1 発生事象に関するヒアリング
現象の詳細を把握するため、以下の事項についてご教示をお願いいたします。
既にご回答いただいている内容もあるかと存じますが、
未回答の内容がございます場合は、追加でご教示をお願い申し上げます。
・現在発生している事象について何が発生しているかできるだけ具体的にご教示ください。
・事象が発生した日時(可能な限り詳細な時刻)をご教示ください。
・発生頻度をご教示ください。(必ず発生するか否か、これまでに発生した回数)
・現象が発生するマシンの台数をご教示ください。(何台中、何台で発生するか、影響範囲)
・現象が発生する際の条件や手順があればご教示ください。(再現性)
・現象が発生するサーバの OS 情報をご教示ください。
・現象が発生するサーバと発生しないサーバの相違点があればご教示ください。
(OS、ソフトウェア、ハードウェア、弊社製品、設定 など)
・現象が発生し始めた時期に実施された作業(Patch 適用、設定変更 など)の有無と、
有る場合はその内容をご教示ください。
・すでに実施された対処や切り分けなど、お気づきの点があればご教示ください。
また、ログを確認するため対処や切り分けについては可能な範囲で作業を行った
日時をご教示ください。
2 CDTログ
情報の取得は、Case Diagnostic Tool (以下、CDT)というログ収集ツールを使用します。
そのため、ServerProtectとApex Centralにあらかじめ本ツールをダウンロードいただくようにお願いいたします。
ServerProtectにおける利用方法はこちらをご確認ください。
- 手順4. では、「SPNTBasicLog」「CommunicationIssue」「CMAgent」にチェックをいれます。
- 手順5. では「Start Debug Mode」をクリックしてください。
- 手順7.では、事象再現を行ってください。
- 手順9.では「All logs」を選択してください。
Apex Centralにおける利用方法はこちらをご確認ください。
- 手順5.の項目は、全てにチェックを付けてください。
- 手順6.では「Start Debug Mode」をクリックしてください。
- 手順8.では、事象再現を行ってください。
- 手順9.では「All logs」を選択してください。
3.事象を再現させます。
この際の、事象が再現した場合は、再現した時間を分単位で結構ですので、メモいただきお伝えください。
ログ解析上、タイムスタンプが非常に重要ですので、お手数ですがご協力をお願いいたします。
<例>
10:00 CDT によりデバッグモードを有効化
10:10 ~事象の再現を確認~
10:20 CDT によりデバッグモードを無効化
10:30 CDTログ取得
※Apex Central のシステム時計の時間で記録してください。
※ 現象が発生していることの分かるスクリーンショットの取得もお願いします。
Windows の標準機能では、[PrintScreen](または[PrtSc])キーを押し、ペイント等の画像エディタに貼り付けますが、特別なキャプチャソフト等をご利用の場合はそのソフトウェアの操作方法に従ってください。
4. TMCM と SPNT それぞれで CDT によるデバッグモードを終了し、CDTでログ収集を行います。
3 Apex Central データベースの取得
4 Apex Centralサーバの「コマンド追跡」の情報
1.Apex Central の管理コンソールにログインします。
2.[レポート] > [ログ] > [ログクエリ] を選択します。
3.左のプルダウンの [ウイルス/不正プログラム] を選択し、「Apex Central」配下の [コマンド追跡] を選択し、[OK] を選択します。
4.真ん中のプルダウンの [過去24時間] を選択し、事象が発生した日時を含む範囲に設定します。
5.[検索] を押すと結果が表示されます。
6.[CSV形式で出力] をクリックすると CSV 形式にてデータの抽出が始まります。
エクスポート完了後、エクスポートされた CSV ファイルを弊社までご提供ください。
5 その他
¥Program Files (x86)¥TrendMicro¥Common¥TMI\cm.exeファイルのプロパティから[詳細]タブをクリックした画面のスクリーンショットを取得します。
また、ServerProtectのインストールフォルダ(初期設定で\Program Files\Trend\SProtect)にあるentity.cfgファイルを取得します。