Deep Security Virtual ApplianceによるAgentレス環境の仮想マシンでハングアップやクラッシュ等の事象が発生した場合、Agentレス環境にはインストールされているDeep Securityのモジュールが存在しないため、Deep Security以外の切り口からの切り分けも重要となります。
最新ビルドにアップデートした状態でも同様の事象が再発する場合、一度、お使いのシステムのサポートへのお問い合わせを実施する事をご検討ください。
Deep Security AgentがインストールされているVMware仮想マシンでハングアップの事象が発生した場合、仮想OS上でメモリダンプを採取する代わりに、仮想マシンをサスペンド状態にして、データストア上の対象仮想マシンのフォルダに存在する*.vmssファイルおよび*.nvramファイルを採取頂く事によって解析を進める事も可能です。
ただし、ハングアップの事象はメモリダンプのみから原因を突き止めるのは困難となる可能性が高いため、まずはDeep Security Agentの各機能を1つずつ無効化して頂き、どの機能に影響して事象が発生しているのかをご確認頂いた上で、可能であれば事象発生に至るまでのデバッグログも併せてご提供ください。
基本情報
Windowsの取得手順
| 情報の種類 | Windowsの取得手順 |
|---|---|
| OSの基本情報 | Windowsキーと[R]を同時に押し、「ファイル名を指定して実行」から"msinfo32"と入力し、[ファイル]-[エスクポート]からテキストファイルとして出力します。 |
| Agent の基本情報 | コントロールパネルの「プログラムの追加と削除」から"Trend Micro Deep Security Agent"を選択し、「サポート情報を参照するには、ここをクリックしてください。」をクリックした画面のスクリーンショット |
| ディスクの空き容量 | インストールドライブを右クリックし、プロパティから確認できます。 |
| AgentのGUIのスクリーンショット | [スタート]-[(すべての)プログラム]-[Trend Micro]-[Deep Security Agent]を起動し、各タブのスクリーンショットを取得します。 |
| システムイベント | [Windows]+[R]を同時押ししてファイル名を指定して実行から"eventvwr"と入力し、イベントビューアを起動して、「アプリケーション」「システム」それぞれを右クリックし、「ログファイルの名前を付けて保存」を選択してイベントログ形式で保存します。 |
| メモリダンプ |
システムがハングアップしている場合、[Ctrl]キーを押しながら[ScrollLock]キーを2回押す事によって強制的にブルースクリーンエラーを発生させるWindowsの機能を利用して事象発生時の完全メモリダンプを取得します。詳細は以下のMicrosoft社技術情報を参照してください。 ブルースクリーンエラーが発生する事象の場合、事前に完全メモリダンプを出力する設定にした上で事象発生後のメモリダンプを取得します。詳細は以下のMicrosoft社技術情報を参照してください。 |
トレンドマイクロでは、原因が特定されていないシステムのハングアップやブルースクリーンエラー等に関する調査は承っておりません。
システムのハングアップやブルースクリーンエラー等が発生した場合、まずはOSのサポートもしくはMicrosoft社に原因調査を依頼した上で、Deep Security Agentに起因した事象である可能性が高いと判断できた際にその解析レポートを添えた上でトレンドマイクロのサポートまでお問い合わせください。
Linuxの取得手順
| 情報の種類 | Linuxの取得手順 |
|---|---|
| OSの基本情報 | # uname -a # cat /etc/*-release |
| Agent の基本情報 | # cat /proc/driver/dsa/info # rpm -qa ds_agent |
| ディスクの空き容量 | df -h コマンドの出力結果等 |
| CPU / メモリ使用率の情報 | free, ps, top, sar コマンド等によって、システム全体の負荷および個々のプロセスの負荷が時系列で確認できる情報 |
| システムイベント | /var/log/messages |
| メモリダンプ |
kdump等を利用して、事象発生時の完全メモリダンプを取得してください。詳細なメモリダンプの取得方法はディストリビューション毎に異なりますので、詳細はお使いのOSもしくはハードウェアベンダーのサポートにお問い合わせください。 参考情報: |
| デバッグ用カーネル |
メモリダンプ解析用にkernel-debuginfoパッケージを導入済の場合、/usr/lib/debug/lib/modules/[カーネルのバージョン]/vmlinux ファイルも併せてご提供ください。 |
トレンドマイクロでは、原因が特定されていないシステムのハングアップやカーネルパニック等に関する調査は承っておりません。
システムのハングアップやカーネルパニック等が発生した場合、まずはOSのサポートもしくはハードウェアベンダーのサポートに原因調査を依頼した上で、Deep Security Agentに起因した事象である可能性が高いと判断できた際にその解析レポートを添えた上でトレンドマイクロのサポートまでお問い合わせください。
Solarisの取得手順
| 情報の種類 | Solarisの取得手順 |
|---|---|
| OSの基本情報 | # uname -a # cat /etc/release |
| Agent の基本情報 | # pkginfo -l ds-agent |
| エラーメッセージの内容 (出力されている場合) | 出力されたエラーメッセージをテキストファイル等へコピーします。 |
| ディスクの空き容量 | df -h コマンドの出力結果等 |
| CPU / メモリ使用率の情報 | free, ps, top, sar コマンド等によって、システム全体の負荷および個々のプロセスの負荷が時系列で確認できる情報 |
| システムイベント | /var/adm/messages |
| メモリダンプ |
dumpadm等を利用して、事象発生時の完全メモリダンプを取得してください。詳細なメモリダンプの取得方法はOSのサポートもしくはOracle社にお問い合わせください。
参考情報: |
トレンドマイクロでは、原因が特定されていないシステムのハングアップやカーネルパニック等に関する調査は承っておりません。
システムのハングアップやカーネルパニック等が発生した場合、まずはOSのサポートもしくOracle社に原因調査を依頼した上で、Deep Security Agentに起因した事象である可能性が高いと判断できた際にその解析レポートを添えた上でトレンドマイクロのサポートまでお問い合わせください。
vSphereの取得手順
| 情報の種類 | vSphereの取得手順 |
|---|---|
| ESXホストの基本情報 | 以下の2つのスクリーンショット 1.vSphere ClientでvCenter Serverに接続し、メニューの[ヘルプ]→[VMware vSphere バージョン情報] 2.vSphere Clientで該当のESXホストを選択し、[構成]→[ソフトウェア]→[ライセンス機能]の画面 |
| Virtural Appliance の基本情報 | 1.サービスコンソールやESXi Shellなどでの下記コマンド実行結果 # esxupdate query (vSphere 4の場合) # esxcli software vib list (vSphere 5の場合) 2.vSphere ClientでDSVAのコンソール画面を開き、[F2]キーを押し、dsvaユーザでログインして[System Information]を表示した画面のスクリーンショット |
| ディスクの空き容量 | 1. サービスコンソールやESXi Shellなどでの下記コマンドの実行結果 # df -h 2. vSphere ClientでDSVAのコンソール画面を開き、[Alt]+[F2]キーを押してdsvaユーザでシェルにログインして下記コマンドの実行結果 # df -h |
| CPU / メモリ使用率の情報 | 1.vSphere ClientでESXホストの[パフォーマンス]タブ等、システムの負荷が時系列で確認できる情報 2. vSphere ClientでDSVAのコンソール画面を開き、[Alt]+[F2]キーを押してdsvaユーザでシェルにログインして下記コマンドの実行結果 # top |
| システムイベント | DSVA上の /var/log/syslog |
| メモリダンプ | ESXホストでパープルスクリーンエラーが発生した場合、パープルスクリーンのスクリーンショットおよびメモリダンプ(/var/core/vmkernel-zdump-xxxxxx.xx.xxx.x)を取得します。 |
トレンドマイクロでは、原因が特定されていないシステムのハングアップやパープルスクリーンエラー等に関する調査は承っておりません。
システムのハングアップやパープルスクリーンエラー等が発生した場合、まずはVMwareのサポートに原因調査を依頼した上で、Deep Security Virtual Appliance や Filter Driverに起因した事象である可能性が高いと判断できた際にその解析レポートを添えた上でトレンドマイクロのサポートまでお問い合わせください。
その他の確認事項
- 発生している問題とその再現手順、問題発生条件等、できる限り詳細にお伝えください。
- (Deep Security Managerの問題のみ) 使用しているデータベースサーバの種類およびバージョン
- (Deep Security Virtual Applianceで不正プログラム対策機能を使用している場合のみ) 使用しているvShield Managerのバージョン、vShield Endpoint Thin Agent(vShield ドライバ)のバージョン
- Agent / Managerと同居しているセキュリティ製品(ウイルス対策製品、ファイアウォール等)の製品名/バージョンとファイアウォール関連の設定内容
- ネットワーク構成図 (Manager / Agent のIPアドレスおよびその中間に配置されているネットワーク機器等、可能な限り詳細にお伝え下さい)
タイムテーブル
--------------------------------------------------------------------------------
記載例)
07/08 10:00 システム時計の時刻を確認
07/08 10:15 現象再現
Deep Security Manager のログファイル
上記3ファイルは、Deep Security Managerのインストールディレクトリ(初期設定では、Windowsは%ProgramFiles%\Trend Micro\Deep Security Manager、Linuxは/opt/dsm)に存在します。
インストール状況によっては一部のファイルが出力されていない可能性もあるため、存在するファイルのみをご提供ください。
Deep Security Manager 上での問題を意図的に再現可能な場合、以下の手順で現象再現時の詳細なserver0.logを取得してください。
Deep Security Manager の設定ファイル
Deep Security Manager の Diagnostic Package
Deep Security Agent のログファイル
%SystemRoot%\inf\setupapi.app.log および setupapi.dev.log (Windows 2008の場合)
Deep Security Agent または Deep Security Virtual Appliance のデバッグログ
以下の製品Q&Aを参考に、Agentのデバッグログを取得します。
Deep Security Agent のデバッグログ取得方法
Deep Security Virtual Appliance のデバッグログ取得方法
vmkernel ログ (vSphere のみ)
サービスコンソールやESXi Shellなどで、以下のうちで存在するファイルを取得してください。
/var/log/vmkernel
/var/log/messages
/var/log/vmkernel.log
Deep Security Agent または Deep Security Virtual Appliance のDiagnostic Package (取得可能な場合)
Deep Security Manager の管理コンソールへログインし、対象のAgent(Deep Security Virtual Applianceで保護している場合は対象の仮想マシン)を右クリックして[詳細 / Details]を選択し、(Deep Security 9.0ではコンピュータの詳細画面で[処理 / Actions]タブをクリックします)画面最下段の[サポート / Support]欄にある[診断パッケージの作成... / Create Diagnostic Package...]をクリックして、全てのチェックを入れた上で[次へ / Next >]をクリックし、出力されたzipファイルをご提供ください。
参考製品Q&A: 診断パッケージ (Diagnostic Package) の取得方法
※Deep Security 9.0 以降の場合:診断パッケージ (Diagnostic Package) の取得方法
