DSVA のデバッグログ取得方法

1. vSphere Client で DSVA のコンソールを開き、[Alt] + [F2] を押してdsva ユーザで CLI にログインします (CLI コンソールから通常の DSVA のメニュー画面に戻るには、[Alt] + [F1] を押します)。または、SSH でアクセスします。
2. /etc/ds_agent.conf を作成して、内容に「Trace=*」を記述します。

   $ sudo sh -c "echo Trace=* > /etc/ds_agent.conf"

   ヒント

   DSVA 9.5 以降でログのローテート設定を変更する際は、合わせて以下 2 つのパラメータを /etc/ds_agent.conf に追加してください (いずれか一方のみでも問題ありません)。

   • • dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
     • dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5/設定可能範囲 : 1-100 
     • 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
     • 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)

   バージョン10以降のOVFを使用してDSVAを展開している場合、初期設定は以下のようになっております。
   dsa.log.maxSize=20
   dsa.log.maxFiles=20

3. (不正プログラム対策機能に関する問題の場合のみ)
    
   vi 等のテキストエディタを使用して以下の記述をコピーし、/var/opt/ds_agent/am/ds_am.ini のファイル名で保存します。
   main=debug_level=8,vmpd_log_file_MB=10,vmpd_log_file_count=5

   ヒント

   ログのローテート設定を変更する際は、上記の2 つのパラメータを編集してください (いずれか一方のみでも問題ありません)。

   • • vmpd_log_file_MB=[最大ファイル数] / デフォルト : 5
     • vmpd_log_file_count=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
     • 例 : vmpd_log_file_MB=100 (1 ログあたり 100 MB)
     • 例 : vmpd_log_file_count=10 (10 個まで ds_am.log/ds_am-XX.log ログを保存)
4. ds_agent を再起動します。
   
   バージョン 9.5 以降

   $ sudo service ds_agent restart

5. (不正プログラム対策機能に関する問題の場合のみ)
    
   バージョン 9.5 以降
   以下コマンドを 3 回 実行します。実行時、デバッグレベルが変更された旨のメッセージは出力されません。実行後、「sudo cat /var/opt/ds_agent/diag/ds_am.log | grep changed」コマンドで、debug_level が 8 以上になっていることを確認します (通常、下記コマンドで上がるレベルは 1 ですが、2 上がる場合があります。しかし、8 以上であれば出力されるログ内容に差異はないため、8 以上であれば問題はありません)。 

   #バージョン10 ビルド 10.0.0.2888 未満の場合

   $ sudo killall -USR1 ds_am

   #バージョン10 ビルド 10.0.0.2888 以上 の場合

   $ sudo kill -USR1 `pidof ds_am`

6. (侵入防御/Web レピュテーションに関する問題の場合のみ)
   
   バージョン 9.5 以上のみ
   侵入防御や Web レピュテーション機能が正常に動作しない、などの事象が発生している場合は、これらの機能を担う dsa_slowpath プロセスのデバッグログを有効にするため、以下コマンドを 2 回 実行します。実行後、「cat /var/log/messages | grep debug_level」コマンドで、debug_level が 3 になっていることを確認します。

   #vShield環境 かつ
   #バージョン10 ビルド 10.0.0.2888 未満の場合

   $ sudo killall -USR1 dsa_slowpath

   #NSX-v環境 かつ
   #バージョン10 ビルド 10.0.0.2888 未満の場合

   $ sudo killall -USR1 dsa_slowpath_nx

   #vShield環境 かつ
   #バージョン10 ビルド 10.0.0.2888 以上の場合

   $ sudo kill -USR1 `pidof dsa_slowpath`

   #NSX-v 環境 かつ
   #バージョン10 ビルド 10.0.0.2888 以上の場合

   $ sudo kill -USR1 `pidof dsa_slowpath_nx`
    

   #NSX-T 環境 の場合

   $ sudo kill -USR1 `pidof dsa_slowpath_nsxt`

7. 問題が再現したら、/var/log/messages、/var/log/syslog および /var/log/vmware-tools-guestd (存在する場合) を採取してください。バージョン 9.5 以降の場合、必要なログは DSVA の診断パッケージに含まれているため、診断パッケージを採取してください。ただし、手順 6. で dsa_slowpath のデバッグを有効にした場合は、/var/log/messages も別途採取する必要があります。
8. ログ取得完了後、これまでの手順で有効にしたデバッグログを無効にします。手順 3.を実行した場合はds_agentサービスの再起動前に値を初期設定に値を修正ください。
   バージョン 9.5 以降
    

   $ sudo rm /etc/ds_agent.conf
   $ sudo service ds_agent restart
9. 手順 6. を実施した場合は、さらに以下のコマンドを 2 回 実行し dsa_slowpath のデバッグを無効にします。実行後、「cat /var/log/messages | grep debug_level」コマンドで、debug_level が 1 になっていることを確認します。

9. バージョン 9.5 以降の場合、手順 7. 記載のとおり診断パッケージを採取してください。

(例： ftpput -u user1 -p password 192.168.1.1 messages messages )

※ Windows の共有フォルダへ CIFS マウントしてのファイルコピーや、TeraTerm などのターミナルソフトでの SCP によるファイル転送でも問題ありません。詳細はパケット採取方法の製品Q&Aをご確認ください。

ESXi (Filter Driver) のデバッグログ (パケットトレース) 取得方法

DSVA で保護された特定の仮想マシンで意図せず通信がブロックされている等、仮想マシン単位での通信の問題が発生している場合、以下の手順でESXiホストのvmkernel.logも取得してください。

9. 9. 1. 事象が発生する仮想マシンをシャットダウンします。
      2. vSphere Clientで仮想マシンのプロパティを開きます。

      3. [オプション]タブの[詳細]-[全般]を選択し、「構成パラメータ」をクリックします。

         

      4. [行の追加]をクリックし、以下の行を追加します。
         名前：ethernet0.filter0.param3
         値：PKT_TRACE=1

         
      5. [OK]をクリックして設定を保存し、仮想マシンを起動します。
      6. 事象を再現します。
      7. 事象が発生した仮想マシンをシャットダウンし、追加した構成パラメータを削除します。
         構成パラメータを削除するには、DSVAをシャットダウンし、ESXiサービスコンソールにログインし、DSVAのvmxファイルから以下の行を削除することで可能です。
          
         ethernet0.filter0.param3 = "PKT_TRACE=1"
      8. vSphere ClientからESXiホストを選択し、[ファイル]-[エクスポート]-[システムログのエクスポート]からシステムログをエクスポートします。