Deep Security Manager - Windows
監視の必要がある場合は、以下のプロセスおよびサービスを監視してください。
- プロセス名:Deep Security Manager.exe
- サービス名:Trend Micro Deep Security Manager
これらプロセス/サービスが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドなどで確認できます。)
Deep Security Manager - Linux
- プロセス名: /opt/dsm/jre/bin/java
Deep Security Agent - Windows
通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。
監視の必要がある場合は、以下のプロセスおよびサービスを監視してください。
プロセス名
- dsa.exe (Agentのメインプロセス)
- ds_monitor.exe (Agentのウォッチドッグプロセス)
- Notifier.exe (Notifierによる通知プロセス)
- coreFrameworkHost.exe (不正プログラム対策機能の検索プロセス)※1
- coreServiceShell.exe (不正プログラム対策機能の検索プロセス)※1
- dsvp.exe (Relayサービスのプロセス)※2
- nginx.exe (Proxy接続に使用するプロセス)※3
- ds_nuagent.exe (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※4
- tm_netagent.exe (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※4、7
- dsa-connect.exe (Cloud One、Vision One ManagerとDSAプロセス間通信を中継するプロセス)※8
- dsa-wrs-app.exe (Windows用Webレピュテーション機能のプロセス)※9
サービス名
- ds_agent (Agent用のサービス)
- ds_monitor (Agentのシステム監視用のサービス)
- ds_notifier (Agentの通知用のサービス)
- Amsp (不正プログラム対策機能用のサービス)※1
- ds_nuagent (侵入防御機能の高度なTLSトラフィック監視に関するサービス)※4、5
ドライバ
- tbimdsa (侵入防御/ファイアウォールで使用するドライバ)※6
※1 不正プログラム対策機能を有効化した場合のみ起動
※2 Relayを有効化した場合のみ起動(Cloud One - Workload Securityにおいては起動しません)
※3 Relayを有効化した場合のみ起動
※4 侵入防御機能にて高度なTLSトラフィック監視がサポートされており、かつ当該機能を有効にした際のみ稼働(DSA 20.0.0.4185以降のみ。サポートされる環境についてはヘルプセンター をご覧ください。)
※5 DSA 20.0.0-7119以降では、サービスとしては表示されません。プロセス側でのみ表示されるよう動作変更されました。
※6 侵入防御あるいは、ファイアウォールを有効にした場合のみ稼働
※7 DSA 20.0.0-8438からプロセス名が「ds_nuagent.exe」から変更されました。
※8 DSRやWebレピュテーション機能を有効にした際に起動します。DSA 20.0.2-4960からVision Oneでご利用の場合にも起動します。
※9 DSA 20.0.0-6313以降でWebレピュテーション機能を有効にした際に起動します。ご利用の環境によっては起動しない場合があります。
これらプロセス/サービス/ドライバが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドやmsinfo32コマンドなどで確認できます。)
Deep Security Agent - Linux
通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。
監視の必要がある場合は、以下のプロセスおよびサービスを監視してください。
プロセス名
- ds_agent (Agentのメインプロセス)※1
- ds_am (不正プログラム対策機能の検索プロセス)※2
- dsvp (Relayサービスのプロセス)※3
- nginx (Proxy接続に使用するプロセス)※4
- ds_kmemcg (Webレピュテーション、ファイアウォール、侵入防御機能に使用するプロセス)※5、9
- ds_kproc (Webレピュテーション、ファイアウォール、侵入防御機能に使用するプロセス)※5、9
- ds_nuagent (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※6
- tm_netagent (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※6、8
- dsa-connect (Cloud One、Vision One ManagerとDSAプロセス間通信を中継するプロセス)※10
ドライバ
- dsa_filter (Webレピュテーション、ファイアウォール、侵入防御機能で使用するドライバ)※7
- dsa_filter_hook (Webレピュテーション、ファイアウォール、侵入防御機能で使用するドライバ)
※2 不正プログラム対策機能を有効化した場合のみ起動、ds_amはメインとモニタ用2つ起動
※3 Relayを有効化した場合のみ起動(Cloud One - Workload Securityにおいては起動しません)
※4 Relayを有効化した場合のみ起動
※5 カーネル4.5以上の環境で、Webレピュテーション、ファイアウォール、侵入防御機能いずれかを有効にした場合のみ稼働(DS20.0以降のみ)
※6 侵入防御機能の高度なTLSトラフィック監視に関するプロセス(DSA 20.0.0.4185以降のみ)。当該機能がサポートされている環境 では、メインとモニタ用2つ起動。
※7 Webレピュテーション、ファイアウォール、侵入防御機能いずれかを有効にした場合のみ稼働
これらプロセス/ドライバが稼働している場合、正常と考えられます。(lsmodコマンド(Linux)、modinfoコマンド(Solaris)などで確認できます。)
※8 DSA 20.0.0-8438からプロセス名が「ds_nuagent」から変更されました。
※9 DSA 20.0.0-8453以降では、当該プロセスは削除されました。
※10 DSRやWebレピュテーション機能を有効にした際に起動します。DSA 20.0.2-4960からVision Oneでご利用の場合にも起動します。
Deep Security Virtual Appliance
通常 Deep Security Manager が正常に運用されている場合、Virtual Appliance が停止した場合などにはアラートが生成されるため、Virtual Appliance の正常稼動を担保することは可能です。
監視の必要がある場合は、以下のプロセスおよびサービスを監視してください。
ドライバモジュール
- dvfilter-dsa
このモジュールがロードされている場合、正常と考えられます。(vmkload_modコマンドなどで確認できます。)
バージョン 9.6 以降では、VMware 社による VMsafe API のサポート終了のため dvfilter-dsaが存在しません。
Deep Security Agent / Deep Security Virtual Appliance - ポートで監視する
Deep Security Agent および Deep Security Virtual Appliance の死活監視の方法として Listen Port を監視する方法もあります。
- 4118/TCP: Managerからの通信ポート
- 4122/TCP: Agentからの通信ポート※1
※1 Relayのみ起動
これらのポートがListenされている場合、正常と考えられます。(netstatコマンド、リモートからtelnetコマンドで接続などで確認できます。)
※注意
telnetコマンドでポート4118に接続/切断を行うと、DebugView(Windows)、syslog(Unix)に「BIO_do_handshake() failed - peer closed connection.」というエラーが記録されます。
<Welcome Pageをご活用ください!>
サポートエンジニアが問い合わせ傾向を元にDeep Securityを安心してお使いいただくための情報をWelcome Page(DS/C1WS)にまとめました。
Welcome Page(DS/C1WS)で機能概要や、事前準備から運用開始までに必要なステップ、運用のコツをぜひご確認ください!