概要
Deep Security (または脆弱性対策オプション) で「アップデートの失敗」アラートが発生しました。当該コンピュータのイベントを確認すると、以下のようなエラーが発生しています。
レベル: エラー
イベントID: 1001
イベント: エンジンコマンドの失敗
説明: 次のエラーにより、エンジンコマンドコードSET_CONFIGは失敗しました: ffffd8ef (unknown error ffffd8ef)。
イベントID: 1001
イベント: エンジンコマンドの失敗
説明: 次のエラーにより、エンジンコマンドコードSET_CONFIGは失敗しました: ffffd8ef (unknown error ffffd8ef)。
この原因と対処法について教えてください。
詳細
原因
このエラーは、エージェントが設定を読み込むために必要となるカーネルメモリを確保できなかった場合に発生します。
多くの場合、エージェントのサービスを再起動しても短期間で事象が再発し、OSを再起動すればしばらくの間は事象が改善されます。
発生傾向
特に32ビットのWindows環境上でこの事象が発生しがちです。
32ビットのWindows環境では、物理メモリをいくら増設してもカーネルで利用可能な非ページプール領域が最大256MBに制限されています。詳細については以下のMicrosoft社文献をご参照ください。
また、以下のような環境では本事象が発生しやすい傾向にあります。
- 多数のカーネルドライバがロードされている
- 公開Webサーバ等、日常的に多くのトラフィックが発生している
- 多数のルールが適用されている
対処方法
本事象は、OSにおけるカーネルメモリの枯渇に起因しているため、Deep Securityのようなアプリケーション側で抜本的に回避するのが困難な事象です。
事象の発生確率を低減させる対処方法としては、以下のような運用をご検討ください。
- 64ビットOSへの移行
32ビットのWindowsで発生している場合、最も確実な対処方法は64ビットOSへの移行となります。全く同量の物理メモリを搭載している場合でも、64ビットOSではカーネルで利用可能な非ページプール領域が大幅に拡大されます。 - 適用するルールの削減
DPI(侵入防御) / ファイアウォール / セキュリティログ監視 / 変更監視等、あらゆるルールの適用によってカーネルメモリの利用量が増加します。ルールの適用を必要最小限に抑える事によって、事象の発生確率を低減できる可能性があります。 - 定期的なOSの再起動
非ページプール領域は、カーネルモードで動作するあらゆるドライバが共有で利用します。システムの稼働を長期間続けるにつれ、様々なドライバがメモリの確保・開放を繰り返した結果として、連続したメモリ領域を確保するのが次第に困難となっていきます。システムが起動してから事象が発生するまでの期間がある程度一定している場合、その期間よりも短い頻度で定期的にシステムを再起動すれば事象の再発を抑止できる可能性が高まります。 - 負荷分散
特定のコンピュータに負荷が集中しているような環境であれば、ロードバランサー等を導入して負荷分散させる事によって事象の発生確率を大幅に低減できる可能性があります。
Deep Security Virtual Appliance (DSVA) の保護下の仮想マシンで同様のエラーが発生している場合、カーネルメモリは仮想マシン上では無く、DSVA上で必要となります。
DSVAへ割り当てるメモリは、保護下の仮想マシンがおおよそ50台未満の場合の最小要件として4GB、50台を超える場合にはおおよそ50台あたり4GBが必要です。
また、DSVA 9.5以下のバージョンでは、Filter Driver が ESXiホストのカーネルメモリを利用しますので、保護下の仮想マシンの台数に応じて Filter Driver に割り当てるヒープメモリを調整する必要があります。詳細は以下の製品Q&Aを参照してください。
また、Filter DriverとDSVAのバージョンが異なる場合でも、このようなエラーが発生する可能性があります。
DSVAを導入するESXホストには、DSVAと同一パッチレベルのFilter Driverをインストールする必要があり、いずれも各バージョンの最新のビルドをダウンロードセンターより入手してインストールすることを推奨します。
