ビジネスサポートポータルアカウントでログイン
Deep Security Agentのデバッグログ取得方法  

Deep Security Agentのデバッグログ取得方法

    • 更新日:
    • 26 Jun 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.All
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • Trend Micro Deep Security as a Service All.All
    • OS:
    • Linux すべて
    • Windows すべて
概要
Deep Security Agent (以下、DSA) 、Deep Security Relay で問題が発生した場合の詳細なログ (デバッグログ) を取得する方法を教えてください。
詳細
Public
現象再現を行う際、OSやTrend Micro Deep Security Agentのサービス再起動の要否により手順が異なるものとなります。以下のとおり状況にあった取得手順にて実施ください。

1.現象再現時にOSやサービスの再起動が必要な場合の取得手順

Windows 版 Deep Security Agent のデバッグログ取得方法

デバッグを有効にするためには、Agentを再起動する必要がありますが、セルフプロテクションが設定されている場合は再起動できません。そのため、管理コンソール上でこの設定を無効にする必要があります。無効にする手順については、製品 Q&A エージェントのサービス停止やアンインストールができない をご覧ください。
  1. 以下の記述をメモ帳等のテキストエディタへコピーし、Windowsのシステムディレクトリ(C:\WINDOWS または C:\WINNT)直下へds_agent.iniのファイル名で保存します。
    Trace=* Appl Beat Cmd Cfg Conn HTTP Log Lstn Srvc SSL
    Trace.file_name=dsa_debug

    ヒント

    ログのローテート設定を変更する際は、上記\ds_agent.ini ファイルに以下 2つのパラメータを記載してください (いずれか一方のみでも問題ありません)。

    • dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
    • dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5
    • 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
    • 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)

      ※設定後にTrend Micro Deep Security Agentのサービス再起動が必要となります。
  2. "Trend Micro Deep Security Agent"サービスを再起動します。
  3. (不正プログラム対策機能に関する問題の場合のみ)
    インストールフォルダ(初期設定ではC:\Program Files\Trend Micro)配下のAMSP\AmspConfig.ini をメモ帳などのテキストエディタで開き、3つのパラメータを以下の値に設定して保存します。
    DebugLevel=1
    DebugFlag=7
    DebugLogAMSPServiceStart=1
  4. (不正プログラム対策機能に関する問題の場合のみ)
    "Trend Micro Solution Platform"サービスを再起動します。
  5. 現象を再現させます。
  6. 該当の DSA にて診断パッケージの採取を行う事で、デバッグログの回収も行われます。診断パッケージの採取手順については、こちらを参照してください。
  7. 手順 1 で作成した ds_agent.ini を削除、または名前の変更を行い、"Trend Micro Deep Security Agent" サービスを再起動します。
  8. (不正プログラム対策機能に関する問題の場合のみ)
    手順3で変更したパラメータ値を以下の様に元に戻し、"Trend Micro Solution Platform"サービスを再起動します。
    DebugLevel=2
    DebugFlag=1
    DebugLogAMSPServiceStart=0

Linux 版 Deep Security Agent のデバッグログ取得方法

  1. vi 等のテキストエディタを使用して以下の記述をコピーし、/etc/ds_agent.conf のファイル名で保存します。
    Trace=*

    ヒント

    ログのローテート設定を変更する際は、上記ds_agent.confファイルに、以下 2 つのパラメータを記載してください (いずれか一方のみでも問題ありません)。

    • dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
    • dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5
    • 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
    • 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)

      ※設定後にds_agentサービスの再起動が必要となります。
  2. vi 等のテキストエディタを使用して以下の記述をコピーし、/var/opt/ds_agent/am/ds_am.ini のファイル名で保存します。
    main=debug_level=8,vmpd_log_file_MB=10,vmpd_log_file_count=5

    ヒント

    ログのローテート設定を変更する際は、上記の2 つのパラメータを編集してください (いずれか一方のみでも問題ありません)。

      • vmpd_log_file_MB=[最大ファイル数] / デフォルト : 5
      • vmpd_log_file_count=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
      • 例 : vmpd_log_file_MB=100 (1 ログあたり 100 MB)
      • 例 : vmpd_log_file_count=10 (10 個まで ds_am.log/ds_am-XX.log ログを保存)

    ※設定後にds_agentサービスの再起動が必要となります。
本ローテート設定は以下のバージョンでは未対応となっております。

<バージョン>
    • Deep Security Agent 9.5
    • Deep Security Agent 9.6 Service Pack 1 Patch 1 Update 12 Critical Patch未満
    • Deep Security Agent 10.0 Update 4未満

該当バージョンをご利用の場合は以下のみをds_am.iniに記入しds_am.iniを保存ください。

main=debug_level=8
  1. エージェントのサービスを再起動します。
    # /etc/init.d/ds_agent restart
  2. 現象を再現させます。
  3. 該当の DSA にて診断パッケージの採取を行う事で、デバッグログの回収も行われます。診断パッケージの採取手順については、こちらを参照してください。
  4. デバッグの取得を終了させるには、手順1および手順2で作成した以下のファイルを削除後、ds_agentサービスを再起動します。
    # rm /etc/ds_agent.conf
    # rm /var/opt/ds_agent/am/ds_am.ini
    # /etc/init.d/ds_agent restart

2.現象再現時にOSやサービスの再起動が必要でない場合の取得手順

こちらの手順はDeep Security 9.5以降の手順となります。Deep Security 9.0以下の場合はこちらを参照してください。

Windows 版 Deep Security Agent のデバッグログ取得方法

  1. 管理者権限でコマンドプロンプトを開きます。

  2. DSA のインストールパスに移動します。

    例:インストールパスが初期値の場合
    > cd c:\Program Files\Trend Micro\Deep Security Agent

  3. 下記コマンドを実行し、現状の Trace setting を確認、テキスト等に保存します (デバッグを無効化する際に必要になります)。

    >sendCommand --get Trace

    HTTP Status: 200 - OK
    Response:
    Trace settings are currently: Appl,Cmd, Srvc,dsa.Command.*,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils

コマンドプロンプトを管理者として実行しなかった場合、以下のようなエラーが出力されます。

yyyy-mm-dd hh:mm:ss.000000: [Error/1] | Unable to load agent certificate for verification.
Path is: C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent.crt
Error is: error:02001005:system library:fopen:Input/output error [fopen('C:\ProgramData\Trend Micro\Deep Security Agent\dsa_core\ds_agent.crt','r')] | .\http\SSLContext.cpp:603:DsaCore::CSSLContext::UseCredentials | 1C4:14AC:CScriptThread
yyyy-mm-dd hh:mm:ss.xxxxxx: [Error/1] | sslCtx:UseCredentials() failed - error:2006D002:BIO routines:BIO_new_file:system lib [] | .\sendCommand.lua:93:Init | 1C4:14AC:CScriptThread

コマンドプロンプトは必ず管理者として実行する必要があります。

  1. 下記コマンドを実行し、デバッグを有効にします。

    >sendCommand --get Trace?trace=*

    HTTP Status: 200 - OK
    Response:
    Trace settings are currently: *

    ヒント

    ログのローテート設定を変更する際は、%WINDIR%\ds_agent.ini ファイルを作成し、以下 2 つのパラメータを記載してください (いずれか一方のみでも問題ありません)。

    • dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
    • dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5
    • 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
    • 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)

      ※設定後にTrend Micro Deep Security Agentのサービス再起動を実施してください。

Agentセルフプロテクション機能がパスワード付きで有効化されている場合、"HTTP Status: 403 - Forbidden - untrusted peer."と言ったレスポンスが返答されます。

この場合、以下のいずれかの対処を実施します。

  1. Agentセルフプロテクション機能を一時的に無効化する

    Deep Security ManagerのWeb管理コンソールにログインし、[コンピュータ]タブから対象コンピュータをダブルクリックして[設定]-[コンピュータ]タブの[Agentセルフプロテクション]欄から「ローカルのエンドユーザによるAgentのアンインストール、停止、または変更を拒否」設定を「いいえ」に変更します。

