1.現象再現時にOSやサービスの再起動が必要な場合の取得手順
Windows 版 Deep Security Agent のデバッグログ取得方法
無効にする手順については、製品 Q&A エージェントのサービス停止やアンインストールができない をご覧ください。
- 以下の記述をメモ帳等のテキストエディタへコピーし、Windowsのシステムディレクトリ(C:\WINDOWS または C:\WINNT)直下へ「ds_agent.ini」のファイル名で保存します。Trace=*
Trace.file_name=dsa_debugヒント
ログのローテート設定を変更する際は、上記\ds_agent.ini ファイルに以下 2つのパラメータを記載してください (いずれか一方のみでも問題ありません)。
- dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
- dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5
- 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
- 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)
※設定後に Trend Micro Deep Security Agent のサービス再起動が必要となります。
- "Trend Micro Deep Security Agent" サービスを再起動します。
- (不正プログラム対策機能に関する問題の場合のみ)
インストールフォルダ (初期設定ではC:\Program Files\Trend Micro)配下のAMSP\AmspConfig.ini をメモ帳などのテキストエディタで開き、3つのパラメータを以下の値に設定して保存します。DebugLevel=1
DebugFlag=7
DebugLogAMSPServiceStart=1 - (不正プログラム対策機能に関する問題の場合のみ)
"Trend Micro Solution Platform" サービスを再起動します。 - 現象を再現させます。
- 該当の DSA にて診断パッケージの採取を行う事で、デバッグログの回収も行われます。診断パッケージの採取手順については、こちらを参照してください。
- 手順 1 で作成した ds_agent.ini を削除、または名前の変更を行い、"Trend Micro Deep Security Agent" サービスを再起動します。
- (不正プログラム対策機能に関する問題の場合のみ)
手順3で変更したパラメータ値を以下の様に元に戻し、"Trend Micro Solution Platform" サービスを再起動します。DebugLevel=0
DebugFlag=1
DebugLogAMSPServiceStart=0
Linux 版 Deep Security Agent のデバッグログ取得方法
- vi 等のテキストエディタを使用して以下の記述をコピーし、「/etc/ds_agent.conf」のファイル名で保存します。Trace=*
ヒント
ログのローテート設定を変更する際は、上記ds_agent.confファイルに、以下 2 つのパラメータを記載してください (いずれか一方のみでも問題ありません)。
- dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
- dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5
- 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
- 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)
※設定後にds_agentサービスの再起動が必要となります。
- vi 等のテキストエディタを使用して以下の記述をコピーし、「/var/opt/ds_agent/am/ds_am.ini」のファイル名で保存します。main=debug_level=8,vmpd_log_file_MB=10,vmpd_log_file_count=5
ヒント
ログのローテート設定を変更する際は、上記の2 つのパラメータを編集してください (いずれか一方のみでも問題ありません)。
- vmpd_log_file_MB=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
- vmpd_log_file_count=[最大ファイル数] / デフォルト : 5
- 例 : vmpd_log_file_MB=100 (1 ログあたり 100 MB)
- 例 : vmpd_log_file_count=10 (10 個まで ds_am.log/ds_am-XX.log ログを保存)
※設定後にds_agentサービスの再起動が必要となります。
- Deep Security Agent 9.5
- Deep Security Agent 9.6 Service Pack 1 Patch 1 Update 12 Critical Patch未満
- Deep Security Agent 10.0 Update 4未満
main=debug_level=8
-
# /etc/init.d/ds_agent restart
- 現象を再現させます。
- 該当の DSA にて診断パッケージの採取を行う事で、デバッグログの回収も行われます。診断パッケージの採取手順については、こちらを参照してください。
- デバッグの取得を終了させるには、手順1および手順2で作成した以下のファイルを削除後、ds_agentサービスを再起動します。
※以下はコマンド実行例となります。
ds_agentサービスの再起動方法の詳細はこちら をご確認ください。# rm /etc/ds_agent.conf
# rm /var/opt/ds_agent/am/ds_am.ini
# /etc/init.d/ds_agent restart
2.現象再現時にOSやサービスの再起動が必要でない場合の取得手順
Windows 版 Deep Security Agent のデバッグログ取得方法
管理者権限でコマンドプロンプトを開きます。
- DSA のインストールパスに移動します。
例:インストールパスが初期値の場合
> cd c:\Program Files\Trend Micro\Deep Security Agent - 下記コマンドを実行し、現状の Trace setting を確認、テキスト等に保存します (デバッグを無効化する際に必要になります)。
>sendCommand --get Trace
HTTP Status: 200 - OK
Response:
Trace settings are currently: Appl,Cmd, Srvc,dsa.Command.*,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils
コマンドプロンプトを管理者として実行しなかった場合、以下のようなエラーが出力されます。
yyyy-mm-dd hh:mm:ss.000000: [Error/1] | Unable to load agent certificate for verification.
