InterScan VirusWall スタンダードエディション Windows版 ( 以降 ISVW SE ) を経由する HTTP通信に関連して、以下のような問題が発生することがあります。

[HTTP通信に関連した問題の例]

・ISVW SEを経由すると特定のWebサイトを閲覧できない
・特定のファイルがダウンロードできない
・レスポンスが悪くなり、Webページの表示に時間がかかる

このような問題が発生した際には、以下の手順で必要な情報を取得し、弊社サポートセンターへご連絡ください。

※以降、ISVW SEがインストールされたフォルダを<install_dir>と表記します。
初期設定では、このフォルダは “C:\Program Files\Trend Micro\InterScan VirusWall” です。


■ 事象再現の手順

以下の手順に従って、問題になっている事象を再現させます。

※注意：設定ファイルの変更には、UTF-8に対応したエディタを使う必要があります。 利用しているエディタがUTF-8に対応しているか判断できないときは、Windows付属のメモ帳 ( notepad.exe ) の使用を推奨します。 ファイルが破損する可能性があるため、ワードパッドは使用しないでください。

(1) HTTPアクセスログを有効にする

<install_dir>\config.xmlをテキストエディタで開き、3箇所のパラメータを以下のように変更します。
----------
<Key Name="Http">
<Value Name="WriteConnectionMsg" string="" type="int" int="1" />
<Value Name="ConnectionLogLevel" string="" type="int" int="0" />
<Key Name="internet-access-monitoring">
<Value Name="enable" string="yes" type="string" int="0" /></Key>

----------
”WriteConnectionMsg”は初期設定で”1”であるため、通常は”ConnectionLogLevel”のみを変更します。

続いてデバッグモードを有効にします。

(2) デバッグモードを有効にする

<install_dir>\config.xmlをテキストエディタで開き、”DebugEnable”パラメータを”1”にします。
----------
<Key Name="root">
<Key Name="Common">
<Key Name="Logging">
<Value Name="DebugEnable" string="" type="int" int="1" />
----------
ファイルを保存して閉じ、”Trend Micro InterScan VirusWall”サービスを再起動して変更を反映させます。

(3) パケットキャプチャを開始する

ISVW SEサーバ上でWiresharkなどのパケットキャプチャソフトを起動し、キャプチャを開始します。
キャプチャ手順の詳細については、こちらを参照してください。

(4) 現象を再現させる

ここで現象を再現させます。再現直後に、以下の情報を記録してください。

・再現時の時刻
・アクセスしたWebサイトのURL
・アクセス元のクライアントのIPアドレス

(5) コマンドプロンプトによる情報取得

コマンドプロンプトを起動し、以下のコマンドでISVWのインストールパスに移動します。(インストール先を変更している場合はそのパスを入力します)

・cd "C:\Program Files\Trend Micro\InterScan VirusWall"

その後、以下の4つのコマンドを順番に入力してください。

・netstat -ano > netstat.txt (Windows2000では”netstat -an”)
・ipconfig /all > ipconfig.txt
・tasklist /V > tasklist.txt (Windows2003/XPのみ)
・dir /S > dir.txt

(6) システム情報の取得

スタートメニューの「ファイル名を指定して実行」から ”msinfo32”と入力して、「システム情報」を起動します。
「ファイル」から「エクスポート」と選択して、”msinfo32.txt” というファイル名で情報を保存します。



さらにタスクマネージャを起動し、「プロセス」、「パフォーマンス」の2つのタブのスクリーンショットを取得してください。

(7) デバッグモードとパケットキャプチャの停止

設定ファイルを、情報取得前の状態に戻します。

・“DebugEnable”パラメータを”0”に戻します。
・”ConnectionLogLevel”を”10”に戻します。”WriteConnectionMsg”を変更した場合は同様に戻します。

パラメータを戻したら、サービスを再起動して設定を反映させます。また、パケットキャプチャも終了させます。

これで情報の再現手順は完了です。


■ 取得する情報

現象の再現が完了したら、以下の情報を回収してください。

(1) ISVW SEのログ

“<install_dir>\log”フォルダ内から、以下のログを回収します。yyyymmddは年月日、xxxxは連番です。

・debuglog.yyyymmdd.xxxx (デバッグログ)
・eventlog.yyyymmdd.xxxx (イベントログ)
・systemlog.yyyymmdd.xxxx (システムログ)
・httpaccesslog.yyyymmdd.xxxx (HTTPアクセスログ)
・urlaccesslog.yyyymmdd.xxxx (URLアクセスログ、存在する場合のみ)
・urlblocklog.yyyymmdd.xxxx (URLブロックログ、存在する場合のみ)
・antispylog.yyyymmdd.xxxx (スパイウェア検索ログ、存在する場合のみ)
・viruslog.yyyymmdd.xxxx (ウイルス検索ログ、存在する場合のみ)

※ログが多い場合は、事象が発生した時間帯に記録されたものを抜粋して送付してください。
逆に量が少ないときは、フォルダ内の全てのログを送付しても問題ありません。

(2) ISVW SEの設定ファイル

以下のファイルを回収します。

・<install_dir>\config.xml
・<install_dir>\AuConfig.xml
・<install_dir>\intscan.ini
・<install_dir>\http\conf\ 内の、”phishB.ini”を除く全てのファイル
・ISVW Web管理コンソールの「概要」画面のスクリーンショット

(3) パケットキャプチャ

取得済みのパケットキャプチャファイルを回収します。

(4) コマンドプロンプトで取得した情報

ISVWインストールパスに生成された、以下のテキストファイルを取得します。

・netstat.txt
・ipconfig.txt
・tasklist.txt (Windows2003/XPのみ)
・dir.txt

(5) システム情報

生成済みの”msinfo32.txt”と、タスクマネージャのスクリーンショットを回収します。

さらに、「コンピュータの管理」内の「イベントビューア」から、「アプリケーション」と「システム」のイベントログを取得します。



(6) ネットワークの情報

クライアントPCからISVW SEを経由してWebサイトに至るまでの経路が分かる簡単なネットワーク構成図を送付してください。構成図には以下の情報を含めてください。

・クライアントPCとISVW SEのIPアドレス
・Firewall、ルータ、Proxyが存在する場合はそのIPアドレス

[経路の記述例]
クライアントPC(192.168.0.1/24, IE7) -> ISVW SE(192.168.0.250/24) -> Squid2.5(10.0.0.251/24) -> Firewall -> Internet

(7) ISVW SE以外のネットワーク機器のログ

ISVW SEの前段または後段にProxyが存在する場合、それらのアクセスログをご提供ください。

(8) 現象再現時の情報

以下の情報をご連絡ください。

・現象が発生した、または再現させた時刻
・アクセス元となるクライアントPCのIPアドレス
・アクセス先となるWebサイトのURL
・アクセス元クライアントPCで使用したWebブラウザの種類とバージョン
・再現性の有無 (毎回発生する、まれに発生する、特定の時間帯に発生する、など)

また、具体的に発生した問題について、可能な限り詳細な状況を知らせてください。

[例]
・Webページの閲覧が一切できなくなる。ブラウザには「ページを表示できません」と表示される。
・Webページは表示できるが、完了するまでに非常に時間がかかる。
・大きなサイズのファイルのダウンロードに失敗する。小さいファイルは問題ない。
・ある特定のドメインのWebサイトだけが閲覧できない。