ビュー:

InterScan VirusWall スタンダードエディション Windows版 ( 以降 ISVW SE ) で、検索プロセスが起動しているにも関わらず通信が行えないなど、プロセスの動作停止が疑われるケースでは、問題が発生している時点のプロセスの強制ダンプファイルを取得して、状況や原因を調査できます。以下の手順で情報を取得し、弊社サポートセンターへ調査をご依頼ください。

※以降、ISVW SEがインストールされたフォルダを<install_dir>と表記します。
初期設定では、このフォルダは “C:¥Program Files¥Trend Micro¥InterScan VirusWall” です。


■情報取得の準備

(1) エラー報告を無効にする

※Windows 2000では、この操作は必要ありません。(2)に進みます。

Microsoft社へのエラー報告機能が有効になっている場合 (初期設定では有効)、ワトソンログやuser.dmpが記録されず、他のフォルダ (初期設定では”C:¥WINDOWS¥PCHEALTH¥ErrorRep¥UserDumps”) へ.hdmpと言う拡張子のダンプファイルのみが出力されます。情報取得のため、この機能を無効に設定します。

1. [マイコンピュータ]を右クリックし、[プロパティ]を選択します。

2. [詳細設定]タブをクリックし、右下の[エラー報告]をクリックします。

3. [エラー報告を無効にする]を選択し、「重大なエラーが発生した場合は通知する」のチェックを無効にした上で[OK]をクリックします。


(2) ワトソン博士の設定を確認する

アプリケーションエラーの調査を行うには、Windowsのワトソン博士でログやダンプファイルが正しく出力されるように設定されている必要があります。

1. Windowsスタートメニューの[ファイル名を指定して実行]に、”drwtsn32”と入力し、ワトソン博士を起動します。

2. 以下の設定がされていることを確認します。

・[ログファイルパス]と[クラッシュダンプ]に、有効なパスが設定されている
・[クラッシュダンプの種類]で[完全]が選択されている
・[オプション]で[すべてのスレッドコンテキストをダンプ]、[既存のログファイルに追加]、[クラッシュダンプファイルの作成]の3つにチェックが入っている

※Windows 2000では、「クラッシュダンプの種類」の項目は存在しないので設定しません。

設定が確認できたら、[OK]を押してワトソン博士を閉じます。これで準備は完了です。


■ 情報取得手順

以下の手順に従って調査に必要な情報を取得します。

※注意:設定ファイルの変更には、UTF-8に対応したエディタを使う必要があります。利用しているエディタがUTF-8に対応しているか判断できないときは、Windows付属のメモ帳 ( notepad.exe ) の使用を推奨します。ファイルが破損する可能性があるため、ワードパッドは使用しないでください。

(1) デバッグモードを有効にする

<install_dir>¥config.xmlをテキストエディタで開き、”DebugEnable”パラメータを”1”にします。
----------
<Key Name="root">
<Key Name="Common">
<Key Name="Logging">
<Value Name="DebugEnable" string="" type="int" int="1" />
----------
ファイルを保存して閉じ、”Trend Micro InterScan VirusWall”サービスを再起動して変更を反映させます。

※デバッグモードでは、通常よりも多くのログが出力されます。通信量が多い環境では、ディスクの空き容量にご注意ください。

(2) 調査対象となるプロセス名を確認する

こちらを参照して、対象となるプロセス名を確認します。例えば、SMTPによるメールの送受信に問題が発生する場合では、対象プロセスは “isvw-smtp.exe” になります。

多くの場合、対象となるプロセスは以下のプロセスのいずれかです。
・isvw-http.exe
・isvw-smtp.exe
・isvw-pop3.exe
・isvw-scan.exe
・isvw-ftp.exe

(3) 調査対象となるプロセスのプロセスID (PID) を確認する

以下の手順で、調査対象プロセスのプロセス (PID) を確認します。

1. タスクマネージャを起動して[プロセス]タブを開き、上部の[表示]メニューから[列の選択]をクリックします。

2. [PID (プロセスID)]にチェックを入れます。

3. タスクマネージャの[プロセス]タブに、[PID]列が追加されます。下記の例では、isvw-smtp.exeのプロセスIDが”2620”になっていることが分かります。


(4) 現象を再現させる

ここで現象を再現させるか、現象の再発を待ちます。再現したら、再現時の時刻を記録してください。

(5) コマンドプロンプトによる情報取得

コマンドプロンプトを起動し、以下のコマンドでISVWのインストールパスに移動します。(インストール先を変更している場合はそのパスを入力します)

cd "C:¥Program Files¥Trend Micro¥InterScan VirusWall"

その後、以下の4つのコマンドを順番に入力してください。

・netstat –ano > netstat.txt (Windows2000では、”netstat –an”)
・ipconfig /all > ipconfig.txt
・tasklist /V > tasklist.txt (Windows2003/XPのみ)
・dir /S > dir.txt

(6) システム情報の取得

スタートメニューの「ファイル名を指定して実行」から”msinfo32”と入力して、「システム情報」を起動します。
「ファイル」から「エクスポート」と選択して、”msinfo32.txt”というファイル名で情報を保存します。

さらにタスクマネージャを起動し、「プロセス」、「パフォーマンス」の2つのタブのスクリーンショットを取得してください。

(7) 強制ダンプファイルの生成

Windowsスタートメニューの [ファイル名を指定して実行] から、以下のコマンドを実行します。

drwtsn32 –p <対象プロセスのPID>

例えば、プロセスID 2622 のisvw-smtp.exeのダンプを取得する場合は以下のように入力します。


(8) デバッグモードとパケットキャプチャの停止

設定ファイルを、情報取得前の状態に戻します。

・“DebugEnable”パラメータを”0”に戻します。

パラメータを戻したら、サービスを再起動して設定を反映させます。

これで情報の再現手順は完了です。


■ 取得する情報

現象の再現が完了したら、以下の情報を回収してください。

(1) ISVW SEのログ

“<install_dir>¥log”フォルダ内から、以下のログを回収します。yyyymmddは年月日、xxxxは連番です。

・debuglog.yyyymmdd.xxxx (デバッグログ)
・eventlog.yyyymmdd.xxxx (イベントログ)
・systemlog.yyyymmdd.xxxx (システムログ)
・emanagerlog.yyyymmdd.xxxx (コンテンツフィルタログ、存在する場合のみ)
・antispamlog.yyyymmdd.xxxx (スパムメール対策ログ、存在する場合のみ)
・antispylog.yyyymmdd.xxxx (スパイウェア検索ログ、存在する場合のみ)
・viruslog.yyyymmdd.xxxx (ウイルス検索ログ、存在する場合のみ)
・その他の事象発生時刻を含むログ

※ログが多い場合は、事象が発生した時間帯に記録されたものを抜粋して送付してください。
量が少ないときは、フォルダ内の全てのログを一括してご送付ください。

(2) ISVW SEの設定ファイル

以下のファイルを回収します。

・<install_dir>¥config.xml
・<install_dir>¥AuConfig.xml
・<install_dir>¥intscan.ini
・ISVW Web管理コンソールの「概要」画面のスクリーンショット

(3) コマンドプロンプトで取得した情報

ISVWインストールパスに生成された、以下のテキストファイルを取得します。

・netstat.txt
・ipconfig.txt
・tasklist.txt (Windows2003/XPのみ)
・dir.txt

(4) システム情報

生成済みの”msinfo32.txt”と、タスクマネージャのスクリーンショットを回収します。

さらに、「コンピュータの管理」内の「イベントビューア」から、「アプリケーション」と「システム」のイベントログを取得します。


(6) ネットワークの情報

以下のような情報を含む、簡単なネットワーク構成図をご提供ください。

・クライアントPCとISVW SEのIPアドレス
・Webサーバ、SMTPサーバなどISVW SEと通信するサーバのIPアドレス
・ネットワーク上にFirewallやルータが存在する場合はそのIPアドレス
・クライアントで使用したWebブラウザやメールソフトの名称とバージョン
(例:Internet Explorer 7.0、Outlook Express 6)

(7) アプリケーションエラー時に生成されたダンプファイルとログ

ワトソン博士の[ログファイルパス]と[クラッシュダンプ]で指定されたパスに生成された以下のファイルを回収します。

・user.dmp
・drwtsn32.log

※user.dmpのファイルサイズが大きい場合の送付方法については、弊社サポートセンター担当者にご相談ください。

(8) 現象再現時の情報

以下の情報をご連絡ください。

・現象が発生した、または再現させた時刻
・再現性の有無 (毎回発生する、まれに発生する、特定の時間帯に発生する、など)

また、発生した状況について、可能な限り詳細な状況を知らせてください。

[例]
・特定のファイルが添付されたメールを送信すると発生する
・特定のWebサイトで、文字列を入力して検索処理を行うと発生する
・発生のタイミングはランダムで、規則性や再現性は確認できない