ビュー:

本、製品Q&AではApex One エージェントでファイアウォールに関する問題が発生した場合、調査に必要となる情報について説明いたします。
Trend Micro Apex One SaaS 環境での情報については、以下製品Q&Aをご参照ください。

 

まずは、以下の製品Q&Aをご確認いただき、状況の把握、整理および問題の切り分けを実施してください。

発生している現象を下記の項目から選択し、現象発生時の情報を取得して、弊社までお送りください。

1. ポリシー、プロファイルの配信 (サーバ)
2. ポリシー、プロファイルの配信 (クライアント)
3. パケットがブロックされる、ドライバの干渉など (クライアント)

ウイルスバスター Corp. からアップグレードした Apex One の初期設定フォルダは以下です。

  • ウイルスバスター Corp. サーバ: C:\Program Files\Trend Micro\OfficeScan\PCCSRV
  • ウイルスバスター Corp. クライアント: C:\Program Files\Trend Micro\OfficeScan Client

新規インストールの Apex One の初期設定フォルダは以下です。

  • Apex One サーバ: C:\Program Files\Trend Micro\Apex One\PCCSRV
  • Apex One セキュリティエージェント: C:\Program Files\Trend Micro\Security Agent

1. ポリシー、プロファイルの配信 (サーバ)

(1) タイムテーブルを取得します。
取得したログファイルを比較しながら調査を進めるため、システム時計をもとに、ログの取得時刻や作業の実行時刻をメモしておきます。
--------------------------------------------------------------------------------
記載例)
10:00:00 システム時計の時刻を確認
10:05:00 サーバにて Ofcdebug.log の取得を開始
10:15:10 現象再現
10:25:20 各データの取得
--------------------------------------------------------------------------------

(2) 管理コンソールにログインし、左上の以下の文字をクリックします。

Trend Micro Apex One」の「T」

(3) 「デバッグログ設定」画面が開きます。

□デバッグログを有効にする
にチェックを入れて「保存」ボタンをクリックしますと、Ofcdebug.log の出力が始まります。

(4) 現象を再現させます。

(5) 「デバッグログ設定」画面で以下の設定に変更し、「保存」ボタンをクリックします。

「デバッグレベル」を「エラー」に指定します。

(6) Apex One サーバとエージェントでシステムの基本情報を取得します。
システムの基本情報は、Case Diagnostic Tool (以下、CDT)でイベント選択時に対象製品 [OSCE_XXserver](XXには製品バージョンが入ります)およびすべてのチェックをを選択して取得します。CDTの使用方法については、CDTの製品Q&Aをご覧ください。

CDT ログが出力できない場合には、[スタート] → [ファイル名を指定して実行] で「msinfo32」と入力して、システム情報を表示させて、msinfo32.nfo というファイル名でファイルを保存します。

■ 取得情報一覧
・手順実施時のタイムテーブル
・<インストールフォルダ>\Log\ofcdebug.log
・<インストールフォルダ>\Pccnt\Common\OfcPfw2.dat
・<インストールフォルダ>\Download\OfcPfw2.dat
・<インストールフォルダ>\Download\OfcPfw3.dat
・CDT ログ、またはmsinfo32.nfo
 

 

2. ポリシー、プロファイルの配信 (エージェント)

  1. タイムテーブルを取得します。
    取得したログファイルを比較しながら調査を進めるため、システム時計をもとに、ログの取得時刻や作業の実行時刻をメモしておきます。
    --------------------------------------------------------------------------------
    記載例)
    10:00:00 システム時計の時刻を確認
    10:05:00 エージェントにてログの取得を開始
    10:15:10 現象再現
    1 0:25:20 各データの取得
    --------------------------------------------------------------------------------

     
  2. Case Diagnostic Tool の使用方法の製品Q&Aを参照、手順①までを実行しCase Diagnostic Tool(以下、CDT) を取得します。
     
  3. 取得したCDTApexOneExclusive***.zip を任意のパスで解凍します。
     
  4. "ExInterface" フォルダ内の "ExInterface_OSCE_14agent.ini" をテキストエディタで開き、[Common] セクションにあるEnableFirewallDriverLog の値を「1」に変更、保存します。
    --------------------------------------------------------------------------------
    [Common]
    EnableFirewallDriverLog=1
    --------------------------------------------------------------------------------

     
  5. Case Diagnostic Tool の使用方法の製品Q&Aを参照、手順④までを実行し、以下項目にチェックを入れます。
    • Basic Information
    • Connectivity Issue
    • Enterprise Firewall Issue
    • Compatibility

     
  6. Case Diagnostic Tool の使用方法の製品Q&Aを参照、手順⑥まで進み、「Start Debug Mode」をクリックします。
     
  7. Apex Oneエージェントの各サービスが再起動されます。ファイアウォールサービスの起動には多少時間がかかります。CDTで「Stop Debug Mode」がアクティブな状態になるとデバッグモードが有効となりますが、サービスマネージャなどで[Apex One NT Firewall]サービスが起動したことを確認できるまでお待ちください。
     
  8. CDTで「Stop Debug Mode」がアクティブな状態になり、[Apex One NT Firewall]サービスが起動したことを確認したのち、事象の再現を行います。
     
  9. 事象の再現を行った後、Case Diagnostic Tool の使用方法の手順に沿ってデバックを停止、CDTを採取します。
     
  10. 以下の手順で!PfwDump.txt を採取します。
    • コマンドプロンプトを管理者権限で開き、cdコマンドで Apex One エージェントのインストールフォルダへ移動します。
    • 下記のコマンドを実行します。
        >tmpfw.exe dump [Enter]
    • Apex One エージェントのインストールフォルダ配下に !Pfwdump.txt が作成されますので、採取します。

     

■ 取得情報一覧

  • CDT
  • <インストールフォルダ>\!PfwDump.txt
  • エラーメッセージが表示される場合、そのスクリーンショット
  • 適用されているポリシーの確認のためにApexOne管理コンソールで該当のポリシーとプロファイルの内容が把握できるようなスクリーンショット
  • 簡易なネットワーク構成図

 

 

3. パケットがブロックされる、ドライバの干渉など (エージェント)

  1. タイムテーブルを取得します。
    取得したログファイルを比較しながら調査を進めるため、システム時計をもとに、ログの取得時刻や作業の実行時刻をメモしておきます。
    --------------------------------------------------------------------------------
    記載例)
    10:00:00 システム時計の時刻を確認
    10:05:00 エージェントにてログの取得を開始
    10:15:10 現象再現
    1 0:25:20 各データの取得
    --------------------------------------------------------------------------------

     
  2. Case Diagnostic Tool の使用方法の製品Q&Aを参照、手順①までを実行しCase Diagnostic Tool(以下、CDT) を取得します。
     
  3. 取得したCDTApexOneExclusive***.zip を任意のパスで解凍します。
     
  4. "ExInterface" フォルダ内の "ExInterface_OSCE_14agent.ini" をテキストエディタで開き、[Common] セクションにあるEnableFirewallDriverLog の値を「1」に変更、保存します。
    --------------------------------------------------------------------------------
    [Common]
    EnableFirewallDriverLog=1
    --------------------------------------------------------------------------------

     
  5. Case Diagnostic Tool の使用方法の製品Q&Aを参照、手順④までを実行し、以下項目にチェックを入れます。
    • Basic Information
    • Connectivity Issue
    • Enterprise Firewall Issue
    • Compatibility

     
  6. Case Diagnostic Tool の使用方法の製品Q&Aを参照、手順⑥まで進み、「Start Debug Mode」をクリックします。
     
  7. Apex Oneエージェントの各サービスが再起動されます。ファイアウォールサービスの起動には多少時間がかかります。CDTで「Stop Debug Mode」がアクティブな状態になるとデバッグモードが有効となりますが、サービスマネージャなどで[Apex One NT Firewall]サービスが起動したことを確認できるまでお待ちください。
     
  8. CDTで「Stop Debug Mode」がアクティブな状態になり、[Apex One NT Firewall]サービスが起動したことを確認したのち、事象の再現を行います。
     
  9. 事象の再現を行った後、Case Diagnostic Tool の使用方法の手順に沿ってデバックを停止、CDTを採取します。
     
  10. 以下の手順で!PfwDump.txt を採取します。
    • コマンドプロンプトを管理者権限で開き、cdコマンドで Apex One エージェントのインストールフォルダへ移動します。
    • 下記のコマンドを実行します。
        >tmpfw.exe dump [Enter]
    • Apex One エージェントのインストールフォルダ配下に !Pfwdump.txt が作成されますので、採取します。

     

■ 取得情報一覧

  • CDT
  • <インストールフォルダ>\!PfwDump.txt
  • エラーメッセージが表示される場合、そのスクリーンショット
  • 適用されているポリシーの確認のためにApexOne管理コンソールで該当のポリシーとプロファイルの内容が把握できるようなスクリーンショット
  • 簡易なネットワーク構成図
  • パケットデータ

 

キーワード: ウイルスバスター コーポレートエディション