ビジネスサポートポータルアカウントでログイン
セキュリティアップデートが失敗する場合のトラブルシューティング方法  

セキュリティアップデートが失敗する場合のトラブルシューティング方法

    • 更新日:
    • 29 Aug 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • Trend Micro Deep Security as a Service All.All
    • OS:
    • Linux すべて
    • UNIX すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
Deep Security Relay (以下、DSR), Deep Security Agent (以下、DSA) および Deep Security Virtual Appliance (以下、DSVA) でセキュリティアップデート (コンポーネントアップデート) が失敗します。どのような場合に失敗するのか、また失敗した場合の対処方法について教えてください。
詳細
Public

「セキュリティアップデート」には、侵入防御などのルールのアップデートも含まれますが、本製品 Q&A では、パターンファイルなどの「コンポーネント」のアップデートに的を絞って解説を行っています。

コンポーネントアップデートの動作の流れ

Deep Security (以下、DS) におけるコンポーネントアップデートの流れは以下のとおりです。

ヒント

上図の , , , , , , , , は、それぞれ以下で説明している流れの項番とリンクしています。

ヒント (上図赤線部分)

Deep Security Manager (以下、DSM) で「Deep Security Relayが使用できない場合、Agent/Applianceにセキュリティアップデートのダウンロードを許可」オプションが有効になっていると、DSA/DSVA が DSR に接続ができない場合はアップデートサーバに直接接続します (アップデートサーバに接続するまで、DSR への接続試行は 3 回行われます)。

ただし、セキュリティアップデートが DSR を含む形 (例. すべてのコンピュータを対象とした予約タスクによるセキュリティアップデート) で行われる場合は、DSR が停止しているとアップデートサーバへの直接接続は試行されません。

 

上図および以下の流れは、コンポーネントのアップデートの一般的な流れを示しています。アップデートが開始されるタイミングなどによっては、実際の流れが一部本製品 Q&A と異なる場合があります。

Step 1 iAU から DSR へのアップデート

DSR が、iAU (Intelligent ActiveUpdate) サーバからコンポーネントのアップデートをダウンロードする際の流れは以下のとおりです。
  1. DSM によってセキュリティアップデートが開始され (予約タスクや [セキュリティアップデートのダウンロード...] の実行などにより)、DSR にその旨が通知されます。このタイミングで、次のシステムイベント「イベントID 1600 : Relayグループのアップデートの要求」が記録されます。
  2. DSR が iAU に接続し、セキュリティアップデートを行います。管理コンソールの [管理] → [システム設定] → [アップデート] タブの「プロキシサーバ」にプロキシ設定が行われている場合は、プロキシを経由してアップデートを行います。

    ヒント

    iAU からのアップデートがタイムアウトによって失敗する場合、以下製品 Q&A を参照し、タイムアウトやリトライの設定を変更してください。

  3. DSR で iAU からのアップデートのダウンロードが正常に完了すると、次のシステムイベント「イベントID 1601 : Relayグループのアップデートの成功」が記録されます。

Step 2 DSR から DSA/DSVA へのアップデート

DSR が iAU からセキュリティアップデートをダウンロード後、DSA/DSVA が、DSR からコンポーネントのアップデートをダウンロードする際の流れは以下のとおりです。
  1. DSM から DSA/DSVA に対し、セキュリティアップデートを実施するよう通知されます。このタイミングで、次のシステムイベント「イベントID 273 : セキュリティアップデートの要求」が記録されます。

    ヒント

    [管理] → [アップデート] → [アップデート] タブの [セキュリティアップデートのダウンロード...] の実行ではなく、DSA/DSVA を対象とした予約タスクによりセキュリティアップデートが試行された場合、1. の「ID 1600 : Relayグループのアップデートの要求」と同じタイミングで記録されます。

  2. DSA/DSVA はライセンスの有効期限を確認します。「不正プログラム対策と Web レピュテーション」ライセンスの期限が切れている場合、コンポーネントのアップデートを行うことはできません (上記ライセンスの有効期限が切れている場合でも、侵入防御などのルールのアップデートには影響しません)。
  3. 現在のコンポーネントのバックアップ (スナップショット) を採取するため、以下フォルダ配下のすべてのファイルを、バックアップ先のフォルダにコピーします。
    • コピー元 (Windows) : [インストールフォルダ]\lib
    • コピー先 (Windows) : [インストールフォルダ]\li_copy
    • コピー元 (Linux/DSVA) : /var/opt/ds_agent/lib
    • コピー先 (Linux/DSVA) : /var/opt/ds_agent/li_copy
  4. DSR からアップデートの取得を行います。アップデート処理中に、DSA/DSVA から受信した現在のコンポーネント情報と DSM が取得した新たなコンポーネント情報の間に差異がある場合、次のシステムイベント「イベントID 276 : セキュリティアップデートのダウンロード」が記録されます。

    ヒント

    アップデート中にウイルス検索が行われている場合でも、検索動作への影響はありません。

  5. コンポーネントのアップデートに成功したら、ロールバック用フォルダ li_roll を削除し (すでに存在する場合)、li_copy フォルダを li_roll にリネームします。コンポーネントのアップデートが無かった場合は、li_copy をそのまま削除します。
  6. すべてのアップデート処理が完了したら、次のシステムイベント「イベントID 784 : セキュリティアップデート成功」が出力されます。

よくある問題とトラブルシューティング (DSR)

アップデートサーバに接続できない

セキュリティアップデートを行うには、下記製品 Q&A で案内しているアップデートサーバ (iAU サーバ) への通信が可能である必要があります。ファイアウォール等で通信が許可されているか、名前解決が可能であるかなど、DSR からアップデートサーバに通信ができることを確認してください。
DSR から直接インターネットに接続できない環境の場合は、プロキシサーバの設定が適切が行われているか、確認してください (DS 側のプロキシ設定だけでなく、プロキシサーバ側で DSR からの通信をブロックなどしていないかどうかも確認してください)。
プロキシサーバの設定は、DSM の管理コンソールにて [管理] → [システム設定] → [アップデート] タブの「プロキシサーバ」(8.0 の場合は、管理コンソール [システム] → [システム設定] → [アップデート] タブ) から行ってください。

アップデートサーバの更新処理タイミングに合致している

DSR の「TmuDump.txt」に HTTP ステータスコード「503」と共に「Service is under maintainence」が出力されている場合、弊社アップデートサーバの更新作業に伴う一時的な失敗になります。以下は TmuDump.txt からの抜粋です。

Err yyyymmdd hh:mm:ss 2272 1592 HttpsConnection: Server Error: HTTP 503 Service Unavailable
Err yyyymmdd hh:mm:ss 2272 1592 TmDownloader: Service is under maintainence

TmuDump.txt のパスは下記の通りです。
Windows : "%ProgramFiles%\Trend Micro\Deep Security Relay\lib\iaulogs\"
Linux : "/var/opt/ds_agent/lib/iaulogs/"

弊社アップデートサーバでは、定期的に最新の各コンポーネントの更新 (公開) 作業が行われています。この更新作業時には、短時間ですが仕様上不可避の一時的なメンテナンス (ダウン) タイムが生じます。

[セキュリティアップデートのタイムアウト] のアラート

DS 9.0 において、DSR がセキュリティアップデートに成功したイベントが記録されているにもかかわらず、その 20 分後に DSM の管理コンソールに「コンポーネントをアップデートできませんでした: [セキュリティアップデートのタイムアウト。]」というアラートが表示される事象が発生する場合、DSR を 9.0 SP 1 Patch 5 以降にアップグレードし、事象が改善するかどうかご確認ください。本 Patch には、該当の不具合の修正が含まれています。

重複したアップデート (Busy with exisiting update)

セキュリティアップデートの実行中に、新たにアップデートの要求が行われた場合、エラーメッセージ「Busy with exisiting update」が記録されアップデートに失敗する場合があります。本メッセージが出力され失敗した場合、アップデートのタスクが重複していないか確認してください。また、バックグラウンドでアップデートが動作している可能性があるため、しばらく待ってから再度アップデートを開始してください。

よくある問題とトラブルシューティング (DSA/DSVA)

アップデート用キャッシュファイルの破損

アップデート時に書き込まれる一時領域のファイルが破損もしくは不適切なエントリが記録された場合、それ以降のアップデートが常に失敗する可能性があります。その場合には一時領域を全て削除した上で再度アップデートを実施すれば解決できますので、まずは以下の手順をお試しください。
  1. DSAのサービスを停止します。
  2. [iaurepo]フォルダ配下の全てのファイル・フォルダを削除します。

    Windows版DSA:%ProgramData%\Trend Micro\Deep Security Agent\iaurepo

    ※ Windowsの初期設定で、%ProgarmData%は隠しフォルダになっていますので、[ファイル名を指定して実行]から%ProgarmData%と入力して該当フォルダを開きます。

    Linux版DSA : /var/opt/ds_agent/iaurepo

  3. DSAのサービスを開始します。

DSRからのアップデートに必ず失敗する

セキュリティアップデートを行うためには、DSM/DSA/DSVA がすべて DSR に接続できる必要があります。以下にDSRに接続できない要因とその対処法について解説します。


DSR が DSM の管理下の ESXi サーバ上に構成されている場合、DSR は vCenter Server 上に登録されているホスト名 (または FQDN) で DSM に登録されますが、ネットワーク構成上その名前では DSM/DSA/DSVA から通信できない場合、必ずアップデートに失敗します。そのような環境では、DSM 上に登録されている DSR を一旦無効化した上で、DSM/DSA/DSVA から通信可能なホスト名 (FQDN) または IP アドレスで再登録してください。手順は以下のとおりです。
  1. DSM の管理コンソールにログインし、[コンピュータ] タブを選択します。
  2. 既に DSR が有効化されている場合、対象の DSR を選択した状態で、上部のメニューバーから [処理] → [無効化]を選択します。
  3. [新規] → [新規コンピュータ] を選択し、「ホスト名」欄に DSM/DSA/DSVA から通信可能なホスト名 (FQDN) または IP アドレスを入力して [次へ>] をクリックします。
    新規コンピュータウィザード


バージョン9.6およびそれ以前では、DSA/DSVA からDSRへ接続するためのプロキシを設定できません。

そのため、DSRへの接続にプロキシが必要となる環境では、DSRからのアップデートができませんので、DSA/DSVA からプロキシ経由でトレンドマイクロのアップデートサーバへ接続する設定が必要となります。

詳しくは、以下の製品Q&Aをご参照ください。

バージョン10.0以降で、DSRへ接続するためのプロキシを設定する方法については、以下の製品Q&Aをご参照ください。



現在登録されているDSRの名前では、一部のDSA/DSVAが名前解決ができない場合もしくは、DSA/DSVAから到達不可能なIPアドレスで登録されている場合、[コンピュータ]画面からDSRをダブルクリックしてDSRのホスト名をDSA/DSVAが解決できるホスト名(またはFQDN)、もしくはDSA/DSVAから到達可能なIPアドレスに変更します。



クラウドコネクタから連携されている場合、DSRのホストがグレーアウトして、上述の手順によってホスト名を変更できません。

その場合、[管理]-[システム設定]-[詳細]画面の「ロードバランサ」枠内にある「ロードバランサのRelayホスト名」へDSA/DSVAが解決できるホスト名(またはFQDN)、もしくはDSA/DSVAから到達可能なIPアドレスを登録します。



DSR とアップデートのタイミングが重複している

DSR と DSA/DSVA のセキュリティアップデートのタイミングが重複している場合、DSA/DSVA のアップデートは無効となります。DSR のセキュリティアップデート中は、コンポーネントの入れ替えのため Relay Web サーバが一時的に無効化されるためです。 また、その場合、システムイベントに下記のようなイベントが記録される場合があります。

イベント:Relay Webサーバの無効化
説明:Relay Webサーバが無効になっています。

予約タスクで、セキュリティアップデートのダウンロードのスケジュールを設定している場合は、DSR と DSA/DSVA のタスク実行のタイミングが重ならないよう調整をしてください。

失敗時のエラーメッセージに「IAU_STATUS_FILE_EXISTS」が表示される

DSVA にて、イベント「セキュリティアップデートの失敗」の「説明」欄に、エラーメッセージ「IAU_STATUS_FILE_EXISTS」が記録されている場合があります。このメッセージは、何らかの理由により破損したパターンファイルが残っていること、などに起因してアップデートが失敗したことを示しています。
本エラーメッセージが出力された際は、事象発生時の DSVA の iau.log を参照し、失敗の原因となっているコンポーネントを特定し、手動で削除後、DSVA を再起動して事象が改善されるかどうか確認してください。以下例の場合、ディレクトリ「/var/opt/ds_agent/lib/resource/c3t536871936/151100/」配下にあるファイル「ssaptn.511」が削除対象ファイル、となります。

[2014-May-28 06:39:39 4467|1085278544] [app] Merge [src/common/src/rtpatch_merger.cpp(129)]
End Rtpatch Merge, result: IAU_STATUS_SUCCESS[0(0,0,0)]
[2014-May-28 06:39:39 4467|1085278544] [app] GetPackages [src/core/src/context.cpp(802)]
Succeed to get update packages, start to install.
[2014-May-28 06:39:41 4467|1085278544] [err] Install [src/common/src/remote_package.cpp(199)]
Dynamic exception type: boost::filesystem3::filesystem_error
std::exception::what: boost::filesystem::copy_file: File exists:
"/var/opt/ds_agent/lib/iaudata/iaudata5a/temp/3PAgPcpP/ssaptn.511", "/var/opt/ds_agent/lib/resource/c3t536871936/151100/ssaptn.511"

Path1: /var/opt/ds_agent/lib/iaudata/iaudata5a/temp/3PAgPcpP/ssaptn.511
Path2: /var/opt/ds_agent/lib/resource/c3t536871936/151100/ssaptn.511
[2014-May-28 06:39:41 4467|1085278544] [app] Update [src/core/src/context.cpp(487)]
Update finished with result : IAU_STATUS_FILE_EXISTS[-1073610747(3,2,5)]

失敗時のエラーメッセージに「IAURELAY_STATUS_NOT_AVAILABLE(-18)」が表示される

DSVA にて、イベント「セキュリティアップデートの失敗」の「説明」欄に、エラーメッセージ「IAURELAY_STATUS_NOT_AVAILABLE(-18)」が記録されている場合があります。このメッセージは、何らかの理由により破損したパターンファイルが残っていること、などに起因してアップデートが失敗したことを示しています。詳細はこちらを参照ください

Deep Security Agentのアップグレード後に失敗する

Deep Security Agentをアップグレードし、Deep Security Manager,Relayよりも高いバージョンにした場合、アップデートに失敗する可能性があります。 詳細はこちらを参照ください

ログ関連

DS には、アップデート関連の問題が発生した場合に確認するログとして、TmuDump.txt、iau.log、iaurelay.log があります。ここでは、各ログの違いについて説明します。 各コンポーネント、プラットフォームにおけるファイルパスについては、関連リンクを参照してください。
ファイル名説明
TmuDump.txtアップデートサーバや DSR など、アップデート元との接続情報を主に記録したログ。
iau.logDSA/DSVA がアップデートを行う際のプロセスを記録したログ。DSR がインストールされたサーバには、iau.log と iaurelay.log の両方が存在します (DSR 内には Relay サーバとしての役割と Agent としての役割 (DSA) が存在するため)。
iaurelay.logDSR がアップデートを行う際のプロセスを記録したログ (DSA/DSVA には存在しません)。

ヒント

Windows 版 DSR/DSA の場合、以下フォルダにも TmuDump.txt, iau.log が存在します。Windows 版の場合、Web レピュテーション用のエンジン以外のコンポーネント (ウイルス検索エンジンやパターンファイルなど) は、Anti-Malware Solutions Platform (AMSP) によってアップデート処理が行われます (DSA は自身がアップデートプロセスを行うだけでなく、AMSP に対しアップデートプロセスを行うよう指示します)。そのため、Windows 版の場合はこちらにある TmuDump.txt と iau.log も採取してください。

  • %ProgramFiles%\Trend Micro\AMSP\debug\7

問題が解決しない場合

ご利用の DS が最新のビルドでない場合、最新のビルド (Patch など) を適用し、事象が改善するかどうか確認してください (ダウンロードする URL や適用方法については、関連リンクを参照してください)。最新のビルドには、既知の問題に対する修正が累積的に含まれています。
最新ビルドでも事象が継続して発生する場合、デバッグログなどの必要な情報を採取したうえで弊社サポートセンターまでご連絡ください。

ヒント

事象の発生が一回のみの場合、一時的な問題である可能性が考えられます。次回以降のアップデートに成功している場合は、様子見として頂くことを推奨します。また、デバッグログが採取されていない場合、サポートセンターにお問い合わせ頂いても原因の特定ができない場合があります。あらかじめご了承ください。

Premium
Internal
評価:
カテゴリ:
アップデート/配信
Solution Id:
1105208
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド