こんにちは、セキュリティエンジニア ばにゃです。
本記事では、VMware環境の仮想マシンをサスペンドする方法、vmss2coreツールを使用して仮想マシンのダンプを採取する方法について解説します。
また本記事に記載するダンプファイル とはメモリダンプ( memory dump )のことであり、プロセスダンプのことではありません。
本記事の前提となる環境
本記事では、以下のような環境を例として記載します。この環境で私自身が実機動作確認済みの手順となります。
- VMware vSphere ESXi 6.7
- Windows 10
- Windows Server 2016
ダンプ採取対象OSがWindows 10とWindows Server 2016、vmss2coreツール実行環境がWindows Server 2016
どのような環境で有効な採取方法か
以下のように、仮想マシンのローカルディスク内にメモリダンプの保存が難しい環境でも有効な採取方法です。もちろんこのような環境以外でもダンプ採取可能です。
- VMware Horizon View のリンククローン機能で展開された仮想マシン
- Citrix の PVS機能で展開された仮想マシン
上記環境の仮想マシンは、基本的には仮想マシン再起動時にデータが初期化されます。そのため一般的なダンプ採取方法の場合、ダンプ採取後の再起動で採取したダンプが削除されます。今回の方法では、データストア上に直接ファイルを出力するため、上記のようなファイルが削除されることがありません。
メモリダンプ採取方法
まず「vmem / vmssファイルの採取」、次にvmss2coreツールを使用してダンプファイルに変換を行います。
vmem、vmssファイルの採取
- ブラウザより vSphere Web Client を起動します。
- メモリダンプ採取対象の仮想マシンを右クリックし「電源」-「サスペンド」をクリックします。
- 確認メッセージが表示されるので「はい」をクリックします。
- サスペンド処理が完了することを確認します。
- 「データストア」タブより、仮想マシンを格納しているデータストアを右クリックし「ファイルの参照」を選択します。
- データストア内の仮想マシン格納フォルダを選択します。
- 以下のファイルを選択し「ダウンロード」をクリックしてダウンロードします。
・~~~.vmem
・~~~.vmss
以上で、vmems / vmss ファイルの採取は完了です。
手順7. について補足
ファイルサイズが大きい場合、複数ファイルを一度にダウンロードしようとすると失敗することがあります。その場合はファイルを1つずつ選択してダウンロードするようにしましょう。
vmss2coreツールを使用してダンプファイルへ変換
- 以下のサイトにアクセスします。
https://flings.vmware.com/vmss2core
- 「vmss2core-sb-8456865.exe」をクリックし、ダウンロードします。
- 以下のメッセージが表示された場合、「実行」をクリックします。
- ダウンロードした「vmss2core-sb-8456865.exe」と.vmemファイル、.vmssファイルを同一フォルダに格納します。
※ここでは例として C:\temp に格納。 - コマンドプロンプトを起動し、以下のコマンドを実行します。
※xxxx部分はファイル名に合わせて修正
cd c:\temp
vmss2core-sb-8456865.exe -W8 xxxx.vmem xxxx.vmss- しばらく待ち「Finished writing core.」と表示されることを確認します。
- 「C:\temp」配下に「memory.dmp」ファイルが作成されていることを確認します。
以上で vmss2coreツールを使用したメモリダンプファイルの作成は完了です。
参考情報
VMware ドキュメント
関連書籍
コメント