ビュー:
アラートやステータスに関する内容は [HowTo] Trend Micro Deep Security システムの正常稼動監視方法(アラート/イベント/ステータスの監視編) を参照ください。
 

Deep Security Manager - Windows

確実に監視を行う場合、以下のプロセスおよびサービスを監視してください。

  • プロセス名:Deep Security Manager.exe
  • サービス名:Trend Micro Deep Security Manager

これらプロセス/サービスが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドなどで確認できます。)

Deep Security Manager - Linux

確実に監視を行う場合、以下のプロセスを監視してください。
  • プロセス名: /opt/dsm/jre/bin/java
このプロセス/サービスが稼働している場合、正常と考えられます。(ps -ef コマンドなどで確認できます。)

Deep Security Agent - Windows

通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。

より確実に監視を行う場合、以下のプロセスおよびサービスを監視してください。

プロセス名

  • dsa.exe (Agentのメインプロセス)
  • ds_monitor.exe (Agentのウォッチドッグプロセス)
  • Notifier.exe (Notifierによる通知プロセス)
  • coreFrameworkHost.exe (不正プログラム対策機能の検索プロセス)※1
  • coreServiceShell.exe (不正プログラム対策機能の検索プロセス)※1
  • dsvp.exe (Relayサービスのプロセス)※2
  • nginx.exe (Proxy接続に使用するプロセス)※3
  • ds_nuagent.exe (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※4
  • tm_netagent.exe (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※4、7

サービス名

  • ds_agent (Agent用のサービス)
  • ds_monitor (Agentのシステム監視用のサービス)
  • ds_notifier (Agentの通知用のサービス)
  • Amsp (不正プログラム対策機能用のサービス)※1
  • ds_nuagent (侵入防御機能の高度なTLSトラフィック監視に関するサービス)※4、5

ドライバ

  • tbimdsa (侵入防御/ファイアウォールで使用するドライバ)※6
 

※1 不正プログラム対策機能を有効化した場合のみ起動
※2 Relayを有効化した場合のみ起動(Cloud One - Workload Security においては起動しません)
※3 Relayを有効化した場合のみ起動
※4 侵入防御機能にて高度なTLSトラフィック監視がサポートされており、かつ当該機能を有効にした際のみ稼働(DSA 20.0.0.4185以降のみ。サポートされる環境についてはヘルプセンター をご覧ください。)
※5 DSA 20.0.0-7119以降では、サービスとしては表示されません。プロセス側でのみ表示されるよう動作変更されました。
※6 侵入防御あるいは、ファイアウォールを有効にした場合のみ稼働
※7 DSA 20.0.0-8438からプロセス名が「ds_nuagent.exe」から変更されました。

これらプロセス/サービス/ドライバが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドやmsinfo32コマンドなどで確認できます。)

Deep Security Agent - Linux

通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。

より確実に監視を行う場合、以下を監視してください。

プロセス名

  • ds_agent (Agentのメインプロセス)※1
  • ds_am (不正プログラム対策機能の検索プロセス)※2
  • dsvp (Relayサービスのプロセス)※3
  • nginx (Proxy接続に使用するプロセス)※4
  • ds_kmemcg (Webレピュテーション、ファイアウォール、侵入防御機能に使用するプロセス)※5
  • ds_kproc (Webレピュテーション、ファイアウォール、侵入防御機能に使用するプロセス)※5
  • ds_nuagent (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※6
  • tm_netagent (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※6、8

ドライバ

  • dsa_filter (Webレピュテーション、ファイアウォール、侵入防御機能で使用するドライバ)※7
  • dsa_filter_hook (Webレピュテーション、ファイアウォール、侵入防御機能で使用するドライバ)
 
※1 ds_agent はメインとモニタ用2つ起動
※2 不正プログラム対策機能を有効化した場合のみ起動、ds_amはメインとモニタ用2つ起動
※3 Relayを有効化した場合のみ起動(Cloud One - Workload Security においては起動しません)
※4 Relayを有効化した場合のみ起動
※5 カーネル4.5以上の環境で、Webレピュテーション、ファイアウォール、侵入防御機能いずれかを有効にした場合のみ稼働(DS20.0以降のみ)
※6 侵入防御機能の高度なTLSトラフィック監視に関するプロセス(DSA 20.0.0.4185以降のみ)。当該機能がサポートされている環境 では、メインとモニタ用2つ起動。
※7 Webレピュテーション、ファイアウォール、侵入防御機能いずれかを有効にした場合のみ稼働
これらプロセス/ドライバが稼働している場合、正常と考えられます。(lsmodコマンド(Linux)、modinfoコマンド(Solaris)などで確認できます。)
※8 DSA 20.0.0-8438からプロセス名が「ds_nuagent」から変更されました。
ds_agent および ds_amのプロセス数は、稼働状況により変動することがあります。少なくとも一つ以上のプロセスが稼働していることを監視してください。

Deep Security Virtual Appliance

通常 Deep Security Manager が正常に運用されている場合、Virtual Appliance が停止した場合などにはアラートが生成されるため、Virtual Appliance の正常稼動を担保することは可能です。

より確実に監視を行う場合、以下を監視してください。

ドライバモジュール

  • dvfilter-dsa

このモジュールがロードされている場合、正常と考えられます。(vmkload_modコマンドなどで確認できます。)

バージョン 9.6 以降では、VMware 社による VMsafe API のサポート終了のため dvfilter-dsaが存在しません。

Deep Security Agent / Deep Security Virtual Appliance - ポートで監視する

Deep Security Agent および Deep Security Virtual Appliance の死活監視の方法として Listen Port を監視する方法もあります。

  • 4118/TCP: Managerからの通信ポート
  • 4122/TCP: Agentからの通信ポート※1

※1 Relayのみ起動
これらのポートがListenされている場合、正常と考えられます。(netstatコマンド、リモートからtelnetコマンドで接続などで確認できます。)

※注意
telnetコマンドでポート4118に接続/切断を行うと、DebugView(Windows)、syslog(Unix)に「BIO_do_handshake() failed - peer closed connection.」というエラーが記録されます。

 


サポートエンジニアが問い合わせ傾向を元にDeep Securityを安心してお使いいただくための情報をWelcome Page(DS/C1WS)にまとめました。
Welcome Page(DS/C1WS)で機能概要や、事前準備から運用開始までに必要なステップ、運用のコツをぜひご確認ください!
キーワード: Deep Security,DS_Index‐運用における留意点-監視,サービス,プロセス,DS-FAQ-Feature_Test