ビュー:
DDI で問題が発生した場合、以下の情報をご提供ください。

発生した問題および環境に関する基本的な情報

  • ご利用の DDI について (アプライアンス版 or 仮想アプライアンス版)
    • 例) DDI 1200 を利用中、等
  • 発生した問題の内容をできる限り詳細にお知らせください。
  • 問題はいつから発生していますか。
  • 問題は今も続いていますか。
  • 問題に再現性はありますか。
  • 問題が再現できる場合は、その手順をお知らせください。
  • この問題が発生する以前、DDI は正常に稼動していましたか。
  • 問題が発生する直前にシステムやネットワークに変更を加えましたか。
  • 機器の再起動などで事象は改善しますか。

ネットワーク構成図

DDI および監視ネットワーク配下のクライアント、関連するサーバ、ルータ、スイッチ等の配置箇所および各デバイスの IP アドレス、各インタフェースの MAC アドレス等の情報を記載したネットワーク構成図をご提供ください。

パケットキャプチャ

DDI 5.0 以降

  1. DDI の管理コンソールにログインします。
  2. 以下のページにアクセスします。
     https://{DDI の IPアドレス}/html/troubleshooting.htm
  3. サイドメニューより [ネットワークトラフィックダンプ] を選択します。
  4. パケット取得対象インタフェースをプルダウンメニューから選択し [パケットのキャプチャ] をクリックするとパケットキャプチャが始まります
  5. 事象再現後、[停止] をクリックしてパケットの取得を終了します。
  6. [エクスポート] をクリックしてパケットキャプチャファイルをダウンロードします。

システムログ

  1. [ログ] → [システムログのクエリ] (DDI 3.8 以降の場合、[管理] → [システムログ]) 画面にて、事象の発生時刻を含む期間を設定します。
  2. 「すべてのシステムログ」が選択されている状態で [エクスポート] をクリックし、"export_csv.csv" ファイルを保存します。

コンポーネント情報

[管理] → [アップデート] 画面にアクセスし、現在のバージョンに記載されているコンポーネント情報を全てお知らせください。

検出ログ

検出関連の事象の場合、以下手順で検出ログを取得してください。
  1. [検出] → [すべての検出] 画面にて、「検出の重大度」を「すべて」に合わせ、該当の検出があった時刻を含む期間を選択・設定します。
  2. [エクスポート] をクリックし、"all_detections.zip" ファイルを保存します。なお、エクスポートを行う前に、[検索] をクリックし、該当の検出がクエリできていることを確認してください。

デバッグログ

以下の手順で DDI のデバッグログを取得してください。
 
  1. 以下の URL にアクセスします。

https://[DDI の IP アドレス]/html/troubleshooting.htm

上記 URL へ直接アクセスしても、DDI のログイン画面にリダイレクトされますので、DDI の管理コンソールへログインしている状態でブラウザの URL を上記に変更してください。また、URL は大文字と小文字が区別されます。404 エラーが出た際には大文字と小文字が正しく記入されているかご確認ください。

  1. [デバッグログ設定] にて、発生している事象に応じて、デバッグログレベルを Error から Debug へと変更し、[保存] をクリックします。事象のタイプと変更する項目は以下のとおりです。

検出に関する問題

  • Detection > cav ※1
  • Detection > filescan
  • Detection > fstream_serv
  • Detection > xdd
  • Detection > tmufed
  • Detection > tmfbed
  • System > om_xxx
  • System > logx

仮想アナライザに関する問題

  • DTAS > dtas_sync
  • DTAS > dtas_notifier
  • DTAS > usandbox
  • System > mr_system_log

レポートに関する問題

  • Detection > correlation

CCCA (C&C コールバックアラート) に関する問題

  • Detection > cav ※1

コンポーネントアップデートに関する問題

  • System > update

ライセンスアップデートに関する問題

  • System > pr

通知に関する問題

  • System > om_xxx
  • System > stat
  • DTAS > dtas_notifier
  • UI > send_tmsp_report
  • Utils > report_notifier
  • Utils > utils
  • Utils > mail_chef

syslog に関する問題

  • System > om_xxx

Network VirusWall Enforcer との連携 (脅威軽減) に関する問題

  • Detection > cav ※1
  • Agent > dcs_agent

Trend Micro Control Manager に関する問題

  • Agent > dcs_agent
  • Agent > cm_agent
  • System > om_xxx
  • DTAS > dtas_sync
  • UI > sci

Web レピュテーションに関する問題

  • Detection > tmufed

TMSP に関する問題

  • UI > send_tmsp_report
  • Agent > cm_agent
  • Utils > ptunnel

Luwak に関する問題

  • Agent > luwak_agent
  • UI > sci

レトロスキャンに関する問題 

  • UI > sci

管理コンソールのログインに関する問題

  • System > session_daemon
  • UI > sci

管理コンソールの機能に関する問題

  • UI > sci
  • UI > web_service

サードパーティ製品との連携に関する問題

  • Utils > so_dist
  • UI > sci

パケットキャプチャに関する問題

  • Detection > pcap_lumberjack
  • UI > sci

DDAaaSAに関する問題

  • System > pr
  • System > logx
  • DTAS > dtas_sync
  • UI > sci

Trend Vision Oneの登録に関する問題

  • Agent > pb_agent
  • UI > sci

Service Gateway 連携に関する問題

  • Detection > tmufed
  • Detection > marsd 
  • System > update
  • DTAS > dtas_sync
  • DTAS > usandbox
  • Agent > service_gateway
  • UI > sci
  1. 事象を再現させます。
  2. [デバッグログのエクスポート] フィールドの 「デバッグログのエクスポート」および「設定のエクスポート」の 2 つのチェックボックス全てにチェックを入れ、[エクスポート] をクリックします。
  3. 出力された "debug_log.zip” ファイルを取得します。
  4. 画面右上の [ログを初期設定にリセットする] をクリックします。
  5. [デバッグログのメンテナンス] フィールドの [デバッグログの削除] をクリックし、デバイス内に蓄積されているデバッグログを消去します。 ※2
   注釈
   ※1 3.8SP3以降では、「info」を選択して下さい。
   ※2 5.8以降では、[デバックログの削除]は行えないため、本手順不要
 
  • 手順7のデバッグログの削除については、調査完了後に削除してただくことを推奨いたします。

事象発生時のスクリーンショット

発生している事象を把握できるスクリーンショット (エラーメッセージが表示されている場合はそのスクリーンショット) をご提供ください。

キーワード: Deep Discovery/Deep Discovery Inspector