ビジネスサポートポータルアカウントでログイン
 

透過ブリッジモードでFTP検索を使用している際にmessagesに大量のログが出力される

    • 更新日:
    • 19 Mar 2020
    • 製品/バージョン:
    • InterScan Web Security Virtual Appliance 6.5
    • OS:
    • Virtual Appliance
概要
InterScan Web Security Virtual Appliance(以下、IWSVA) 6.5 Service Pack 2 Patch 3を透過ブリッジモードで運用しています。Hotfix 1722を適用後、/var/log/messagesに多数見慣れないログが出力されております。当該ログ発生の原因と抑止する方法を教えてください。
詳細
Public
IWSVA 6.5 Service Pack 2 Patch 3 Hotfix 1722で提供された「透過ブリッジモードにおけるFTP検索の不具合改修」に伴って、/var/log/messagesに以下のようなログが記録されます。
 
出力例1
kernel: Expecting FTP data connection from 16885952  to port 55853, tuple.dst.dir:0,h_proto:2048
kernel: add ct_expect_related: 0, port: 55853
kernel: Jim expect remove one: {TCP 192.168.1.1:0-192.168.1.3:55853}
kernel: Expecting FTP data connection from 16885952  to port 45048, tuple.dst.dir:0,h_proto:2048
kernel: add ct_expect_related: 0, port: 45048
kernel: Jim expect remove one: {TCP 192.168.1.1:0-192.168.1.3:45048}
 
出力例2
kernel: At __ct_expect_remove


特にFTP検索をご利用の場合、これらのログが多数出力されることで/var/log/messagesのサイズが肥大化し、/varパーティションの空き容量が不足する可能性がございます。
ご不便をお掛けし、申し訳ございません。
 

発生条件

対象製品:IWSVA 6.5 Service Pack 2 Patch 3 ビルド 1722以降
製品の配置モード:透過ブリッジモード

IWSVAのその他のビルド、その他の配置モードでは発生いたしません。
また、InterScan Web Security Suiteでは発生いたしません。

製品のビルドは、管理画面の[管理] > [システムアップデート]の[現在のIWSVA情報]の"アプリケーションのバージョン"の値から確認可能です。

例)IWSVA 6.5 Service Pack 2 Patch 3 ビルド 1736の場合
6.5-SP2_Build_Linux_1736

現在ご利用中の配置モードは、管理画面の[管理] > [配置モード]で"開始"を押下して表示される[配置モード]画面にてご確認いただけます。当該画面で最初に選択されている配置モードが現在ご利用中の配置モードになります。
 

発生する事象とその影響

/var/log/messagesに以下のようなログが出力されます。特にFTP検索をご利用の場合、これらのログが多数出力されることで/var/log/messagesのサイズが肥大化し、/varパーティションの空き容量が不足する可能性がございます。
これらは、透過ブリッジモードで使用されるLinuxカーネルモジュールの動作ログとなります。IWSVAの異常動作を示すものではありません。
 
出力例1
kernel: Expecting FTP data connection from 16885952  to port 55853, tuple.dst.dir:0,h_proto:2048
kernel: add ct_expect_related: 0, port: 55853
kernel: Jim expect remove one: {TCP 192.168.1.1:0-192.168.1.3:55853}
kernel: Expecting FTP data connection from 16885952  to port 45048, tuple.dst.dir:0,h_proto:2048
kernel: add ct_expect_related: 0, port: 45048
kernel: Jim expect remove one: {TCP 192.168.1.1:0-192.168.1.3:45048}
 
出力例2
kernel: At __ct_expect_remove

その他のIWSVAの機能や動作には影響はありません。
 

原因

IWSVA 6.5 Service Pack 2 Patch 3 Hotfix 1722で提供された「透過ブリッジモードにおけるFTP検索の不具合改修」に伴い、当該不具合調査に必要となるLinuxカーネルモジュールの動作ログが継続して/var/log/messagesに出力される状態となっているためです。
ご不便をお掛けし、申し訳ございません。
 

対策

上述のログの出力を抑止する場合は、以下のrsyslogサービスの設定変更をお願いいたします。
rsyslogサービスの再起動が必要となりますが、本作業により、IWSVAの管理画面/HTTP検索/FTP検索の関連サービスの再起動は発生いたしません。IWSVAの管理画面/HTTP検索/FTP検索の関連サービスにも影響はありません。
 
1. IWSVAのLinuxコンソールにrootユーザでログイン
2. 既存の/etc/rsyslog.confファイルをバックアップ
 # cp /etc/rsyslog.conf /etc/rsyslog.conf_back
3. /etc/rsyslog.confの以下の行を変更
(変更対象行)
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

(変更後)
*.err;mail.none;authpriv.none;cron.none                /var/log/messages
4. rsyslogサービスを再起動
 # /etc/init.d/rsyslog restart
また、ファイルサイズの大きくなった/var/log/messagesファイルを削除される場合は以下をご参照ください。
 

ローテートされたmessages-YYYYMMDD(年月日)を削除する場合

以下の手順で実施してください。rsyslogサービスの再起動は不要です。
 
1. IWSVAのLinuxコンソールにrootユーザでログイン
2. 対象のファイルを削除
 # cd /var/log
 # rm messages-YYYYMMDD

現在のmessagesファイルを削除する場合

以下の手順で実施してください。rsyslogサービスの再起動が必要となりますが、本作業により、IWSVAの管理画面/HTTP検索/FTP検索の関連サービスの再起動は発生いたしません。IWSVAの管理画面/HTTP検索/FTP検索の関連サービスにも影響はありません。
 
1. IWSVAのLinuxコンソールにrootユーザでログイン
2. rsyslogサービスを停止
 # /etc/init.d/rsyslog stop
3. 対象のファイルを削除
 # cd /var/log
 # rm messages
4. rsyslogサービスを起動
 # /etc/init.d/rsyslog start
 

修正予定

本事象は、2020年3月19日リリースの"Patch 4"にて修正されました。
Patch 4は、以下からダウンロード可能です。
Patch 4適用後は、上記「対策」に記載のrsyslog.confの設定変更を元に戻していただいて問題ありません。

最新版ダウンロードページ : InterScan Web Security Virtual Appliance 6.5 Service Pack 2
 
Premium
Internal
Partner
評価:
カテゴリ:
Troubleshoot
Solution Id:
000238695
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド