一个未知的工具正在擦除我们的虚拟机，我们无法识别它

不幸的是，看起来我们可能无法深入了解应用程序是什么，但为了从这个事件中获得一些价值，我想创建一个参考答案。这是以 VMware 和虚拟层管理为中心。许多管理员处于隔离状态，无法快速获得访客或存储访问权限，这是给他们的 :)

http://support.seagate.com/kbimg/flash/laptop/Laptop.swf似乎与@MosheKatz 发现的实际应用程序最接近。

如果将来发生这种情况，则应进行如下调查：

• 您注意到一些但并非所有虚拟机都崩溃了。您怀疑这是由于存储问题（因为它通常是最可能的原因）
• 首先尝试隔离一个共同因素。所有崩溃的虚拟机是否共享同一个数据存储？在这种情况下，它们是，但有些机器没问题，所以我们排除了明显的硬件问题。
• 检查所有损坏的虚拟机，看看是否存在共同因素（时间、功能等）。在这种情况下，没有。

• 检查其他异常事件。某事在这里举起了旗帜：

• • NFS 存储采用精简备份（在阵列级别）。这意味着虽然例如。200GB 提供给 ESXi 主机，实际上只有 100GB 可用。但是，只有数组具有此知识。我们发现许多虚拟机因磁盘空间不足而暂停。我们认为这可能是根本原因，所以我们的首要行动是在后端分配更多存储空间，以消除这个问题。

• 一旦这个问题得到解决（一个简单的 UI 更改），并且暂停的虚拟机成功重启，我们就回到了原来的问题。我们将损坏的 VM 中的虚拟磁盘安装到正常工作的 VM 上，并看到磁盘上没有分区表。我们没有可用的十六进制查看器，因此不得不假设磁盘现在是空的。

• 监控系统向刚刚无响应的新虚拟机发出警报。这很棒，因为由于磁盘空间问题，大量虚拟机在几分钟前就没有响应了，所以这个新虚拟机很快被发现的事实是良好监控管理的标志。

• 我们打开一个控制台并检查了客人，并看到了上面的屏幕截图。

• • 在这个阶段，我去服务器故障聊天室查看是否可以识别程序，同时我的存储同事检查所有虚拟层日志和事件，以确保没有存储操作从我们的区域运行。
• 我们应该做的是挂起虚拟机，让挂起文件被写出，并分析转储以查看是否可以识别正在运行的程序。将 VM 挂起到核心 PDF VMware KB

归根结底，我们知道虚拟基础设施工具不会像上面那样在来宾中报告。我们可以看到没有安装 ISO，也没有针对 VM 记录任何事件。我们可以看到虚拟机没有“硬重启”，只是软重启（这对底层基础设施是不可见的）。我们知道这不是存储方面，因为我们已经排除了这一点。我们怀疑它不是自动化的，因为它是在几个小时内发生在特定虚拟机上的。我们猜这不是恶意的，因为如果是的话，为什么控制台会报告磁盘擦除:)

因此，结论是用户启动了磁盘擦除。这就是我的调查所进行的，但我希望你发现它有用。

得到教训：

• 备份和测试您的恢复
• 确保所有用户，特殊管理员用户，知道他们在精简配置环境中工作，并且应该避免像写出磁盘格式化这样的事情（即写入负载 1
• 建立良好的监控系统。
• 还有一个对我来说是新的：在任何大型虚拟环境中，准备好工具 VM，甚至关闭电源，并安装诊断工具；性能，网络存储。如果这是可用的，我们可以在损坏的磁盘上挂载并执行十六进制转储，以查看它是否真的是空的，或者只是缺少一个 mbr。我们也可以看到它是否用 1 写出来。

我认为您的问题是标准的 VMware 空间回收功能。

本文可能对您有所帮助：清理节省空间的虚拟磁盘问题