1 返信 最新の回答 日時: Jul 10, 2011 10:01 AM ユーザー:infohigh

    vmware-hostd.exe のアクセス保護ログについて

      VSE8.7i Patch5 をWindows7 Ultimate SP1 64bit で利用しています。VMware Server Version 2.0.2 Build 203138 をインストール後、アクセス保護機能で以下のようなログが大量に出力されており気になります。アクセス保護カテゴリとルール名が、「仮想マシン保護:VMWare 仮想マシンファイルの変更を防止する」で検出されているので、文字通り仮想マシンイメージなどを不審なプロセスから保護しているようですが、VMWare Server のプロセス vmware-hostd.exe もブロックされてるのはいかがなものでしょうか。VMware Serverや仮想マシンの動作に影響はでていないので不具合ではないと思いますが、vmware-hostd.exe やVMWare社によってリリースされている製品のプロセスについてはあらかじめログされないように改善処置を希望します。

       

      以下のような内容でログされます。ログファイル名は AccessProtectionLog.txt です。よろしくご検討をお願いします。
      ~~
      2011/07/08    10:24:20    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    10:54:21    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    11:24:40    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    11:54:40    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    12:24:40    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    12:55:00    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    13:25:00    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    13:55:00    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    14:25:20    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    14:55:20    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    15:25:21    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    15:55:40    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    16:25:40    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    16:56:00    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    17:26:00    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      2011/07/08    17:56:00    アクセス保護ルールによってブロックされます (ルールは現在実行されていません)     NT AUTHORITY\SYSTEM    C:\Program Files (x86)\VMware\VMware Server\vmware-hostd.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\VMware\Performance    仮想マシン保護:VMWare Workstation ファイルおよび設定の変更を防止する    ブロックされたアクション: 書き込み
      ~~

       

      VMware ServerVersion 2.0.2Build 203138
        • 1. Re: vmware-hostd.exe のアクセス保護ログについて
          infohigh

          たしかVSE8.5Patch5あたりから追加されたルールだったと思いますが、

          実はこれ、VSE8.8からデフォルトで無効になっています。

          メーカーもおそらく怒られたのではないかと…

           

          このルールのせいで、月に百数十万以上のイベントが何ヶ月も発生して、

          ePOのDBサイズがン十GBになっているのを見たことがあります。