ビュー:

はじめに

「Agent Debug Tool for WFBSS」は、ビジネスセキュリティサービス専用のトラブルシューティング用ツールです。

本ツールではボタン操作によって下記の切り分け、情報取得を行うことができます。
 

  • サービス/ドライバの停止による問題の切り分け
  • デバッグログの出力/停止ならびに採取
  • 端末のシステム情報の採取
  • 製品情報の採取
  • 操作画面の録画※詳細はこちら

ご注意

  • 本ツールはインストール不要のツールです。使用後はツールを削除してください。
  • 本ツールは、ツールの最終更新日から3ヶ月間のみ使用可能です。3ヶ月間経過後は期限切れとなり、新しいツールが必要となります。
  • 本ツールはサポート外のツールとなります。本ツールに関する仕様や動作に関するお問い合わせは受け付けておりませんのでご了承ください。
  • 本ツールの使用には「.NET framework 3.5」がインストールされている必要があります。Windows 7 および Windows Server 2008 R2 は初期状態で「.NET framework 3.5」が有効になっています。その他のOSでの 「.NET framework 3.5」のインストール方法は、Microsoft社のホームページをご参照ください。

    - Windows Server 2008 の場合
    https://www.microsoft.com/ja-jp/download/details.aspx?id=21 -
    - Windows 8 以降の場合
    https://msdn.microsoft.com/ja-jp/library/hh506443%28v=vs.110%29.aspx

    ※Windows Server 2008 を超えるバージョンのサーバ OS については、「サーバー マネージャー」 を使用して[役割と機能の追加] -> [機能] から「.NET framework 3.5」を有効にしてください。なお、上記についての不明点は お手数ですが Microsoft社へご確認をお願いいたします。

ツールを併用したトラブルシューティングの全体の流れ

トラブルシューティングは以下の流れで実施します。

詳細すべて確認
 

Step 1 エージェントを終了して再現性を確認する

ビジネスセキュリティエージェントを終了する

まず発生事象とビジネスセキュリティサービスエージェントの関連性を確認するために、エージェントを終了して再現するかどうかを確認します。
  1. タスクトレイのアイコンを右クリックし、ビジネスセキュリティサービスエージェントを終了します。
      
    ※Web管理コンソールでアンロード用のパスワード設定している場合、終了時にパスワード入力画面が表示されます。その場合は、パスワードを入力してから終了してください。
     
  2. ビジネスセキュリティサービスエージェントの各種サービスが停止していることを、[コントロールパネル] > [管理ツール] > [サービス] より 確認します。
     
    ビジネスセキュリティサービスエージェントが使用しているサービス/プロセスについては下記のFAQをご参照ください。
     
  3. タスクトレイにビジネスセキュリティサービスエージェントのアイコンが存在しないことを確認します。また、タスクマネージャから pccntmon.exe のプロセスが存在しないことを確認します。
  4. 1-3を実施後、現象が再現しないことを確認します。※発生条件の一貫性を確認するため、可能な限り 2 ~ 3 回試してください
 
確認結果事象が発生事象が改善
回数  

事象が発生する場合

ビジネスセキュリティサービスエージェントを終了しても事象が継続して発生する場合は、ビジネスセキュリティサービスエージェントが原因でない可能性が考えられます。その場合は、ビジネスセキュリティサービスエージェントをアンインストールして問題が再現するかどうかをご確認ください。

また、ビジネスエージェントを終了しても事象が発生するが、アンインストールした場合は事象が再現しなくなる場合は、読み込まれているドライバによる影響も考えられます。その場合は、以降に記載の、「ドライバ停止による問題切り分け」手順での事象が回避できるかご確認ください。

ビジネスセキュリティサービスエージェントを終了すると事象が改善する場合

ビジネスセキュリティサービスエージェントが問題の原因の1つとなっていると考えられます。その場合は、引き続き以下の手順に沿ってどのコンポーネントが問題の原因となっているか確認を行います。

Step 2 セキュリティエージェントセルフプロテクションの無効化

ビジネスセキュリティサービスエージェントは、自身を保護するための仕組みを持っています。そのため、該当の機能を下記手順で一時的に無効にし、切り分けを実施します。

セキュリティエージェントセルフプロテクションの無効化

  1. Web管理コンソールにログオンし、セキュリティエージェント タブを選択し、設定を変更したいグループを選択後、ポリシーの設定 > 権限およびその他の設定を開きます。
  2. その他の設定 タブの下部にある「セキュリティエージェントセルフプロテクション」項目で、「トレンドマイクロのプログラムファイル、レジストリ、プロセスを、ユーザまたは他のプロセスが変更できないようにする」のチェックを外し、「保存」ボタンをクリックします。

    ※【参考】セキュリティエージェントセルフプロテクションが無効になっていない場合は、Agent Debug Toolを使用してサービス/ドライバの有効/無効を変更しようとした際に下記のポップアップが表示される場合があります。

ユーザが追加した画像

Step 3 Agent Debug Toolを起動する

ダウンロードおよびツール起動方法

  1. 以下のリンクから Agent Debug Tool をダウンロードします。
    本ツールは、以下使用許諾書に同意の上、ご利用ください。
       
  2. ダウンロードしたZIPファイルを任意のフォルダに展開します。(パスワードは「trend」です)
  3. 展開したフォルダ内の"AgentDebugToolForWFBSS.exe"を管理者として実行します。
     

     
  4. 実行後、以下のコンソール画面が表示されることを確認します。
     

ユーザが追加した画像

Step 4 設定のバックアップ取得

サービスまたはドライバの停止による切り分けを実施する前に、下記手順にて必ず事前に設定のバックアップを取得します。

バックアップ手順

  1. [Backup] タブをクリックします。
     
  2. 下記の画面が表示されるので、[Backup] ボタンをクリックします。
     
    ユーザが追加した画像
     
  3. 下記のポップアップが表示されることを確認し、[はい(Y)] をクリックします。
     

     
  4. 下記のフォルダに、設定のバックアップファイルが出力されていることを確認します。
     
    - C:\Temp\ADT\Backup\snapshot_yyyymmddhhmmss.ini
     

     

Step 5 サービス停止による問題の切り分け

下記手順を参照のうえ、サービスの停止による切り分けを実施してください。

◆ビジネスセキュリティサービスのサービスが原因か確認する手順

  1. [Service] タブをクリックし、下記の画面が表示されるのを確認します。
     
    ユーザが追加した画像
     
  2. 右側が「Running」となっているサービス名のボタンをクリックし停止させます。「Not installed」「N/A」「Stopped」となっているものは実施は不要です。

    停止は下記表に記載の順で実施します。

    下記のポップアップが表示された場合は、上記 [Step2] にて記載の手順でセキュリティエージェントセルフプロテクションを無効にしてください。
    ユーザが追加した画像
  3. ボタンの横にあるステータスが、"Running" から "Stopped" に変わったことを確認します。
    ※停止処理中の場合は"StopPending"と表示されます。時間がかかる場合がありますが、そのまま"Stopped"に変わるまでお待ちください。
     
  4. 事象の再現性を確認します。
  5. 切り分け後、停止したサービスのボタンを再度クリックし、ボタンの横にあるステータスが、 "Stopped" から "Running" に変わったことを確認します。

    切り分け結果は下記表に記載してください。
     
    サービス名停止しても事象再現停止後、事象再現性なし元のサービス状況
    (Running・N/A・
    Stopped)
    1.Behavior Monitor   
    2.Real-time Scan   
    3.TmProxy   
    4.Firewall   
    5.Listener   
    6.TmCCSF   
    7.Generic Host   
    8.iDLP   
    9.ATSE   
    10.Application Control   

Step 6 ドライバの停止による問題の切り分け

以下手順にてドライバの停止を順番に実施します。

本手順を実施する場合は、OSの再起動が必要となります。

ドライバの停止方法

  1. [Driver] タブをクリックします。
     
  2. 下記の画面が表示されるので、停止するドライバのボタンをクリックします。
     
    ユーザが追加した画像
     
  3. 下記のようなポップアップが表示されるので、「OK」をクリック後、OSを再起動します。
     
    ユーザが追加した画像

     
  4. OS再起動後に本ツールを起動します。
     
  5. ボタンの横にあるステータスが、"Running" から "Stopped" に変わったことを確認します。
    ※停止処理中の場合は"StopPending"と表示されますので、
     そのまま"Stopped"に変わるまでお待ちください。
     
  6. 事象の再現性を確認します。
     
     
  7. 上記手順 の結果によって以下の手順を実施します。
     

選択したドライバの停止によって事象の停止が確認できなかった場合

今回停止したドライバのボタンと、次に停止するドライバのボタンを両方クリックしてOSを再起動します。その後、手順[2]~[6]を実施し、切り分けを続行します。
 

選択したドライバの停止によって事象の停止を確認した場合

今回停止したドライバのボタンのみクリックして、OSを再起動します。その後、[Step8] に進みます。ドライバの停止順については、以下をご参照ください。なお、"Not installed" または "Stopped" となっているドライバに関してはスキップしてください。

サービス名停止しても事象再現停止後、事象再現性なし元の状況
(Running・N/A・
Stopped)
1.UMH Driver   
2.AEGIS Driver   
3.VSAPI driver   
4.TmTDI   
5.OsPrey   
6.EagleEye   
7.Firewall Driver   
8.NCIE   
9.ATSE   
10.Application Control   

Step 7 デバッグログ・環境情報の取得

ビジネスセキュリティサービスエージェントにて発生している問題の調査を実施する場合、
上記の切り分け結果と併せて各種デバッグログや環境情報を取得する必要があります。
 
以下の手順にて、事象発生時のデバッグログの取得をお願いいたします。

1.デバッグログの取得

  1. [Debug Log] タブをクリックします。
     
  2. 下記の画面が表示されるので、[OfcDebug.ini]ボタンをクリックします。
     
    ユーザが追加した画像

     
  3. 下記のポップアップが表示されるので、ビジネスセキュリティサービス エージェントのアンロード、リロードをしてデバッグログの出力を開始します。
     

     
  4. 事象を再現します。
     
  5. [OfcDebug.ini] をもう一度クリックして、デバッグモードを停止します。
    ※下記のポップアップが表示されるので、エージェントのアンロード、リロードをします。
     

     
  6. 下記のファイルが出力されていることを確認します。
     
     - C:Log_AgentDebugToolForWFBSS.log
     

2.環境情報の取得

  1. [Export System Info] ボタンをクリックして、レジストリおよびシステム情報を出力します。
    ※クリック後、以下のようなポップアップが複数表示されるので、「OK」をクリックして進めてください。
     
    [ポップアップ例]

     
  2. [Export Product Info] ボタンをクリックして、ビジネスセキュリティサービス エージェントの情報を出力します。
    ※クリック後以下のポップアップが表示されるので、「OK」をクリックして進めてください。
     

     
    その後、以下のポップアップが表示されたら出力が完了です。
     

     

3.ログの送付用zipファイルの作成

上記手順1.2.にて出力した情報を、下記の手順にてZipファイルにまとめます。
  1. 出力されたログの採取用ファイルを指定するため、[Set Log Path] ボタンをクリックします。
     
  2. フォルダの参照画面が表示されるので、任意のフォルダを指定して[OK]をクリックします。


     
  3. 送付用のzipファイルを作成するため、[Collect Logs] ボタンをクリックします。
     
  4. 下記のポップアップが表示され、ログが手順2 で指定した採取用フォルダに移動します。
     

     
  5. その後、下記のポップアップが表示されるので、[OK]をクリックしてzipファイルの作成を開始します。
     

     
  6. zipファイルの作成が完了後、下記のメッセージと共にzipファイルの出力先フォルダ(C:\temp\ADT\Output)が開きます。
     

     

     
  7. 表示された下記フォルダから、作成されたzipファイルを採取してください。
     
     - C:\temp\ADT\Output\ADT_yyyyMMDDHHmmss.zip

Step 8 Agent Debug Toolを終了する ※本手順は必ず実施してください

Agent Debug Toolを使って変更した各種サービス・ドライバ・デバッグモードの on/off の状態は、Agent Debug Tool終了後に自動で戻ることはありません。必ず本手順にて戻すようにお願いいたします。

 
Aget Debug Tool終了方法
下記手順にて、Agent Debug Toolを使って変更した各種サービス・ドライバの状態を、Agent Debug Tool起動時の状態に戻します。
  1. [Backup] タブをクリックします。
     
  2. 下記の画面が表示されるので、[Restore] ボタンをクリックします。
     
    ユーザが追加した画像

     
  3. 【Step2】の「【必須】設定のバックアップ取得」手順で出力した
    下記のバックアップファイルを指定して、[開く]をクリックします。
     
    - C:\Temp\ADT\Backup\snapshot_yyyymmddhhmmss.ini
     
  4. 右上の×ボタンをクリックしてAgent Debug Toolを終了します。
     

Step 9 セキュリティエージェントセルフプロテクションの有効化

Step 2 でセキュリティエージェントセルフプロテクションを無効化した場合、下記の手順で有効化を行います。

セキュリティエージェントセルフプロテクションの有効化

  1. Web管理コンソールにログオンし、セキュリティエージェント タブを選択し、設定を変更したいグループを選択後、ポリシーの設定 > 権限およびその他の設定を開きます。
  2. その他の設定 タブの下部にある「セキュリティエージェントセルフプロテクション」項目で、「トレンドマイクロのプログラムファイル、レジストリ、プロセスを、ユーザまたは他のプロセスが変更できないようにする」のチェックをつけ、「保存」ボタンをクリックします。

取得情報の送付

今回の切り分け手順で取得した以下の情報を添えて、サポートセンターまでお問い合わせください。
 

  • サービスの切り分け結果

    結果:○○○サービスの停止によって事象が改善。サービス切り分けの表と合わせてご連絡ください。
     
  • ドライバの切り分け結果

    結果:○○○ドライバの停止によって事象が改善。ドライバの切り分けの表と合わせてご連絡ください。
  • ログの送付用zipファイル
    - C:\temp\ADT\Output\ADT_yyyyMMDDHHmmss.zip

 

【任意】操作画面の録画

下記の製品Q&Aに記載の手順を実施いただくことで、Agent Debug Toolによる操作画面の録画が可能です。

実際に発生している事象や実施いただいた手順を本機能により録画いただき、お問合せの際に合わせて弊社まで送付ください。

キーワード: ウイルスバスター ビジネスセキュリティサービス