1. システムイベントを取得する前に、管理コンソールで画面右上のログオン名の部分をクリックして、ユーザプロパティを選択します。

2. ログオン名のプロパティ画面が開きますので、言語を[日本語]から[English (US)]に変更し、適用ボタンを押します。

3. DSM管理コンソール [Administration] > [System Settings] > [Advanced] タブのExport欄を下記のように設定してください。
   ・Exported file Character Encoding: UTF-8

4. コンソールの表示が英語になりますので、その後[Events & Reports] -[System Events]を選択します。

5. [Period]を[Custom Range]にして、現象発生前から発生後までの時刻を[from]および[to]に入力して、[Computer]を[All Computers]に指定して、右の矢印を押してイベントをクエリします。

6. [Export]の右側の下向きの三角をクリックして、[Export to CSV (With Full Descriptions)...]を押して、出力されたログをご提供ください。

7. システムイベント取得後は、設定を日本語に戻してください。

8. 設定を日本語に戻した上で、同じ期間のシステムイベントを出力し、こちらもご提供ください。

以下Q&Aを参照いただき、DSM、DSA、DSVAの診断パッケージをご取得ください。
Q&A:診断パッケージ (Diagnostic Package) の取得方法

以下Q&Aを参照いただき、必要なコンポーネントのデバッグログをご取得ください。
(a)Q&A:Deep Security Manager のデバッグログ取得方法
(b)Q&A:Deep Security Agentのデバッグログ取得方法
(c)Q&A:Deep Security Virtual Appliance のデバッグログの取得方法
(d)Q&A:Deep Security Notifier のデバッグログ取得方法

また、デバッグログを取得いただいた際のタイムテーブルをメモしてください。
▼例
10月1日 0時0分　DSAのデバッグを有効化
10月1日 0時5分　事象を再現
10月1日 0時10分 DSAのデバッグを無効化
10月1日 0時15分 DSAの診断パッケージを取得

発生環境がWindowsの場合、msinfo32.infoを取得してください。

■msinfoファイルの取得例
１．Windowsボタン + Rを押して、ファイル名を実行ウインドウが開きます。
２．「msinfo32」と入力してOKを押します。左上のファイルより「上書き保存」を選択し、システム情報ファイル (*.NFO) として保存してご提供ください。
※テキストファイルではなく、*.NFO形式で取得をしてください。
※DSAの診断パッケージをご取得いただいている場合は、msinfoファイルの取得は不要です。

■インストールプログラム一覧の取得例
Windowsのコントールパネルからインストールされているプログラム一覧が確認可能なスクリーンショットをご提供ください。
※1枚に収まらない場合は全体が確認出来るよう複数に分けて取得ください。

[コントロールパネル]>[管理ツール]>[イベントビューアー]を開きます。
[Windowsログ]配下の「Application」、「システム」、「セキュリティ」のいずれかで右クリック>[すべてのイベントを名前をつけて保存]をクリックします。
 

[Ctrl]+[Shift]+[Esc]を同時押ししてタスクマネージャを開き、[プロセス]タブからCPU使用率/メモリ使用量の高いプロセスを判断できる画面のスクリーンショットを取得します。

システムがハングアップしている場合、[Ctrl]キーを押しながら[ScrollLock]キーを2回押す事によって強制的にブルースクリーンエラーを発生させるWindowsの機能を利用して事象発生時の完全メモリダンプを取得します。詳細は以下のMicrosoft社技術情報を参照してください。

• キーボード操作でメモリ ダンプ ファイルを作成できる Windows の機能

ブルースクリーンエラーが発生する事象の場合、事前に完全メモリダンプを出力する設定にした上で事象発生後のメモリダンプを取得します。詳細は以下のMicrosoft社技術情報を参照してください。

• メモリ ダンプ ファイル オプションの概要

 ▼Windows OS標準のコマンドを使用してパケットキャプチャを取得する場合
(1)管理者権限でコマンドプロンプトを起動します。
(2)「netsh trace start capture=yes」を実行し、パケットの取得を開始します。
(3)事象を再現させます。
(4)パケットを終了する場合、「netsh trace stop」を実行します。
(5)パケットデータが出力されたファイル(*.etl)を回収します。
　ファイルの出力先は、(4)のコマンドの実行画面に表示されます。

※長時間パケットキャプチャ実行した場合、ファイルサイズが大きくなることがございますので、ディスクの空き容量にはご注意ください。

以下コマンドを実施し作成されたファイルをご提供ください。

# uname -a > uname.txt
# rpm -qa > rpm.txt
#cat /etc/*-release > LinVer.txt

該当マシンの「/var/log/」にある事象発生日時を含むmessagesファイルをご提供ください。
 

(1)sosreportコマンドが実行できる場合
　sosreportコマンドを実行し、生成された「sosreport-XXXXX.tar.xz」ファイルをご提供ください。
　※ダイアログが表示された場合は、Enterキーを押下して実行ください。

(2)sosreportコマンドが実行できない場合
下記コマンドを実行し、生成されたファイルをご提供ください。
負荷が高くなる時間帯・条件が限定されている場合、負荷が高い状況と、高くない状況のログを取得ください。
# top -b -d 10 -n 6 > top_result.txt
# sar -A > sar_result.txt

※topコマンドでは10秒間隔で6回ログを取得しますので、約1分ほど完了まで時間がかかります。

現象発生時刻と同じ日時のダンプが存在する場合取得をお願いします。以下のコマンドで検索してください。 　
# find / -type f -regex ".*/core.[0-9]+" 　
# find / -type f -regex ".*/vmcore+" 　
ファイルが生成されていない場合、下記のリンクの記載にあるQ&Aを参考にダンプファイルが作成されるかご確認の上、取得してください。 　
Q&A:Red Hat Enterprise Linux 用 Agent での core ファイルの生成方法

※DSVAの場合は、vSphere Client から対象の DSVA のコンソールを開き、Alt+F2 キーを押し、CLI に dsva ユーザでログイン（PW：dsva）してダンプファイルを 採取してください。「/home/dsva/core.[ds_agentプロセスのPID] 」のファイル名でダンプファイルが保存されます。

※OSサポートベンダー様へダンプファイルの解析等を依頼いただいたうえで、事象がDSに起因していると判明した場合は、ベンダー様からの調査結果や見解の全文をご提供ください。

(1)対象のマシンにログイン後、任意のディレクトリに移動し以下コマンドを実行します。
Linuxの場合：tcpdump -v -s 1500 -w [保存ファイル名]
Solarisの場合：snoop –x50,500 –v –o [保存ファイル名]

また、マシン上にNICが複数存在している場合は、以下のように特定のNICの通信のみキャプチャすることがでいます。
Linuxの場合：tcpdump -v -s 1500 -w [保存ファイル名] host [対象IPアドレス] -i [対象NIC名]
Solarisの場合：snoop –x50,500 –v –o [保存ファイル名] inet [対象IPアドレス] -d [対象NIC名] 

※カレントディレクトリ上に上記コマンドの「任意のファイル名」でパケットキャプチャが保存されます。

(2)事象を再現させます。
(3)事象再現後、「Ctrl+C」でコマンドを停止させ、保存したファイルを取得します。

※長時間ンパケットキャプチャ実行した場合、ファイルサイズが大きくなることがございますので、ディスクの空き容量にはご注意ください。

DSVA 保護環境の場合、以下のコンポーネントで利用されているものがありましたら、バージョン/ビルドをお知らせください。 

・ESXiのバージョン/ビルド番号 　
・vShield Managerのバージョン/ビルド番号 　
・NSX Managerのバージョン/ビルド番号 　
・vShield Endpointのバージョン/ビルド番号 　
・VMware toolsのバージョン/ビルド番号 　

また、NSX環境であるか、vShield環境であるかをお知らせください。
NSX環境の場合は、ご利用のライセンス(無償版/有償版)も合わせてお知らせください。
※DSVA 保護環境の場合、Agentレスを前提として調査を行いますが、コンバインモードや協調型保護などのAgentによる保護もされている 場合は、その旨をお知らせください。

【全体の保護台数】および【現象の発生台数】をお知らせください。
一部の端末で発生する場合、【正常端末との差違】がある場合はお知らせください。

例： 【全体の保護台数】
DSMの台数：1台 　
DSAの台数：5台 　
DSVAの台数：3台 　

DSVA保護対象仮想マシン台数 　
DSVA 1：10台 　
DSVA 2：8台 　
DSVA 3：12台 

【現象の発生台数】 　
DSVA 1：10台 

【正常端末との差違】 　
特定のDSVA保護仮想マシンでのみ発生する

既に実施された切り分けがございましたら、その結果をお知らせください。
他アンチウイルスソフトを併用されている場合は製品名をお知らせください。
通信に関する障害の場合は、DSMと現象発生コンピュータ間の通信が NAT環境かどうかもお知らせください。

再現頻度をお知らせください。また、再現前に実施された操作がございましたら、お知らせください。
意図的に再現することが可能でしたら、具体的な再現方法をお知らせください。

正確なエラーメッセージをお知らせください。可能でしたら、ログまたはスクリーンショットで提供ください。 取得できない場合はその旨をお知らせください。
エラーメッセージの無い事象にございましたら、事象と判断された 　具体的な情報をお知らせください。

初回発生日時をお知らせください。不明な場合は気が付いた日時をお知らせください。
また、再現性がある場合、診断パッケージを取得前に発生した最新の日時もお知らせください。
DSをインストール/構築日時もお分かりであればお知らせください。

事象が発生した具体的なポイントをお知らせください。対象となる端末(IPアドレス、ホスト名、DSA/DSVA保護の有無)を お知らせください。
関連する端末がございましたら、関連する端末情報とどのように関連があるかもお知らせください。

現象が発生することによって、作業に遅れが出ている等をお知らせください。もし、回避方法が判明している場合はお知らせください。

　クラウド環境の場合はクラウドのプラットフォームをお知らせください。※AWS環境の場合はAMIIDをお知らせください。

DSに起因していると判断された調査結果をお知らせください。

調査をするうえで該当アカウントの Account Name の情報が必要となる場合があります。管理コンソールにログインする際に使用する Account Nameの情報をお知らせください。
※ご提供いただいたアカウント名を元に、弊社よりお客様の管理コンソールにアクセスを行い、詳細調査を実施する場合がございます。この際、システムイベントログに「support_xxxxx」のログ (ログインユーザ名:support_xxxxx) が残りますが、第3者からの不正なアクセスではございませんので、ご安心下さい。
 "xxxxxx"の箇所はランダムな英数字が入ります。