Как найти кто удалил виртуальную машину

Ищем в sql-базе vCenter события удаления виртуалок (Managment Studio > sql-базе vCenter > New Query):

• все события удаления:

SELECT CREATE_TIME, USERNAME, VM_NAME, HOST_NAME, EVENT_TYPE FROM dbo.VPX_EVENT WHERE EVENT_TYPE = ‘vim.event.VmRemovedEvent’

• удаление виртуалки с именем VMname1:

SELECT CREATE_TIME, USERNAME, VM_NAME, HOST_NAME, EVENT_TYPE FROM dbo.VPX_EVENT WHERE (VM_NAME = ‘VMname1’) AND (EVENT_TYPE = ‘vim.event.VmRemovedEvent’)


http://www.vmgu.ru/articles/esx-who-deleted-vm

Содержание

• — Как восстановить виртуальную машину?
• — Как восстановить VMDK файл?
• — Как восстановить VMX файл?
• — Как восстановить виртуальную машину в Hyper V?
• — Где хранятся виртуальные машины VMware?
• — Как сделать снапшот в VMware?
• — Как восстановить ESXi?
• — Как извлечь файлы из Vmdk?
• — Что такое Flat Vmdk?
• — Где хранятся файлы виртуальные машины Hyper-V?
• — Где находятся виртуальные машины Hyper-V?

Чтобы удалить Acronis True Image Home с компьютера, выберите Пуск > Настройки > Панель управления > Установка и удаление программ > Acronis True Image Home > Удалить. Для подтверждения удаления в диалоговом окне нажмите кнопку «Да».

Как восстановить виртуальную машину?

Чтобы восстановить виртуальную машину целиком в исходное местоположение:

1. Откройте представление Backup & Replication.
2. В иерархии объектов щелкните по узлу Backups > Disk. В рабочей области разверните задание резервного копирования, щелкните правой кнопкой мыши по нужной виртуальной машине и выберите Restore entire VM.

Как восстановить VMDK файл?

Чтобы восстановить данные из файла VMWare *. vmdk, вам нужно запустить RS Partition Recovery и выбрать файл (файлы) вашей виртуальной машины, запустив команду «Сервис» -> «Монтировать диск».

Как восстановить VMX файл?

Для восстановления файлов просто переименуйте виртуальную машину через Веб клиента или vSphere клиента. Таким образом, ESX создаст вам новый vmx файл с рабочими параметрами.»

Как восстановить виртуальную машину в Hyper V?

Hyper—V

1. Перейдите в Панель управления / Программы и компоненты / Включение или отключение компонентов Windows.
2. В открывшемся окне компонентов Windows найдите пункт Hyper—V, поставьте галочки возле каждого подпункта и нажмите OK.
3. Перезагрузите компьютер

Где хранятся виртуальные машины VMware?

Как мы уже оговаривали, все файлы, которые сохраняются на дисках виртуальной машины, располагаются в . vmdk файлах виртуального диска. Программа для восстановления данных жесткого диска Hetman Partition Recovery имеет функцию монтирования виртуальных дисков и восстановления данных из них.

Как сделать снапшот в VMware?

Чтобы создать снимок состояния гостевой ОС, вверху в горизонтальном меню окна VMware Workstation 10 жмём «Виртуальная машина», а в перечне этого меню – «Снимок состояния». Появится выпадающий список возможных функций, среди которых выбираем первую — «Создать снимок состояния».

Как восстановить ESXi?

Процедура восстановления ESXi в случае падения сервера следующая:

1. Установите на сервер ту же самую версию ESXi, бэкап которой был создан. …
2. Скопируйте на север имеющийся файл с бэкапом. …
3. Подключитесь к серверу через vCLI или vMA, и переведите сервер в maintenance mode: vicfg-hostops —server 192.168.0.11 —operation enter.

Как извлечь файлы из Vmdk?

Извлечь файлы из VMDK

1. Существует ли инструмент командной строки для извлечения файлов из файла VMDK? …
2. Смонтируйте VMDK с помощью утилиты VMware Disk Mount, затем скопируйте нужный файл и размонтируйте его. …
3. 7ZIP может открывать и извлекать файлы VMDK.

Что такое Flat Vmdk?

vmdk — заголовочный, он же индексный, он же файл-дескриптор виртуальго диска, который содержит информацию о геометрии диска, его тип и другие метаданные <имя ВМ>-flat.

Где хранятся файлы виртуальные машины Hyper-V?

Виртуальная машина Hyper—V архитектура

*. vhdx – файл диска виртуальной машины. Имеет название, которое было присвоено виртуальной машине при её создании. Место расположения по умолчанию: C:UsersPublicDocumentsHyper—VVirtual hard disks.

Где находятся виртуальные машины Hyper-V?

Hyper—V виртуальные машины находятся только в поддерживаемой конфигурации, когда файлы виртуальных машин хранятся в подмостках. Это не поддерживаемая конфигурация, когда виртуальные файлы машин хранятся непосредственно в базовой (или корневой) части диска или файла.

Интересные материалы:

Как на IMAC установить Windows 10?
Как на виндовс 10 Изменить параметры папок?
Как на виндовс 10 поставить виндовс 7?
Как на виндовс 10 Записать файлы на диск?
Как начать запись видео в Windows 10?
Как найти автозапуск программ в Windows 10?
Как найти блютуз на Windows 7?
Как найти быстродействие в виндовс 10?
Как найти Control Panel в Windows 10?
Как найти документ в компьютере виндовс 10?

Обновлено 18.02.2019

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. Любой системный администратор просто обязан уметь производить диагностику и мониторинг своих служб и сервисов. Он должен знать где хранятся события служб и уметь их анализировать. Не так давно я вам подробно расписывал, как посмотреть логи Windows платформ, сегодня же мы разберем, где и как посмотреть логи ESXI гипервизора. Хотя сама система монолитная и стабильная, но и там приходится отлавливать различные нестандартные события, о которых вам могут подробно рассказать только логи.

Методы просмотра логов ESXI

Предположим у вас в инфраструктуре есть несколько установленных VMware ESXI 6.5 хостов и нет vCenter для управления ими, где централизовано можно мониторить логи.Случается какой-то инцидент и вам необходимо провести расследование, чтобы выяснить причину. Вот для таких вот ситуаций вы должны знать, где располагаются логи ESXI. Методов их посмотреть уйма, я вам покажу самые простые из них.

• Посмотреть логи VMware ESXI хоста можно из shell оболочки
• Получить доступ и выгрузить логи вы можете и через ssh клиента
• С помощью веб интерфейса, удобно так как метод является кросплатформенным
• Через оболочку и комадлеты PowerCLI

Месторасположение журналов в VMware ESXI

Перед тем, как я вам покажу все методы, я вам приведу сводную информацию, о том, где собственно лежат все файлы с логами. Напоминаю, что гипервизор построен на базе операционной системы Red Hat Enterprise Linux (RHEL), а из этого следует, что все логи располагаются в каталоге /var/logs/:

• auth.log — один из важнейших журналов безопасности в ESXI. Сюда попадают данные, о всех подключениях по SSH к хосту. В файле можно обнаружить вот такие записи:

Тут будет информация, о том, кто подключился и с какого ip-адреса, это полезно для аудита безопасности.

• Файл boot.gz — данный архив содержит в себе текстовый файл, в который заносится информация, о всех загружаемых компонентах, драйверах. устройствах ESXI хоста. Разархивировать и посмотреть содержимое файла, можно с помощью обычного RAR архиватора.
• clomd.log — Когда вы запускаете хост ESXi или повторно сканируете адаптер, хост обнаруживает все физические пути к устройствам хранения, доступным хосту. На основе набора правил утверждений хост определяет, какой подключаемый модуль многопутевого (multipathing) распространения (MPP) должен запрашивать пути к конкретному устройству и становится ответственным за управление поддержкой многопутевого распространения для устройства. Информация, о сканировании будет в файле clomd.log
• configRP.log — сюда записываются изменения пула ресурсов
• dhclient.log — Журнал DHCP-клиента, включая обнаружение, запросы на аренду и продление адресов.

• esxcli-software.log — содержит события, проверки подгружаемых VIB пакетов
• esxupdate.log — лог по патчам исправления и обновлениям
• hostd.log — Журналы службы управления хостом включают в себя задачи и события виртуальной машины и хоста ESXi, связь с агентом vSphere Client и VMware vCenter Server vpxa, а также соединения SDK.
• hostdCgiServer.log — Автономная служба CGI, которая обрабатывает все HTTP-запросы для URL/cgi-bin. Она была перемещена из процесса hostd в собственный демон, чтобы у нас был способ собрать пакет vm-support, если hostd заблокирован.
• hostd-probe.log — Проверяет доступность службы управления хостом

• hostprofiletrace.log — Журналы профиля хоста
• iofilter-init.log — логи iofilterd_spm модуля
• iofiltervpd.log — VAIO это платформа, которая позволяет третьим сторонам (партнерам) разрабатывать фильтры, которые работают в ESXi и могут перехватывать любые запросы ввода-вывода из гостевой операционной системы на виртуальный диск. IO не будет выпущен или зафиксирован на диске без обработки IO Filters, созданной третьими лицами. Фильтры выполняются внутри ESXi, а не в виртуальной машине. Кроме того, VAIO Framework обеспечивает централизованную установку и обновление. Логи, о данных событиях будут в данном журнале.

• jumpstart-stdout.log — содержит информацию, о стартуемых плагинах
• lacp.log — Журналы протокола управления агрегацией каналов (LACP)
• nfcd.log — Журнал стека TCP/IP
• rabbitmqproxy.log — rabbitmqproxy, прокси, работающий на хосте ESXi, который позволяет приложениям, работающим на виртуальных машинах, обмениваться данными с брокерами AMQP, работающими в сетевом домене vCenter.
• rhttpproxy.log — HTTP-соединения проксируемые от имени других веб-сервисов хоста ESXi

• sdrsinjector.log — Журнал инжектора устройства vSphere Storage DRS (Подробнее https://kb.vmware.com/s/article/2149938)
• shell.log — Журналы использования ESXi Shell, включая включение/отключение и каждую введенную команду. В моем примере видно, что я вводил в консоли shell команду uname -a, для просмотра ядра.

• storagerm.log — Storage I/O Control логи
• swapobjd.log — Swap VVol Object Daemon логи
• sysboot.log — Журнал загрузки системы. Записывает события ESXi Power-ON, Power-OFF и события перезапуска
• syslog.log — Инициализация службы управления, дисковые устройства, запланированные задачи и использование DCUI.
• usb.log — Информация об устройствах USB, такая как обнаружение и передача, проброс на виртуальные машины.
• vitd.log — vSAN iSCSI target Daemon. Содержит события целевой службы vSAN iSCSI.
• vmauthd.log — информация об аутентификации
• vmkdevmgr.log — Журнал диспетчера устройств VMware. Содержит информацию об устройствах, подключенных к хосту ESXi, таких как NIC, HBA
• vmkernel.log — Базовые журналы VMkernel, в том числе данные об обнаружении устройств, хранении и сетевых устройствах, а также информация о драйвере, а также информация о запуске виртуальной машины и событиях драйвера.
• vmkeventd.log — Это утилита для захвата событий VMkernel
• vmkwarning.log — Сводка сообщений журнала предупреждений и предупреждений, взятых из журналов VMkernel.
• vmksummary.log — Сводная информация о запуске и завершении работы хоста ESXi, а также о ежечасном heartbeat с указанием времени безотказной работы, количества запущенных виртуальных машин и потребления ресурсов службы.
• vmware-vmsvc.log — лог, о версии Vmware Tools
• vobd.log — Наблюдение за событиями VMkernel.
• vprobe.log — Гибкая система динамического инструментария, предназначенная для обеспечения глубокого наблюдения за ESXi и виртуальными машинами, работающими на нем.
• vpxa.log — Журналы агента vCenter Server vpxa, включая связь с vCenter Server и агентом hostd Host Management.
• vvold.log — Журнал виртуальных томов
• vsanmgmt.log — vSAN Management Service.
• vsansystem.log — vSAN System Managed Service.
• vsanvpd.log — vSAN Storage Provider Daemon

Просмотр логов ESXI через shell оболочку

Теперь когда мы с вами знаем, о месторасположении и назначении каждого из журналов ESXI хоста, мы можем рассмотреть методы их просмотра. Первым будет самый классический, редко используемый, через Shell оболочку. Для выполнения данного метода необходимо либо физическое присутствие перед монитором сервера, либо же обладать портом портом управления, который позволяет, через Java или HTML консоль видеть изображение с сервера, например ILO, IPMI, IMM или IDRAC.

Логинимся на сервер через DCUI интерфейс и находим пункт меню «View System Logs». У вас будут шесть пунктов:

1. Syslog
2. VmKernel
3. Config
4. Management Agent (hostd)
5. VirtualCenter Agent (vpxa)
6. Vmware ESXI Observation log (vobd)

Для примера я выберу цифру 1 и посмотрю системные логи. Перед вами будет окно с логами ESXI, для перемещения вы можете использовать стрелки вниз или вверх, если нужно быстрее, то клавиши Page Up или Page Down.

Полный список команд можно получить нажав клавишу «H». Выход в меню DCUI осуществляется через кнопку Q. Кстати если вы нажмете сочетание клавиш Alt+F12, то вы перейдете в лог vmkernel. Выйти из него Alt+F2. Alt+F1 даст вам доступ в shell консоли, где вы легко можете перемещаться по каталога гипервизора.

Просмотр логов ESXI через браузер

Данный метод более универсальный и кросплатформенный, для его реализации нам понадобится всего лишь браузер, желательно свежий. В адресной строке введите путь:

У вас появится форма авторизации, указываем логин и пароль.

На выходе вы получите полный список логов гипервизора. Кликнув по нужному он скачается у вас в браузере, после чего вы можете открывать его любым текстовым редактором.

Просмотр логов ESXI через ssh

Данный метод так же очень простой и потребует ssh клиента, и предварительное включение ssh на ESXI. Тут нужно отметить два варианта доступа. Первый это классическая ssh консоль, где вы можете водить команды для просмотра нужного лога:

Либо вы может использовать графическое подключение через ssh, например, через WinSCP. У вас будет обычный файловый менеджер, где вы легко найдет нужный вам лог.

Просмотр логов ESXI через web-интерфейс

Начиная с версии ESXI 6, у гипервизора появился свой веб-интерфейс, для этого просто откройте в браузере вот такой путь:

В левом меню выберите пункт «Monitor», далее вкладку «Logs», тут в верхней части будет список всех файлов, если выбрать любой из них, то вы увидите его содержимое.

Для удобства просмотра вы можете открыть его в новом окне

Либо сгенерировать пакет со всеми логами, так называемый «Bundle». Нажимаем «Generate support bundle». У вас появится задание по генерации.

Загружаем его, пакет в среднем весит около 100 мб.

Просмотр логов ESXI через Power-CLI

Есть еще один быстрый способ выгрузить boundle пакет, используя для этого командлеты Power-CLI. Открываем оснастку и соединяемся с сервером:

У вас выскочит форма авторизации, введите логин и пароль, после чего у вас должен появиться статус.

Для генерации пакета с логами ESXI введите команду:

В результате чего у вас в C:logs появится пакет, который будет так же некоторое время генерироваться.

Еще можно централизованно собирать логи на сервер коллектор, но это уже другая история. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.

Маленькая заметка для истории…

Если Вы случайно попытались удалить каталог виртуальной машины, которая запущена на VMFS разделе и у вас нет бэкапа. Не расстраивайтесь, еще не все потеряно. ))) Попробуем восстановить файлы виртуальной машины vmx и vmdk.

Информация в данной статье является фантазией автора и представляется «как есть» и автор никогда не рекомендует пользоваться данной статьей, как руководством к действию. Автор не несет ответственности за ваши действия.

Во-первых, ESX не даст вам удалить самые важные файлы, т.к. они заблокированы процессом vmx. Это файлы *-flat.vmdk и *.vswp. Что это за файлы:

-flat.vmdk или vmname-flat.vmdk — диск данных виртуальной машины. Собственно, тот файл, куда виртуальная машина пишет данные.
.vswp или vmname.vswp — Файл подкачки виртуальной машины.

Но удаляться другие важные файлы (возможно, еще кое-какие, но в данной статье пойдет речь об этих):

.vmx или vmname.vmx — файл конфигурации виртуальной машины. Тот файл, в котором хранится описание виртуальной машины и ее настройки.
.vmdk или vmname.vmdk — файл конфигурации, который описывает характеристики файла данных -flat.vmdk. Такие как размер, количество блоков данных, структуру/иерархию снапшотов и др.

Более подробное описание типов файлов можно найти, например тут.

Перед тем как Вы начнете что-то делать

1. не спешите и НЕ выключайте ВМ. 
2. не пытайтесь менять настройки ВМ. (настройки не стоит трогать, т.к. например, при попытке добавить новый диск, vmware выдает ошибку, виртуалка крашится и мы остаемся наедине с файлом .flat)
3. Сделайте бэкап Ваших данных изнутри виртуалки в безопасное место.

Восстановление vmx файла. Файла конфигурации виртуальной машины.

Пока виртуальная машина запущена, она хранит все свои параметры в оперативной памяти. Для восстановления файлв просто переименуйте виртуальную машину через Веб клиента или vSphere клиента. Таким образом, ESX создаст вам новый vmx файл с рабочими параметрами.

Довольно странно, но этот способ я выявил лишь экспериментальным путем. Нигде в документации не найдено такой информации, но этот способ работает.

Восстановление vmdk файла. Файла описания для -flat.vmdk.

Тут необходимо действовать по инструкции: https://kb.vmware.com/kb/1002511

Восстановление vmdk файла для снапшотов. Файла описания для -delta дисков.

Тут необходимо действовать по инструкции: https://kb.vmware.com/kb/1026353

На этом все. После перезагрузки ваша ВМ будет с большой долей вероятности в рабочем состоянии. Делайте бэкапы и прибудет с вами спокойствие )

С Уважением, Mc.Sim.

---

Теги: backup, esxi, HOWTO, vmware