Чтобы создать снимок состояния гостевой ОС, вверху в горизонтальном меню окна VMware Workstation 10 жмём «Виртуальная машина», а в перечне этого меню – «Снимок состояния». Появится выпадающий список возможных функций, среди которых выбираем первую — «Создать снимок состояния».
Как восстановить ESXi?
Процедура восстановления ESXi в случае падения сервера следующая:
- Установите на сервер ту же самую версию ESXi, бэкап которой был создан. …
- Скопируйте на север имеющийся файл с бэкапом. …
- Подключитесь к серверу через vCLI или vMA, и переведите сервер в maintenance mode: vicfg-hostops —server 192.168.0.11 —operation enter.
Как извлечь файлы из Vmdk?
Извлечь файлы из VMDK
- Существует ли инструмент командной строки для извлечения файлов из файла VMDK? …
- Смонтируйте VMDK с помощью утилиты VMware Disk Mount, затем скопируйте нужный файл и размонтируйте его. …
- 7ZIP может открывать и извлекать файлы VMDK.
Что такое Flat Vmdk?
vmdk — заголовочный, он же индексный, он же файл-дескриптор виртуальго диска, который содержит информацию о геометрии диска, его тип и другие метаданные <имя ВМ>-flat.
Где хранятся файлы виртуальные машины Hyper-V?
Виртуальная машина Hyper—V архитектура
*. vhdx – файл диска виртуальной машины. Имеет название, которое было присвоено виртуальной машине при её создании. Место расположения по умолчанию: C:UsersPublicDocumentsHyper—VVirtual hard disks.
Где находятся виртуальные машины Hyper-V?
Hyper—V виртуальные машины находятся только в поддерживаемой конфигурации, когда файлы виртуальных машин хранятся в подмостках. Это не поддерживаемая конфигурация, когда виртуальные файлы машин хранятся непосредственно в базовой (или корневой) части диска или файла.
Интересные материалы:
Как на IMAC установить Windows 10?
Как на виндовс 10 Изменить параметры папок?
Как на виндовс 10 поставить виндовс 7?
Как на виндовс 10 Записать файлы на диск?
Как начать запись видео в Windows 10?
Как найти автозапуск программ в Windows 10?
Как найти блютуз на Windows 7?
Как найти быстродействие в виндовс 10?
Как найти Control Panel в Windows 10?
Как найти документ в компьютере виндовс 10?
Обновлено 18.02.2019
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. Любой системный администратор просто обязан уметь производить диагностику и мониторинг своих служб и сервисов. Он должен знать где хранятся события служб и уметь их анализировать. Не так давно я вам подробно расписывал, как посмотреть логи Windows платформ, сегодня же мы разберем, где и как посмотреть логи ESXI гипервизора. Хотя сама система монолитная и стабильная, но и там приходится отлавливать различные нестандартные события, о которых вам могут подробно рассказать только логи.
Методы просмотра логов ESXI
Предположим у вас в инфраструктуре есть несколько установленных VMware ESXI 6.5 хостов и нет vCenter для управления ими, где централизовано можно мониторить логи.Случается какой-то инцидент и вам необходимо провести расследование, чтобы выяснить причину. Вот для таких вот ситуаций вы должны знать, где располагаются логи ESXI. Методов их посмотреть уйма, я вам покажу самые простые из них.
- Посмотреть логи VMware ESXI хоста можно из shell оболочки
- Получить доступ и выгрузить логи вы можете и через ssh клиента
- С помощью веб интерфейса, удобно так как метод является кросплатформенным
- Через оболочку и комадлеты PowerCLI
Месторасположение журналов в VMware ESXI
Перед тем, как я вам покажу все методы, я вам приведу сводную информацию, о том, где собственно лежат все файлы с логами. Напоминаю, что гипервизор построен на базе операционной системы Red Hat Enterprise Linux (RHEL), а из этого следует, что все логи располагаются в каталоге /var/logs/:
- auth.log — один из важнейших журналов безопасности в ESXI. Сюда попадают данные, о всех подключениях по SSH к хосту. В файле можно обнаружить вот такие записи:
2019-02-15T14:57:53Z sshd[104228]: Connection from 192.168.59.1 port 60509
2019-02-15T14:57:53Z sshd[104228]: Accepted keyboard-interactive/pam for root from 192.168.59.1 port 60509 ssh2
2019-02-15T14:57:53Z sshd[104228]: pam_unix(sshd:session): session opened for user root by (uid=0)
2019-02-15T14:57:53Z sshd[104231]: Session opened for ‘root’ on /dev/char/pty/t0
Тут будет информация, о том, кто подключился и с какого ip-адреса, это полезно для аудита безопасности.
- Файл boot.gz — данный архив содержит в себе текстовый файл, в который заносится информация, о всех загружаемых компонентах, драйверах. устройствах ESXI хоста. Разархивировать и посмотреть содержимое файла, можно с помощью обычного RAR архиватора.
- clomd.log — Когда вы запускаете хост ESXi или повторно сканируете адаптер, хост обнаруживает все физические пути к устройствам хранения, доступным хосту. На основе набора правил утверждений хост определяет, какой подключаемый модуль многопутевого (multipathing) распространения (MPP) должен запрашивать пути к конкретному устройству и становится ответственным за управление поддержкой многопутевого распространения для устройства. Информация, о сканировании будет в файле clomd.log
- configRP.log — сюда записываются изменения пула ресурсов
- dhclient.log — Журнал DHCP-клиента, включая обнаружение, запросы на аренду и продление адресов.
- esxcli-software.log — содержит события, проверки подгружаемых VIB пакетов
- esxupdate.log — лог по патчам исправления и обновлениям
- hostd.log — Журналы службы управления хостом включают в себя задачи и события виртуальной машины и хоста ESXi, связь с агентом vSphere Client и VMware vCenter Server vpxa, а также соединения SDK.
- hostdCgiServer.log — Автономная служба CGI, которая обрабатывает все HTTP-запросы для URL/cgi-bin. Она была перемещена из процесса hostd в собственный демон, чтобы у нас был способ собрать пакет vm-support, если hostd заблокирован.
- hostd-probe.log — Проверяет доступность службы управления хостом
- hostprofiletrace.log — Журналы профиля хоста
- iofilter-init.log — логи iofilterd_spm модуля
- iofiltervpd.log — VAIO это платформа, которая позволяет третьим сторонам (партнерам) разрабатывать фильтры, которые работают в ESXi и могут перехватывать любые запросы ввода-вывода из гостевой операционной системы на виртуальный диск. IO не будет выпущен или зафиксирован на диске без обработки IO Filters, созданной третьими лицами. Фильтры выполняются внутри ESXi, а не в виртуальной машине. Кроме того, VAIO Framework обеспечивает централизованную установку и обновление. Логи, о данных событиях будут в данном журнале.
- jumpstart-stdout.log — содержит информацию, о стартуемых плагинах
- lacp.log — Журналы протокола управления агрегацией каналов (LACP)
- nfcd.log — Журнал стека TCP/IP
- rabbitmqproxy.log — rabbitmqproxy, прокси, работающий на хосте ESXi, который позволяет приложениям, работающим на виртуальных машинах, обмениваться данными с брокерами AMQP, работающими в сетевом домене vCenter.
- rhttpproxy.log — HTTP-соединения проксируемые от имени других веб-сервисов хоста ESXi
- sdrsinjector.log — Журнал инжектора устройства vSphere Storage DRS (Подробнее https://kb.vmware.com/s/article/2149938)
- shell.log — Журналы использования ESXi Shell, включая включение/отключение и каждую введенную команду. В моем примере видно, что я вводил в консоли shell команду uname -a, для просмотра ядра.
- storagerm.log — Storage I/O Control логи
- swapobjd.log — Swap VVol Object Daemon логи
- sysboot.log — Журнал загрузки системы. Записывает события ESXi Power-ON, Power-OFF и события перезапуска
- syslog.log — Инициализация службы управления, дисковые устройства, запланированные задачи и использование DCUI.
