ビジネスサポートポータルアカウントでログイン
「異常な再起動の検出 (Abnormal Restart Detected)」アラートが発生する  

「異常な再起動の検出 (Abnormal Restart Detected)」アラートが発生する

    • 更新日:
    • 29 Jul 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Linux すべて
    • Solaris すべて
    • UNIX すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
 Deep Security Managerの管理コンソール上に「異常な再起動の検出 (Abnormal Restart Detected)」アラートが発生しています。
このアラートの発生条件と対処法について教えてください。
詳細
Public

アラートの発生条件

該当のアラートは、以下の条件で発生します。

  • Windows版Deep Security Agentおよび脆弱性対策オプション :
    24時間以内のWindowsイベントログに、ds_agent.exeプロセスの異常終了もしくはSTOPエラーが記録されていた場合に発生します。
    また、Deep Security Agentのサービスを構成しているプロセスがクラッシュ(ds_agent.mdmpが作成されます)した場合にも発生します。
  • Linux/UNIX版Deep Security Agent / Deep Security Virtual Appliance :
    24時間以内にds_agentプロセスのコアダンプが生成されていた場合に発生します。

アラート発生時の対処

Windowsの場合、イベントビューアからイベントログを確認してください。

STOPエラーの記録が残されていた場合、OSのシステムフォルダ(一般的にはC:\Windows)直下にMEMORY.DMPと言う名称のメモリダンプファイルが出力されますので、そのファイルの解析をOSのサポートまで依頼してください。

発生していたのがSTOPエラーの場合、Deep Securityとは関連性の無い問題である可能性がありますので、まずはOSのサポートに解析を依頼してください。ダンプ解析の結果として、Deep Security Agentのドライバに起因している可能性が示唆された場合には、メモリダンプおよびDeep Security Agentの診断パッケージを提供頂いた上でトレンドマイクロのサポートまでお問い合わせください。



プロセスの異常終了を確認できた場合、Deep Seuciry Agentのサービスを再起動し、ds_agent.exeプロセスが稼働しているかご確認ください。

サービスを再起動してもds_agent.exeプロセスが異常終了する場合、事象発生時のds_agent.exeプロセスのメモリダンプおよびDeep Security Agentのデバッグログと診断パッケージを提供頂いた上でトレンドマイクロのサポートまでお問い合わせください。

このアラートは、キーボード操作等によって意図的にSTOPエラーを発生させた場合やデバッガ等を利用して意図的にプロセスを停止させた場合でも発生します。



UNIX/LinuxおよびVirtual Applianceの場合、出力されているds_agentプロセスのコアダンプおよび診断パッケージを提供頂いた上でトレンドマイクロのサポートまでお問い合わせください。

Virtual Applianceでは、/home/dsva/core.[ds_agentプロセスのPID] のファイル名で記録されます。

このアラートは、gcoreコマンド等を利用して意図的にプロセスを停止させた場合でも発生します。

 
DSVA診断パッケージ取得時に「最新のダンプファイル」にチェックを付けて収集しても ds_agentプロセスのコアダンプが含まれない場合は、 以下コマンドで見つかったcoreダンプを取得してください。
 sudo ls /cores/
 sudo find / -type f -regex ".*/core.*[0-9]+"
 sudo find / -type f -regex ".*/vmcore+"

   ※事象発生時の更新時刻のファイルを取得してください。

 

 

アラートを発生させない方法

プロセスの異常終了やSTOPエラー等が発生しても該当アラートを発生させたくない場合、アラートの設定から「異常な再起動の検出 (Abnormal Restart Detected)」のチェックを外します。

Premium
Internal
Partner
評価:
カテゴリ:
機能/仕様
Solution Id:
1102622
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド