Q&A | Trend Micro Business Support

[HowTo] Trend Micro Deep Security システムの正常稼動監視方法（死活監視編）

- 更新日:
- 29 Jun 2021
- 製品/バージョン:
- Trend Micro Deep Security 10.0
- Trend Micro Deep Security 11.0
- Trend Micro Deep Security 12.0
- Trend Micro Deep Security 20.0
- Trend Micro Deep Security 9.5
- Trend Micro Deep Security 9.6
- OS:
- Linux すべて
- Solaris すべて
- Virtual Appliance すべて
- Windows すべて

アラートやステータスに関する内容は [HowTo] Trend Micro Deep Security システムの正常稼動監視方法(アラート/イベント/ステータスの監視編) を参照ください。

Deep Security Manager - Windows

確実に監視を行う場合、以下のプロセスおよびサービスを監視してください。

□プロセス名：Deep Security Manager.exe
□サービス名：Trend Micro Deep Security Manager

これらプロセス/サービスが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドなどで確認できます。)

Deep Security Manager - Linux

確実に監視を行う場合、以下のプロセスを監視してください。

□プロセス名： /opt/dsm/jre/bin/java

このプロセス/サービスが稼働している場合、正常と考えられます。(ps -ef コマンドなどで確認できます。)

Deep Security Agent - Windows

通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。

より確実に監視を行う場合、以下のプロセスおよびサービスを監視してください。

プロセス名

□dsa.exe (Agentのメインプロセス)
□ds_monitor.exe (Agentのウォッチドッグプロセス)
□Notifier.exe (Notifierによる通知プロセス)
□coreFrameworkHost.exe (不正プログラム対策機能の検索プロセス)※1
□coreServiceShell.exe (不正プログラム対策機能の検索プロセス)※1
□dsvp (Relayサービスのプロセス)※2
□nginx (Proxy接続に使用するプロセス)※2

サービス名

□ds_agent (Agent用のサービス)
□ds_monitor (Agentのシステム監視用のサービス)
□ds_notifier (Agentの通知用のサービス)
□Amsp (不正プログラム対策機能用のサービス)※1

ドライバ

□tbimdsa (侵入防御/ファイアウォールで使用するドライバ)※3

※1 不正プログラム対策機能を有効化した場合のみ起動
※2 Relayを有効化した場合のみ起動
※3 侵入防御あるいは、ファイアウォールを有効にした場合のみ稼働

これらプロセス/サービス/ドライバが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドやmsinfo32コマンドなどで確認できます。)

Deep Security Agent - Linux

より確実に監視を行う場合、以下を監視してください。

プロセス名

□ds_agent (Agentのメインプロセス)※1
□ds_am (不正プログラム対策機能の検索プロセス)※2
□dsvp (Relayサービスのプロセス)※3
□nginx (Proxy接続に使用するプロセス)※3
□ds_kmemcg (Webレピュテーション、ファイアウォール、侵入防御機能に使用するプロセス)※4
□ds_kproc (Webレピュテーション、ファイアウォール、侵入防御機能に使用するプロセス)※4

ドライバ

□dsa_filter (Webレピュテーション、ファイアウォール、侵入防御機能で使用するドライバ)※5
□dsa_filter_hook (Webレピュテーション、ファイアウォール、侵入防御機能で使用するドライバ)※6

※1 ds_agent はメインとモニタ用2つ起動
※2 不正プログラム対策機能を有効化した場合のみ起動、ds_amはメインとモニタ用2つ起動
※3 Relayを有効化した場合のみ起動
※4 Webレピュテーション、ファイアウォール、侵入防御機能いずれかを有効にした場合のみ稼働（DS20.0以降のみ）
※5 Webレピュテーション、ファイアウォール、侵入防御機能いずれかを有効にした場合のみ稼働
※6 DS11.3およびDS12.0のみ

これらプロセス/ドライバが稼働している場合、正常と考えられます。(lsmodコマンド(Linux)、modinfoコマンド(Solaris)などで確認できます。)

ds_agent および ds_amのプロセス数は、稼働状況により変動することがあります。少なくとも一つ以上のプロセスが稼働していることを監視してください。

Deep Security Virtual Appliance

通常 Deep Security Manager が正常に運用されている場合、Virtual Appliance が停止した場合などにはアラートが生成されるため、Virtual Appliance の正常稼動を担保することは可能です。

より確実に監視を行う場合、以下を監視してください。

ドライバモジュール

□dvfilter-dsa

このモジュールがロードされている場合、正常と考えられます。(vmkload_modコマンドなどで確認できます。)

バージョン 9.6 以降では、VMware 社による VMsafe API のサポート終了のため dvfilter-dsaが存在しません。

Deep Security Agent / Deep Security Virtual Appliance - ポートで監視する

Deep Security Agent および Deep Security Virtual Appliance の死活監視の方法として Listen Port を監視する方法もあります。

□4118/TCP: Managerからの通信ポート
□4122/TCP: Agentからの通信ポート※1

※1 Relayのみ起動
これらのポートがListenされている場合、正常と考えられます。(netstatコマンド、リモートからtelnetコマンドで接続などで確認できます。)

※注意
telnetコマンドでポート4118に接続/切断を行うと、DebugView(Windows)、syslog(Unix)に「BIO_do_handshake() failed - peer closed connection.」というエラーが記録されます。

<Welcome Pageをご活用ください！>
サポートエンジニアが問い合わせ傾向を元にDeep Securityを安心してお使いいただくための情報をWelcome Page(DS/C1WS)にまとめました。
Welcome Page(DS/C1WS)で機能概要や、事前準備から運用開始までに必要なステップ、運用のコツをぜひご確認ください！