- usb.log — Информация об устройствах USB, такая как обнаружение и передача, проброс на виртуальные машины.
- vitd.log — vSAN iSCSI target Daemon. Содержит события целевой службы vSAN iSCSI.
- vmauthd.log — информация об аутентификации
- vmkdevmgr.log — Журнал диспетчера устройств VMware. Содержит информацию об устройствах, подключенных к хосту ESXi, таких как NIC, HBA
- vmkernel.log — Базовые журналы VMkernel, в том числе данные об обнаружении устройств, хранении и сетевых устройствах, а также информация о драйвере, а также информация о запуске виртуальной машины и событиях драйвера.
- vmkeventd.log — Это утилита для захвата событий VMkernel
- vmkwarning.log — Сводка сообщений журнала предупреждений и предупреждений, взятых из журналов VMkernel.
- vmksummary.log — Сводная информация о запуске и завершении работы хоста ESXi, а также о ежечасном heartbeat с указанием времени безотказной работы, количества запущенных виртуальных машин и потребления ресурсов службы.
- vmware-vmsvc.log — лог, о версии Vmware Tools
- vobd.log — Наблюдение за событиями VMkernel.
- vprobe.log — Гибкая система динамического инструментария, предназначенная для обеспечения глубокого наблюдения за ESXi и виртуальными машинами, работающими на нем.
- vpxa.log — Журналы агента vCenter Server vpxa, включая связь с vCenter Server и агентом hostd Host Management.
- vvold.log — Журнал виртуальных томов
- vsanmgmt.log — vSAN Management Service.
- vsansystem.log — vSAN System Managed Service.
- vsanvpd.log — vSAN Storage Provider Daemon
Просмотр логов ESXI через shell оболочку
Теперь когда мы с вами знаем, о месторасположении и назначении каждого из журналов ESXI хоста, мы можем рассмотреть методы их просмотра. Первым будет самый классический, редко используемый, через Shell оболочку. Для выполнения данного метода необходимо либо физическое присутствие перед монитором сервера, либо же обладать портом портом управления, который позволяет, через Java или HTML консоль видеть изображение с сервера, например ILO, IPMI, IMM или IDRAC.
Логинимся на сервер через DCUI интерфейс и находим пункт меню «View System Logs». У вас будут шесть пунктов:
- Syslog
- VmKernel
- Config
- Management Agent (hostd)
- VirtualCenter Agent (vpxa)
- Vmware ESXI Observation log (vobd)
Для примера я выберу цифру 1 и посмотрю системные логи. Перед вами будет окно с логами ESXI, для перемещения вы можете использовать стрелки вниз или вверх, если нужно быстрее, то клавиши Page Up или Page Down.
Полный список команд можно получить нажав клавишу «H». Выход в меню DCUI осуществляется через кнопку Q. Кстати если вы нажмете сочетание клавиш Alt+F12, то вы перейдете в лог vmkernel. Выйти из него Alt+F2. Alt+F1 даст вам доступ в shell консоли, где вы легко можете перемещаться по каталога гипервизора.
Просмотр логов ESXI через браузер
Данный метод более универсальный и кросплатформенный, для его реализации нам понадобится всего лишь браузер, желательно свежий. В адресной строке введите путь:
https://dns-имя сервера или ip/host
У вас появится форма авторизации, указываем логин и пароль.
На выходе вы получите полный список логов гипервизора. Кликнув по нужному он скачается у вас в браузере, после чего вы можете открывать его любым текстовым редактором.
Просмотр логов ESXI через ssh
Данный метод так же очень простой и потребует ssh клиента, и предварительное включение ssh на ESXI. Тут нужно отметить два варианта доступа. Первый это классическая ssh консоль, где вы можете водить команды для просмотра нужного лога:
cat /var/log/hostd.log
Если нужна фильтрация, то воспользуемся grep
cat /var/log/hostd.log | grep error (у меня будут выведены все строки содержащие слово error)
Либо вы может использовать графическое подключение через ssh, например, через WinSCP. У вас будет обычный файловый менеджер, где вы легко найдет нужный вам лог.
Просмотр логов ESXI через web-интерфейс
Начиная с версии ESXI 6, у гипервизора появился свой веб-интерфейс, для этого просто откройте в браузере вот такой путь:
https://ip-адрес или dns-имя сервера/ui
В левом меню выберите пункт «Monitor», далее вкладку «Logs», тут в верхней части будет список всех файлов, если выбрать любой из них, то вы увидите его содержимое.
Для удобства просмотра вы можете открыть его в новом окне
Либо сгенерировать пакет со всеми логами, так называемый «Bundle». Нажимаем «Generate support bundle». У вас появится задание по генерации.
Загружаем его, пакет в среднем весит около 100 мб.
Просмотр логов ESXI через Power-CLI
Есть еще один быстрый способ выгрузить boundle пакет, используя для этого командлеты Power-CLI. Открываем оснастку и соединяемся с сервером:
Connect-VIServer -Server ip-адрес или имя сервера
У вас выскочит форма авторизации, введите логин и пароль, после чего у вас должен появиться статус.
Для генерации пакета с логами ESXI введите команду:
Get-Log -Bundle -DestinationPath C:logs
В результате чего у вас в C:logs появится пакет, который будет так же некоторое время генерироваться.
Еще можно централизованно собирать логи на сервер коллектор, но это уже другая история. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.
Маленькая заметка для истории…
Если Вы случайно попытались удалить каталог виртуальной машины, которая запущена на VMFS разделе и у вас нет бэкапа. Не расстраивайтесь, еще не все потеряно. ))) Попробуем восстановить файлы виртуальной машины vmx и vmdk.
Информация в данной статье является фантазией автора и представляется «как есть» и автор никогда не рекомендует пользоваться данной статьей, как руководством к действию. Автор не несет ответственности за ваши действия.
Во-первых, ESX не даст вам удалить самые важные файлы, т.к. они заблокированы процессом vmx. Это файлы *-flat.vmdk и *.vswp. Что это за файлы:
-flat.vmdk или vmname-flat.vmdk — диск данных виртуальной машины. Собственно, тот файл, куда виртуальная машина пишет данные.
.vswp или vmname.vswp — Файл подкачки виртуальной машины.
Но удаляться другие важные файлы (возможно, еще кое-какие, но в данной статье пойдет речь об этих):
.vmx или vmname.vmx — файл конфигурации виртуальной машины. Тот файл, в котором хранится описание виртуальной машины и ее настройки.
.vmdk или vmname.vmdk — файл конфигурации, который описывает характеристики файла данных -flat.vmdk. Такие как размер, количество блоков данных, структуру/иерархию снапшотов и др.
Более подробное описание типов файлов можно найти, например тут.
Перед тем как Вы начнете что-то делать
- не спешите и НЕ выключайте ВМ.
- не пытайтесь менять настройки ВМ. (настройки не стоит трогать, т.к. например, при попытке добавить новый диск, vmware выдает ошибку, виртуалка крашится и мы остаемся наедине с файлом .flat)
- Сделайте бэкап Ваших данных изнутри виртуалки в безопасное место.
Восстановление vmx файла. Файла конфигурации виртуальной машины.
Пока виртуальная машина запущена, она хранит все свои параметры в оперативной памяти. Для восстановления файлв просто переименуйте виртуальную машину через Веб клиента или vSphere клиента. Таким образом, ESX создаст вам новый vmx файл с рабочими параметрами.
Довольно странно, но этот способ я выявил лишь экспериментальным путем. Нигде в документации не найдено такой информации, но этот способ работает.
Восстановление vmdk файла. Файла описания для -flat.vmdk.
Тут необходимо действовать по инструкции: https://kb.vmware.com/kb/1002511
Восстановление vmdk файла для снапшотов. Файла описания для -delta дисков.
Тут необходимо действовать по инструкции: https://kb.vmware.com/kb/1026353
На этом все. После перезагрузки ваша ВМ будет с большой долей вероятности в рабочем состоянии. Делайте бэкапы и прибудет с вами спокойствие )
С Уважением, Mc.Sim.
Теги: backup, esxi, HOWTO, vmware