ビュー:
IWSVA 6.5 Service Pack 2 Patch 3 Hotfix 1722で提供された「透過ブリッジモードにおけるFTP検索の不具合改修」に伴って、/var/log/messagesに以下のようなログが記録されます。
 
出力例1
kernel: Expecting FTP data connection from 16885952  to port 55853, tuple.dst.dir:0,h_proto:2048
kernel: add ct_expect_related: 0, port: 55853
kernel: Jim expect remove one: {TCP 192.168.1.1:0-192.168.1.3:55853}
kernel: Expecting FTP data connection from 16885952  to port 45048, tuple.dst.dir:0,h_proto:2048
kernel: add ct_expect_related: 0, port: 45048
kernel: Jim expect remove one: {TCP 192.168.1.1:0-192.168.1.3:45048}
 
出力例2
kernel: At __ct_expect_remove


特にFTP検索をご利用の場合、これらのログが多数出力されることで/var/log/messagesのサイズが肥大化し、/varパーティションの空き容量が不足する可能性がございます。
ご不便をお掛けし、申し訳ございません。
 

発生条件

対象製品:IWSVA 6.5 Service Pack 2 Patch 3 ビルド 1722以降
製品の配置モード:透過ブリッジモード

IWSVAのその他のビルド、その他の配置モードでは発生いたしません。
また、InterScan Web Security Suiteでは発生いたしません。

製品のビルドは、管理画面の[管理] > [システムアップデート]の[現在のIWSVA情報]の"アプリケーションのバージョン"の値から確認可能です。

例)IWSVA 6.5 Service Pack 2 Patch 3 ビルド 1736の場合
6.5-SP2_Build_Linux_1736

現在ご利用中の配置モードは、管理画面の[管理] > [配置モード]で"開始"を押下して表示される[配置モード]画面にてご確認いただけます。当該画面で最初に選択されている配置モードが現在ご利用中の配置モードになります。
 

発生する事象とその影響

/var/log/messagesに以下のようなログが出力されます。特にFTP検索をご利用の場合、これらのログが多数出力されることで/var/log/messagesのサイズが肥大化し、/varパーティションの空き容量が不足する可能性がございます。
これらは、透過ブリッジモードで使用されるLinuxカーネルモジュールの動作ログとなります。IWSVAの異常動作を示すものではありません。
 
出力例1
kernel: Expecting FTP data connection from 16885952  to port 55853, tuple.dst.dir:0,h_proto:2048
kernel: add ct_expect_related: 0, port: 55853
kernel: Jim expect remove one: {TCP 192.168.1.1:0-192.168.1.3:55853}
kernel: Expecting FTP data connection from 16885952  to port 45048, tuple.dst.dir:0,h_proto:2048
kernel: add ct_expect_related: 0, port: 45048
kernel: Jim expect remove one: {TCP 192.168.1.1:0-192.168.1.3:45048}
 
出力例2
kernel: At __ct_expect_remove

その他のIWSVAの機能や動作には影響はありません。
 

原因

IWSVA 6.5 Service Pack 2 Patch 3 Hotfix 1722で提供された「透過ブリッジモードにおけるFTP検索の不具合改修」に伴い、当該不具合調査に必要となるLinuxカーネルモジュールの動作ログが継続して/var/log/messagesに出力される状態となっているためです。
ご不便をお掛けし、申し訳ございません。
 

対策

上述のログの出力を抑止する場合は、以下のrsyslogサービスの設定変更をお願いいたします。
rsyslogサービスの再起動が必要となりますが、本作業により、IWSVAの管理画面/HTTP検索/FTP検索の関連サービスの再起動は発生いたしません。IWSVAの管理画面/HTTP検索/FTP検索の関連サービスにも影響はありません。
 
1. IWSVAのLinuxコンソールにrootユーザでログイン
2. 既存の/etc/rsyslog.confファイルをバックアップ
 # cp /etc/rsyslog.conf /etc/rsyslog.conf_back
3. /etc/rsyslog.confの以下の行を変更
(変更対象行)
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

(変更後)
*.err;mail.none;authpriv.none;cron.none                /var/log/messages
4. rsyslogサービスを再起動
 # /etc/init.d/rsyslog restart
また、ファイルサイズの大きくなった/var/log/messagesファイルを削除される場合は以下をご参照ください。
 

ローテートされたmessages-YYYYMMDD(年月日)を削除する場合

以下の手順で実施してください。rsyslogサービスの再起動は不要です。
 
1. IWSVAのLinuxコンソールにrootユーザでログイン
2. 対象のファイルを削除
 # cd /var/log
 # rm messages-YYYYMMDD

現在のmessagesファイルを削除する場合

以下の手順で実施してください。rsyslogサービスの再起動が必要となりますが、本作業により、IWSVAの管理画面/HTTP検索/FTP検索の関連サービスの再起動は発生いたしません。IWSVAの管理画面/HTTP検索/FTP検索の関連サービスにも影響はありません。
 
1. IWSVAのLinuxコンソールにrootユーザでログイン
2. rsyslogサービスを停止
 # /etc/init.d/rsyslog stop
3. 対象のファイルを削除
 # cd /var/log
 # rm messages
4. rsyslogサービスを起動
 # /etc/init.d/rsyslog start
 

修正予定

本事象は、2020年3月19日リリースの"Patch 4"にて修正されました。
Patch 4は、以下からダウンロード可能です。
Patch 4適用後は、上記「対策」に記載のrsyslog.confの設定変更を元に戻していただいて問題ありません。

最新版ダウンロードページ : InterScan Web Security Virtual Appliance 6.5 Service Pack 2