ビジネスサポートポータルアカウントでログイン
アラート:x台のコンピュータでイベントが抑制されました。  

アラート:x台のコンピュータでイベントが抑制されました。

    • 更新日:
    • 16 Oct 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Linux すべて
    • Windows すべて
概要
Deep Securityにおける、「イベントの抑制」アラートの発令条件について教えてください。
 
詳細
Public

アラートの発令条件

ファイアウォール・侵入防御(DPI)機能の有効時にファイアウォール・侵入防御(DPI)イベントが発生してからDeep Security Agent (DSA)のログファイルに書き込みを行う際、以下の状況が発生した場合に該当アラートが発生します。
  1. 大量のファイアウォール・侵入防御(DPI)イベントが瞬間的に発生した場合など、ログファイルへの書込み前にバッファのサイズを超えてしまった場合
  2. 各コンピュータもしくはポリシーの詳細画面から[設定]-[ネットワークエンジン]-[ネットワークエンジンの詳細設定]欄にある「最大イベント数 (秒単位)」で指定されている、ログエントリを超えた場合(初期設定では秒間100イベントとなっています)

アラート発令時の影響範囲

本アラートが発生している場合、ファイアウォール・侵入防御(DPI)機能によってパケットが破棄されたものの、そのイベントがDeep Security Manager (DSM)上に記録されていない可能性があります。ただし、本アラートが発生してもファイアウォール・侵入防御(DPI)機能自体が停止する恐れはありません。

アラート発令時の対処方法

  1. 突発的に本アラートが発生した場合、ネットワーク上から何らかの攻撃を受けた可能性が疑われるものの、ネットワークドライバモードが「タップモード」に設定されていない限りはDSAが正常に不審なパケットを破棄していますので、特に対処を行う必要はありません。
  2. 本アラートが頻繁に発生する場合、ファイアウォール・侵入防御(DPI)イベントが日常的に大量発生している可能性が高いため、本来ブロックすべき対象では無いはずのパケットがイベントに記録されていないか確認し、ファイアウォール・侵入防御(DPI)ルールの設定を見なおしてください。
  3. イベントの発生頻度が想定範囲内である場合、各コンピュータもしくはポリシーの詳細画面から[設定]-[ネットワークエンジン]-[ネットワークエンジンの詳細設定]欄にある「最大イベント数 (秒単位)」を調整します。

上記設定はDSAによるカーネルメモリの消費量に影響します。特に32ビットOSではカーネルで利用可能なメモリ領域が極度に制限されているため、この値を引き上げるとカーネルメモリが枯渇する恐れがあります。イベントが頻発するような環境では、可能であれば負荷分散や上位ネットワークデバイス等によるパケットのフィルタリングをご検討ください。

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1103838
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド