ビジネスサポートポータルアカウントでログイン
「ファイアウォールエンジンがオフライン」と「侵入防御エンジンがオフライン」エラーが発生する場合のトラブルシューティング方法  

「ファイアウォールエンジンがオフライン」と「侵入防御エンジンがオフライン」エラーが発生する場合のトラブルシューティング方法

    • 更新日:
    • 3 Sep 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Virtual Appliance すべて
概要
vShield/VMsafe 環境 (非 NSX 環境) における Deep Security Virtual Appliance (以下、DSVA) の保護対象仮想マシンにて、複数のエラー (「ファイアウォールエンジンがオフライン / Firewall Engine Offline」と「侵入防御エンジンがオフライン」エラー / Intrusion Prevention Engine Offline) が発生します。原因と対応策について教えてください。
 
詳細
Public

概要

これらのエラーは、DSVA 内のプロセス dsa_slowpath (9.5) / ds_filter (9.0 以下) と、ESXi にインストールされたカーネルモジュール dvfilter 間の TCP コネクションが確立していない場合などに発生します。dsa_slowpath / ds_filter と dvfilter 間の通信は、以下のアドレス/ポート番号で行われます。
  • DSVA (dsa_slowpath or ds_filter) : 169.254.1.XX / XXXXX (可変 TCP ポート)
  • ESXi (dvfilter) : 169.254.1.1 / TCP 2222

ヒント

dvfilter は、Filter Driver (dvfilter-dsa) と同様に、「ESXiの準備」を実行したタイミングでインストールされるカーネルモジュールです。

DSVA 側 (dsa_slowpath or ds_filter) を「Slow Path」、ESXi (Filter Driver) 側を「Fast Path」と呼ぶことがあります。

これらのエラーが発生すると、侵入防御機能や Web レピュテーションサービス機能など、DSVA 側で処理される機能を使用にしている場合は正常に動作しなくなります (ファイアウォール機能やステートフル設定については、Filter Driver 側で処理が行われます)。一方で、不正プログラム対策機能など、VMware vShield アーキテクチャを使用している機能への影響はありません。
 
また、これらのエラーは、ファイアウォールおよび侵入防御機能を使用していない場合でも発生する可能性があります。
 
トラブルシューティングを行う際は、以下セクションに記載されている点を確認するとともに、(DSVA 側のログだけでなく) ESXi の vmkernel.log を確認する必要があります。エラーが発生している際は、通常、vmkernel.log に以下のようなメッセージが記録されます (このメッセージ自体は、事象の原因を示すものではなく、あくまで事象が発生している (DSVA と ESXi 間の通信に問題がある) ことを示すものです)。

2015-02-16T11:53:26.689Z cpu3:4099)WARNING: dvfilter-dsa: update_sp_binding: DSVA not bound
2015-02-16T11:53:37.913Z cpu1:4097)WARNING: dvfilter-dsa: update_sp_binding: DSVA not bound
2015-02-16T11:53:48.904Z cpu0:4104)WARNING: dvfilter-dsa: update_sp_binding: DSVA not bound

基本確認事項

本事象が発生した場合にまず確認すべき基本事項は以下のとおりです。

dsa_slowpath/ds_filter プロセスが正常に動作しているか

まずは DSVA 側のプロセスが正常に動作していることを確認します。DSVA 側のプロセスが停止している場合は起動してください。

DSVA 9.0 のコマンドおよび出力例

dsva@dsva90:~$ sudo status ds_filter
ds_filter (start) running, process 4478

DSVA 9.5 のコマンドおよび出力例

[dsva@dsva95 ~]$ sudo ps -ef | grep dsa_slowpath | grep -v grep
root 11741 1 1 20:35 ? 00:00:02 /opt/ds_agent/dsa_slowpath

dsa_slowpath/ds_filter と dvfilter 間のコネクションが確立しているか

DSVA および ESXi 双方で、以下のように「ESTABLISHED」コネクションが存在することを確認します。コネクションの確立はプロセス起動時に試行されるため、コネクションが存在しない場合は、DSVA を再起動し、事象が改善するかどうかご確認ください。

DSVA 9.0 のコマンドおよび出力例

dsva@dsva90:~$ netstat -t | grep 2222
tcp 0 0 169.254.1.39:38676 169.254.1.1:2222 ESTABLISHED

DSVA 9.5 のコマンドおよび出力例

[dsva@dsva95 ~]$ netstat -tna | grep 2222
tcp 0 0 169.254.1.39:51979 169.254.1.1:2222 ESTABLISHED

[dsva@dsva95 ~]$ sudo lsof -Pni4
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
...
dsa_slowp 11741 root 6u IPv4 21964 0t0 TCP 169.254.1.39:51979->169.254.1.1:2222 (ESTABLISHED)
...

ESXi のコマンドおよび出力例 (コネクションあり)

~ # esxcli network ip connection list | grep 2222
tcp 0 0 169.254.1.1:2222 169.254.1.39:38676 ESTABLISHED 4583 helper36-0

ESXi のコマンドおよび出力例 (コネクションなし)

~ # esxcli network ip connection list | grep 2222
tcp 0 0 169.254.1.1:2222 0.0.0.0:0 LISTEN 4469

ESXi 側で DVFilterBindIpAddress が正しく設定されているか

Deep Security Manager (以下、DSM) の管理コンソールの [コンピュータ] 画面で vCenter のプロパティを表示し、[ネットワーク設定] タブにある「VM Kernel VNIC IP」のアドレス (169.254.1.1) と同じアドレスが、ESXi 側で "DVFilterBindIpAddress" の値として設定されていることを確認します。アドレスが存在しないときは、「esxcfg-advcfg -s 169.254.1.1 /Net/DVFilterBindIpAddress」コマンドで設定してください。

ESXi のコマンドおよび出力例 (正常時)

~ # esxcfg-advcfg -g /Net/DVFilterBindIpAddress
Value of DVFilterBindIpAddress is 169.254.1.1

よくある原因と対処方法

Filter Driver 用のヒープメモリの枯渇

ファイアウォールや侵入防御機能の利用有無に関わらず、DSVA で仮想マシンを保護する場合は、Filter Driver において仮想マシン 1 台あたり一定サイズのヒープメモリを必要とします。そのサイズを超える台数の仮想マシンを保護しようとすると、以下のようなメッセージが vmkernel.log に記録され、結果として事象が発生します。

2015-06-08T11:14:02.439Z cpu35:10666352)WARNING: Heap: 3546: Heap dvfilter-dsa already at its maximum size. Cannot expand.

また、同時に DSVA 側で以下のようなメッセージが記録されることもあります。

DSVA 9.5 の出力例 (/var/log/messages)

ds_filter[18434]: net.interface/1 | slowpath event received: 1(out of memory, guest protection failed)) | compat-vmsafe.c:413

この場合、関連リンクを参照し、必要なヒープサイズの計算および ESXi でのサイズ拡張設定を実施してください。
 
なお、ヒープメモリの枯渇に起因して事象が発生する場合は、すべての仮想マシンではなく (有効化している台数が一定数を超えた状況下において新たに有効化が試行された) 不特定多数の仮想マシンで発生するケースが考えられます。

DSVA と Filter Driver のバージョンミスマッチ

DSVA 9.5 において、DSVA と Filter Driver のバージョンが一致していない場合、コネクションが確立できず、以下のようなエラーが記録されます。例えば、DSVA が 9.5 初期ビルド (9.5.2.2022) で Filter Driver が 9.5 Service Pack 1 (9.5.3.2750) である場合は本事象が発生します。

2015-06-23T07:56:38.652Z cpu18:32816)dvfilter-dsa: dsa_reg_slowpath: slowpath register instance:1678823 handle: 839412
2015-06-23T07:56:38.652Z cpu18:32816)WARNING: ioctl/1 | Secret mismatch, incompatible slowpath: HELLO rejected | visor_slowpath.c:529
2015-06-23T07:56:38.804Z cpu18:32816)WARNING: ioctl/1 | revision missmatch info=9.5.2.x:rev=5050, expecting=9.5.3.x:rev=5050 | core_config.c:397

対応策として、DSVA または Filter Driver のアップグレードを行い、双方のバージョンが一致するようにしてください。上記例の場合、DSVA を 9.5 SP 1 (9.5.3.2754) にアップグレードすることで、事象が改善します。

Deep Security では、同じバージョン (「9.5 初期ビルド」や「9.5 SP 1」など) でも各コンポーネントによってビルド番号が異なりますのでご注意ください。

なお、一致している必要があるバージョンは上位 3 ケタ (例. 9.5.3) です。そのため、HotFix の適用などによって DSVA のビルドが変わった場合は影響はありません。また、バージョン (8.0/9.0/9.5)に関わらず、DSVA と Filter Driver は必ず同じバージョンのモジュールを使用してください。

仮想マシンに適用したポリシーで Web レピュテーション/ファイアウォール/侵入防御機能がオンになっている (バージョン 9.6 以降のみ)

DSVA 9.6 以降では、Filter Driver が存在しないため Web レピュテーション/ファイアウォール/侵入防御機能がサポートされません (使用できません)。しかしながら、保護対象の仮想マシンに割り当てるポリシーでこれらの機能がオンになっていると、対象仮想マシンでエラーが発生します。この場合、ポリシーで該当機能をオフにしてください。
 

NSX環境におけるトラブルシューティング方法

こちらのTrend Micro Deep Security サポートウェブに公開しておりますトラブルシューティングガイドをご確認ください。

Premium
Internal
評価:
カテゴリ:
動作トラブル
Solution Id:
1111777
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド