ビュー:

アラートの発生条件

該当のアラートは、以下の条件で発生します。

  • Windows版Deep Security Agentおよび脆弱性対策オプション :
    24時間以内のWindowsイベントログに、ds_agent.exeプロセスの異常終了もしくはSTOPエラーが記録されていた場合に発生します。
    また、Deep Security Agentのサービスを構成しているプロセスがクラッシュ(ds_agent.mdmpが作成されます)した場合にも発生します。
  • Linux/UNIX版Deep Security Agent / Deep Security Virtual Appliance :
    24時間以内にds_agentプロセスのコアダンプが生成されていた場合に発生します。

アラート発生時の対処

Windowsの場合、イベントビューアからイベントログを確認してください。

STOPエラーの記録が残されていた場合、OSのシステムフォルダ(一般的にはC:\Windows)直下にMEMORY.DMPと言う名称のメモリダンプファイルが出力されますので、そのファイルの解析をOSのサポートまで依頼してください。

発生していたのがSTOPエラーの場合、Deep Securityとは関連性の無い問題である可能性がありますので、まずはOSのサポートに解析を依頼してください。ダンプ解析の結果として、Deep Security Agentのドライバに起因している可能性が示唆された場合には、メモリダンプおよびDeep Security Agentの診断パッケージを提供頂いた上でトレンドマイクロのサポートまでお問い合わせください。



プロセスの異常終了を確認できた場合、Deep Seuciry Agentのサービスを再起動し、ds_agent.exeプロセスが稼働しているかご確認ください。

サービスを再起動してもds_agent.exeプロセスが異常終了する場合、事象発生時のds_agent.exeプロセスのメモリダンプおよびDeep Security Agentのデバッグログと診断パッケージを提供頂いた上でトレンドマイクロのサポートまでお問い合わせください。

このアラートは、キーボード操作等によって意図的にSTOPエラーを発生させた場合やデバッガ等を利用して意図的にプロセスを停止させた場合でも発生します。



UNIX/LinuxおよびVirtual Applianceの場合、出力されているds_agentプロセスのコアダンプおよび診断パッケージを提供頂いた上でトレンドマイクロのサポートまでお問い合わせください。

Virtual Applianceでは、/home/dsva/core.[ds_agentプロセスのPID] のファイル名で記録されます。

このアラートは、gcoreコマンド等を利用して意図的にプロセスを停止させた場合でも発生します。

 
DSVA診断パッケージ取得時に「最新のダンプファイル」にチェックを付けて収集しても ds_agentプロセスのコアダンプが含まれない場合は、 以下コマンドで見つかったcoreダンプを取得してください。
 sudo ls /cores/
 sudo find / -type f -regex ".*/core.*[0-9]+"
 sudo find / -type f -regex ".*/vmcore+"

   ※事象発生時の更新時刻のファイルを取得してください。

 

 

アラートを発生させない方法

プロセスの異常終了やSTOPエラー等が発生しても該当アラートを発生させたくない場合、アラートの設定から「異常な再起動の検出 (Abnormal Restart Detected)」のチェックを外します。

キーワード: Deep Security