  2. "sendCommand"コマンドのオプションへ常にパスワードを追加する

    上記コマンドへ常に"-p password"オプションを追加して実行します。

  1. 事象の再現を行います。
  2. ログは C:\ProgramData\Trend Micro\Deep Security Agent\diag\ds_agent.log (Windows Server 2003 の場合は C:\Documents and Settings\All Users\Application Data\Trend Micro\Deep Security Agent\diag\ 配下) に記録されます。
  3. デバッグの取得を終了させるには、手順 3 で確認した Trace setting に戻す必要があります。以下のコマンドを実行します。

    >sendCommand --get "Trace?trace=Appl,Cmd,Srvc,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils"

    HTTP Status: 200 - OK
    Response:
    Trace settings are currently: Appl,Cmd, Srvc,dsa.Command.*,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils

    ヒント

    サービスの再起動を許容できる場合、単純に"Trend Micro Deep Security Agent"サービスを再起動してもTrace settingが初期化されます。

  4. 該当の DSA にて診断パッケージの採取を行う事で、デバッグログの回収も行われます。診断パッケージの採取手順については、こちらを参照してください。

Linux 版 Deep Security Agent のデバッグログ取得方法

  1. 下記コマンドを実行し、現状の Trace setting を確認、テキスト等に保存します (デバッグを無効化する際に必要になります)。

    # /opt/ds_agent/sendCommand --get Trace

    HTTP Status: 200 - OK
    Response:
    Trace settings are currently: Appl,Cmd, Srvc,dsa.Command.*,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils

  2. 下記コマンドを実行し、ds_agent プロセスのデバッグを有効にします。

    # /opt/ds_agent/sendCommand --get Trace?trace=*

    HTTP Status: 200 - OK
    Response:
    Trace settings are currently: *

    ヒント

    ログのローテート設定を変更する際は、/etc/ds_agent.confファイルを作成し、以下 2 つのパラメータを記載してください (いずれか一方のみでも問題ありません)。

    • dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
    • dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5
    • 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
    • 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)

      ※設定後にds_agentサービスの再起動を実施してください。
  1. (不正プログラム対策/変更監視/推奨設定の検索に関する問題の場合のみ) 上記に加え、以下コマンドを 2, 3 回実行し ds_am プロセスのデバッグを有効にします。実行時、デバッグレベルが変更された旨のメッセージは出力されません。実行後、「cat /var/opt/ds_agent/diag/ds_am.log | grep changed」コマンドで、debug_level が 8 以上になっていることを確認します (通常、下記コマンドで上がるレベルは 1 ですが、2 上がる場合があります。しかし、8 以上であれば出力されるログ内容に差異はないため、8 以上であれば問題はありません)。

    # killall -USR1 ds_am

    CentOS7やRedhat7など、killallコマンドが実装されていない場合は以下を実施ください。

    # kill -USR1 ds_am
  2. 事象の再現を行います。
  3. ログは /var/opt/ds_agent/diag/ds_agent.log および ds_am.log に記録されます。
  4. デバッグを無効化させるには、手順 1. で確認した Trace setting に戻す必要があります。以下のコマンドを実行します。

    # /opt/ds_agent/sendCommand --get Trace?trace=Appl,Cmd,Srvc,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils

    HTTP Status: 200 - OK
    Response:
    Trace settings are currently: Appl,Cmd, Srvc,dsa.Command.*,dsa.Heartbeat,dsa.ListenThread,dsa.PluginUtils

    手順 3. を実施した場合は、さらに以下のコマンドを 2, 3 回実行し、「cat /var/opt/ds_agent/diag/ds_am.log | grep changed」コマンドで ds_am プロセスの debug_level が 5 となっていることを確認してください。5 よりも小さくなってしまっている場合などは、再度「killall -USR1 ds_am」または「killall -USR2 ds_am」コマンドで調整してください。

    # killall -USR2 ds_am

    ※CentOS7やRedhat7など、killallコマンドが実装されていない場合は以下を実施ください。

    # kill -USR2 ds_am

    ヒント

    サービスの再起動を許容できる場合、単純に"ds_agent"サービスを再起動してもログの設定が初期化されます。

  5. 該当の DSA にて診断パッケージの採取を行う事で、デバッグログの回収も行われます。診断パッケージの採取手順については、こちらを参照してください。
Premium
Internal
評価:
カテゴリ:
動作トラブル
Solution Id:
1106643
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド