ビュー:

「Trend Micro XDR」はTrend Micro Vision One の旧名称です。資料により一部表記が異なる場合がありますが、読み替えてご参照ください。

ステータス確認

コンソール上でのステータス確認

Vision One エージェントの正常性確認は以下の流れで実施できます。
※ここでは全ての機能(Endpoint Sensorの検出と対応、Advanced Risk Telemetry)が有効になっている場合を例にして説明します。
※プラットフォームの確認方法はこちら

  1. Vision One の管理コンソールにログインし、Endpoint Security>Endpoint Inventoryに移動します。
  2. 画面左のメニューから”すべての管理対象エンドポイント”を選択し、右側に各端末のステータスが表示された事を確認します。
  3. ここで”センサの接続”、”前回接続したセンサ”、”Endpoint Sensorの検出と対応”、”Advanced Risk Telemetry”の枠を確認します。

    センサの接続:接続済みになっていることを確認します。
    前回接続したセンサ:最後に接続を確認した時刻が表示されます。
    Endpoint Sensorの検出と対応:有効になっている事を確認します。
    Advanced Risk Telemetry:有効になっていることを確認します。

Agent側での確認

  1. サービスが実行されていることを確認します。 
    RHEL7, CentOS7, Amazon Linux2以降の場合、以下でactiveであることを確認:
# systemctl status vls_agent
# systemctl status tmxbc

RHEL6, CentOS6, Amazon Linux以前の場合、以下でrunningであることを確認:
# service vls_agent status
# service tmxbc status
  2. プロセスを確認する場合は、下記のコマンドを実行し、「vls_agent」と「tmxbc」のプロセスが表示されることを確認します。
    「vls_agent」プロセスは通常それぞれメインとモニタの2つが起動していますが、ご利用の際にプロセスの数を監視する必要はありません。 
    # ps -e | grep -e vls_agent -e tmxbc
(出力例) 
3790448 ?        00:00:00 vls_agent
3790449 ?        03:06:50 vls_agent
3791391 ?        00:37:56 tmxbc
  3. 下記のコマンドを実行して、関連するモジュールが正常にロードされていることを確認します。 
    # lsmod | grep tmhook
(出力例) 
tmhook 91758 49 bmsensor

Activity Logの確認

XDR Endpoint Sensor が正常に動作している事を確認するため、Vision One側でActivity Logを受信できているか確認できます。
Activity Logが見つかった場合は正常にログが送信されてきていると判断できます。

Searchにて「新しい検索を試す」が有効もしくは無効な場合、画面の表示が異なりますのでご利用状況に応じて下記をご確認ください。

 

Searchにて「新しい検索を試す」が有効なお客様の場合

1. Vision One の管理コンソールにログインし、Endpoint Security>Endpoint Inventoryに移動します。

2. 画面左のメニューから”すべての管理対象エンドポイント”を選択し、右側に各端末のステータスが表示された事を確認します。

3. 動作を確認したい端末を選択し、表示された”詳細なプロファイル”にあるエンドポイントGUIDの値をコピーします。

4. XDR Threat Investigation>Searchを選択します。

5. 画面右上の「新しい検索を試す」が有効であることを確認します。

 

6. 画面左側の「データソース/プロセッサ」を選択し、「すべてクリア」をクリックし、Endpoint の項目にある「Endpoint Sensor」を選択します。

7. Search画面で検索方法で”エンドポイントアクティビティデータ”を選択し、検索キーワードに”endpointGuid:コピーしたエンドポイントのGUID"を指定します。

・一致するデータが見つかる場合、対象の端末はActivity LogをVision Oneに送信しています。

・一致するデータが見つからない場合、対象の端末はActivity LogをVision Oneに送信していません。

 

Searchにて「新しい検索を試す」が無効なお客様の場合

 

 


 

 



 

トラブルシューティング

サービス開始/停止/再起動方法

「vls_agent」

RHEL7, CentOS7, Amazon Linux2以降の場合:
開始: $ systemctl start vls_agent
停止: $ systemctl stop vls_agent
再起動:$ systemctl restart vls_agent

RHEL6, CentOS6, Amazon Linux以前の場合:
開始: $ service vls_agent start
停止: $ service vls_agent stop
再起動:$ service vls_agent restart

「tmxbc」

RHEL7, CentOS7, Amazon Linux2以降の場合:
開始: $ systemctl start tmxbc
停止: $ systemctl stop tmxbc
再起動:$ systemctl restart tmxbc

RHEL6, CentOS6, Amazon Linux以前の場合:
開始: $ service tmxbc start
停止: $ service tmxbc stop
再起動:$ service tmxbc restart

バージョン確認方法

以下を実行し、表示された「PluginVersion.core」の値を確認します。

# /opt/TrendMicro/vls_agent/vlsa_query -c GetPluginVersion

調査用情報の取得方法

[Trend Vision One : XDR Endpoint Sensor] 問題発生時の調査に必要な情報一覧 (Linux)

キーワード: Vision One Linux 正常性確認 トラブルシューティング