概要
Trend Micro Apex Central (以下、Apex Central) や Trend Micro Control Manager (以下、Control Manager)のログクエリで管理下の製品のログを確認すると、時刻を記録している情報として「生成」と「受信」列が存在します。
それぞれの時刻は何を示しているのでしょうか。
詳細
それぞれの列は以下の日時を示しています。
- 受信: Apex Central/Control Managerがログを受信した日時
- 生成: 管理下製品側でログが生成された日時
管理下の製品やその設定にもよりますが、管理下の製品側でログが生成された瞬間には Apex Central/Control Manager に送信されず、定期的もしくは一定量のログが蓄積された後に送信されます。
そのため、受信日時と生成日時は必ずしも一致はしません。
受信日時と生成日時に大きな乖離がある場合、以下のような要因が想定されます。
- 管理下の製品がServerProtect for Windows / NetApp /EMC
多くの製品では Apex Central/Control Manager への登録後に生成されたログのみ送信される仕様であるのに対し、ServerProtectシリーズは Apex Central/Control Manager への登録時に全てのログを送信する仕様になっております。
ServerProtectのログで、生成日時の異なる複数のログが同じタイミングで受信しているような場合、 Apex Central/Control Manager エージェントのインストール時に送信されたログである可能性が想定できます。
- Apex Central/Control Manager のサービス停止時にログの送信を試みた
管理下の製品がログの送信を試みた際に Apex Central/Control Manager が応答しない場合、製品によってはエージェントのサービスを再起動しないとログが再送されません。
同一製品のログで、一定期間内に生成されたログのみが受信日時と大きな乖離が見られる場合、Apex Central/Control Manager のダウンタイムもしくは一時的な Apex Central/Control Manger との通信障害発生時に生成されたログである可能性が想定できます。
- 時刻設定の不備
特定エンティティのみ、常に受信日時と生成日時の乖離が見られる場合、該当サーバの時刻設定およびタイムゾーンをご確認ください。
- Apex Central/Control Managerもしくは管理下の製品における負荷増大
多数の製品から同時に大量のログを受信した場合、Apex Central/Control Manager が受信したログをデータベースへ登録する処理に時間を要します。
また、管理下の製品側で負荷が高い状況では、生成されたログを Apex Central/Control Manager へ送信するまでに時間を要する可能性があります。
管理下の製品が多数存在する環境で、多くのログが生成から受信までに長時間を要するような場合、Apex Central/Control Manager のデータベースを別サーバへ移行したり、サーバスペックの増強をご検討ください。
イベントセンターの各種イベント通知は、Apex Central/Control Manager がログを受信したタイミングで発動しますので、ログ受信のタイムラグが激しい場合、イベント通知のリアルタイム性が損なわれます。
