Inclui hosts ESXi, vCenter/vSphere, datastores (VMFS, NFS, iSCSI, vSAN) e as VMs afetadas. São correlacionados artefatos do hipervisor e do convidado para reconstrução do incidente e definição de causa e impacto.

Arquivos .vmx, .vmdk (incluindo cadeias de snapshots), .vmsd, .nvram, .log da VM, além de logs do vmkernel, hostd, vpxa, vpxd e vobd, trilhas de auditoria do vCenter e registros do sistema convidado.

A decisão é técnica e documentada. Sempre priorizamos métodos não destrutivos; quando aplicável, utilizamos snapshots consistentes e janelas controladas para minimizar impacto e preservar integridade.

Mapeamos a cadeia completa, analisamos dependências e integridade de redo logs, verificamos consistência entre arquivos .vmdk/-flat e registramos anomalias para garantir reprodutibilidade.

Sim. Eventos de vMotion e Storage vMotion, criação/remoção de snapshots, mudanças de datastore e alterações de configuração são extraídos de logs e trilhas do vCenter/ESXi e colocados em uma linha do tempo.

Sim. O laudo é pericial, com metodologia, evidências referenciadas, hashes e cadeia de custódia, apto a sustentar auditorias internas e medidas legais.

Ransomware no convidado, exclusão indevida de snapshots/VMs, corrupção de VMDK, falhas em storage/cluster, acesso administrativo indevido e movimentação lateral entre hosts.

Depende da quantidade de hosts/VMs e do volume de logs. Normalmente, um relatório preliminar é possível após a coleta inicial; o laudo completo é entregue ao final da correlação das evidências.