Path is: C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent.crt
Error is: error:02001005:system library:fopen:Input/output error [fopen('C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent.crt','r')] | .\http\SSLContext.cpp:603:DsaCore::CSSLContext::UseCredentials | 1C4:14AC:CScriptThread
yyyy-mm-dd hh:mm:ss.xxxxxx: [Error/1] | sslCtx:UseCredentials() failed - error:2006D002:BIO routines:BIO_new_file:system lib [] | .\sendCommand.lua:93:Init | 1C4:14AC:CScriptThread
コマンドプロンプトは必ず管理者として実行する必要があります。
Agentセルフプロテクション機能がパスワード付きで有効化されている場合、"HTTP Status: 403 - Forbidden - untrusted peer."と言ったレスポンスが返答されます。
この場合、以下のいずれかの対処を実施します。
Agentセルフプロテクション機能を一時的に無効化する
Deep Security ManagerのWeb管理コンソールにログインします。
[コンピュータ]タブから対象コンピュータをダブルクリックして[設定]-[コンピュータ]タブに進みます。
[Agentセルフプロテクション]欄から「ローカルのエンドユーザによるAgentのアンインストール、停止、または変更を拒否」設定を「いいえ」に変更します。"sendCommand"コマンドのオプションへ常にパスワードを追加する
上記コマンドへ常に"-p password"オプションを追加して実行します。
- 下記コマンドを実行し、デバッグを有効にします。
>sendCommand --get Trace?trace=*
HTTP Status: 200 - OK
Response:
Trace settings are currently: *ヒント
ログのローテート設定を変更する際は、%WINDIR%\ds_agent.ini ファイルを作成し、以下 2 つのパラメータを記載してください (いずれか一方のみでも問題ありません)。
- dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
- dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5
- 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
- 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)
※設定後にTrend Micro Deep Security Agentのサービス再起動を実施してください。
- 事象の再現を行います。
- ログは C:\ProgramData\Trend Micro\Deep Security Agent\diag\ds_agent.log (Windows Server 2003 の場合は C:\Documents and Settings\All Users\Application Data\Trend Micro\Deep Security Agent\diag\ 配下) に記録されます。
- デバッグの取得を終了させるには、手順 3 で確認した Trace setting に戻す必要があります。以下のコマンドを実行します。
>sendCommand --get "Trace?trace=Appl,Cmd,Srvc,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils"
HTTP Status: 200 - OK
Response:
Trace settings are currently: Appl,Cmd, Srvc,dsa.Command.*,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtilsヒント
サービスの再起動を許容できる場合、単純に"Trend Micro Deep Security Agent"サービスを再起動してもTrace settingが初期化されます。
- 該当の DSA にて診断パッケージの採取を行う事で、デバッグログの回収も行われます。診断パッケージの採取手順については、こちらを参照してください。
Linux 版 Deep Security Agent のデバッグログ取得方法
- 下記コマンドを実行し、現状の Trace setting を確認、テキスト等に保存します (デバッグを無効化する際に必要になります)。
# /opt/ds_agent/sendCommand --get Trace
HTTP Status: 200 - OK
Response:
Trace settings are currently: Appl,Cmd, Srvc,dsa.Command.*,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils
Agentセルフプロテクション機能がパスワード付きで有効化されている場合、"HTTP Status: 403 - Forbidden - untrusted peer."と言ったレスポンスが返答されます。
この場合、以下のいずれかの対処を実施します。
Agentセルフプロテクション機能を一時的に無効化する
Deep Security ManagerのWeb管理コンソールにログインします。
[コンピュータ]タブから対象コンピュータをダブルクリックして[設定]-[コンピュータ]タブに進みます。
[Agentセルフプロテクション]欄から「ローカルのエンドユーザによるAgentのアンインストール、停止、または変更を拒否」設定を「いいえ」に変更します。"sendCommand"コマンドのオプションへ常にパスワードを追加する
上記コマンドへ常に"-p password"オプションを追加して実行します。
- 下記コマンドを実行し、ds_agent プロセスのデバッグを有効にします。
# /opt/ds_agent/sendCommand --get Trace?trace=*
HTTP Status: 200 - OK
Response:
Trace settings are currently: *ヒント
ログのローテート設定を変更する際は、/etc/ds_agent.confファイルを作成し、以下 2 つのパラメータを記載してください (いずれか一方のみでも問題ありません)。
- dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
- dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5
- 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
- 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)
※設定後にds_agentサービスの再起動を実施してください。
- (不正プログラム対策/変更監視/推奨設定の検索に関する問題の場合のみ)
上記に加え、以下コマンドを 2, 3 回実行し ds_am プロセスのデバッグを有効にします。実行時、デバッグレベルが変更された旨のメッセージは出力されません。
実行後、「cat /var/opt/ds_agent/diag/ds_am.log | grep changed」コマンドで、debug_level が 8 以上になっていることを確認します (通常、下記コマンドで上がるレベルは 1 ですが、2 上がる場合があります。しかし、8 以上であれば出力されるログ内容に差異はないため、8 以上であれば問題はありません)。# killall -USR1 ds_am
CentOS7やRedhat7など、killallコマンドが実装されていない場合は以下を実施ください。# kill -USR1 ds_am
- 事象の再現を行います。
- ログは /var/opt/ds_agent/diag/ds_agent.log および ds_am.log に記録されます。
- デバッグを無効化させるには、手順 1. で確認した Trace setting に戻す必要があります。以下のコマンドを実行します。
# /opt/ds_agent/sendCommand --get Trace?trace=Appl,Cmd,Srvc,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils
HTTP Status: 200 - OK
Response:
Trace settings are currently: Appl,Cmd, Srvc,dsa.Command.*,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils手順 3. を実施した場合は、さらに以下のコマンドを 2, 3 回実行し、「cat /var/opt/ds_agent/diag/ds_am.log | grep changed」コマンドで ds_am プロセスの debug_level が 5 となっていることを確認してください。5 よりも小さくなってしまっている場合などは、再度「killall -USR1 ds_am」または「killall -USR2 ds_am」コマンドで調整してください。# killall -USR2 ds_am
※CentOS7やRedhat7など、killallコマンドが実装されていない場合は以下を実施ください。
# kill -USR2 ds_amヒント
サービスの再起動を許容できる場合、単純に"ds_agent"サービスを再起動してもログの設定が初期化されます。
- 該当の DSA にて診断パッケージの採取を行う事で、デバッグログの回収も行われます。診断パッケージの採取手順については、こちらを参照してください。
<Welcome Pageをご活用ください!>
サポートエンジニアが問い合わせ傾向を元にDeep Securityを安心してお使いいただくための情報をWelcome Page(DS/C1WS)にまとめました。
Welcome Page(DS/C1WS)で機能概要や、事前準備から運用開始までに必要なステップ、運用のコツをぜひご確認ください!