ビジネスサポートポータルアカウントでログイン
[HowTo] Trend Micro Deep Security システムの正常稼動監視方法  

[HowTo] Trend Micro Deep Security システムの正常稼動監視方法

    • 更新日:
    • 20 Jun 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Linux すべて
    • Solaris すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
Trend Micro Deep Security のシステムを運用するにあたり、正常稼動 (死活監視) を確認する方法について説明します
詳細
Public
 

Deep Security Manager - Windows

確実に監視を行う場合、以下のプロセスおよびサービスを監視してください。

  • プロセス名:Deep Security Manager.exe
  • サービス名:Trend Micro Deep Security Manager

これらプロセス/サービスが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドなどで確認できます。)

Deep Security Manager - Linux

確実に監視を行う場合、以下のプロセスを監視してください。
  • プロセス名: /opt/dsm/jre/bin/java
このプロセス/サービスが稼働している場合、正常と考えられます。(ps -ef コマンドなどで確認できます。)

Deep Security Agent - Windows

通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。

より確実に監視を行う場合、以下のプロセスおよびサービスを監視してください。

プロセス名

  • dsa.exe (Agentのメインプロセス)
  • Notifier.exe (Notifierによる通知プロセス)
  • coreFrameworkHost.exe (不正プログラム対策機能の検索プロセス)※1
  • coreServiceShell.exe (不正プログラム対策機能の検索プロセス)※1
  • dsvp (Relayサービスのプロセス)※2
  • nginx (Proxy接続に使用するプロセス)※2

サービス名

  • ds_agent (Agent用のサービス)
  • ds_notifier (Agentの通知用のサービス)
  • Amsp (不正プログラム対策機能用のサービス)※1

ドライバ

  • tbimdsa (侵入防御/ファイアウォールで使用するドライバ)※3

※1 不正プログラム対策機能を有効化した場合のみ起動
※2 Relayを有効化した場合のみ起動
※3 侵入防御あるいは、ファイアウォールを有効にした場合のみ稼働

これらプロセス/サービス/ドライバが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドやmsinfo32コマンドなどで確認できます。)

Deep Security Agent - Linux

通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。

より確実に監視を行う場合、以下を監視してください。

プロセス名

  • ds_agent (Agentのメインプロセス)※1
  • ds_am (不正プログラム対策機能の検索プロセス)※2
  • dsvp (Relayサービスのプロセス)※3
  • nginx (Proxy接続に使用するプロセス)※3

ドライバ

  • dsa_filter (侵入防御/ファイアウォールで使用するドライバ)※4

※1 ds_agent はメインとモニタ用2つ起動
※2 不正プログラム対策機能を有効化した場合のみ起動、ds_amはメインとモニタ用2つ起動
※3 Relayを有効化した場合のみ起動
※4 侵入防御あるいは、ファイアウォールを有効にした場合のみ稼働
これらプロセス/ドライバが稼働している場合、正常と考えられます。(lsmodコマンド(Linux)、modinfoコマンド(Solaris)などで確認できます。)

Deep Security Virtual Appliance

通常 Deep Security Manager が正常に運用されている場合、Virtual Appliance が停止した場合などにはアラートが生成されるため、Virtual Appliance の正常稼動を担保することは可能です。

より確実に監視を行う場合、以下を監視してください。

ドライバモジュール

  • dvfilter-dsa

このモジュールがロードされている場合、正常と考えられます。(vmkload_modコマンドなどで確認できます。)

バージョン 9.6 以降では、VMware 社による VMsafe API のサポート終了のため dvfilter-dsaが存在しません。

Deep Security Agent / Deep Security Virtual Appliance - ポートで監視する

Deep Security Agent および Deep Security Virtual Appliance の死活監視の方法として Listen Port を監視する方法もあります。

  • 4118/TCP: Managerからの通信ポート
  • 4122/TCP: Agentからの通信ポート※4

※4 Relayのみ起動
これらのポートがListenされている場合、正常と考えられます。(netstatコマンド、リモートからtelnetコマンドで接続などで確認できます。)

※注意
telnetコマンドでポート4118に接続/切断を行うと、DebugView(Windows)、syslog(Unix)に「BIO_do_handshake() failed - peer closed connection.」というエラーが記録されます。

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1107743
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド