ビジネスサポートポータルアカウントでログイン
Deep Security ログ取得支援ツールについて  

Deep Security ログ取得支援ツールについて

    • 更新日:
    • 29 Oct 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Linux すべて
    • Solaris すべて
    • UNIX すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
Deep Security ログ取得支援ツールおよびデバッグログ取得支援ツールの使い方の説明になります。
※それぞれ以下のように記載します。
Deep Security:DS
Deep Security as a Service:DSaaS
Deep Security Manager:DSM
Deep Security Agent:DSA
詳細
Public

使用許諾

本ツールは、以下使用許諾に同意のもとご利用ください。

使用許諾契約書

ツール実行環境

  • ・OS:Windows 7/2008以降
  • ・Windows Powershell バージョン:2.0以降
  • ・DSM/DSA/DSVA バージョン:9.0以降
デバッグログ取得支援ツールはWindows版のDSM/DSAサーバ上で動作するUIツールとなっており、Powershellのバージョンには依存しません。
 
<Powershell バージョン確認方法>
Windowsマシン上で、[スタート]>[すべてのプログラム]>[アクセサリ]>[Windows Powershell]>[Windows Powershell]をクリックします。
Windows Powershellのコンソールが表示された後、「$PSVersionTable」と入力し、Enterを押します。
以下のような出力された後、「PSVersion」をご確認ください。
下図は「Powershell 2.0」であることを表しています。

取得できるログ一覧

  • ・DSMの診断パッケージ
  • ・指定したDSA/DSVA/エージェントレス保護マシンの診断パッケージ
  • ・ツール実行時に指定した日にちから、前後1日分の各種イベントログ
  • ・DSMおよびDSAのデバッグログ(デバッグログ取得支援ツール)

ログ取得支援ツール使用時の事前準備

  1. 以下リンクよりツールをダウンロードします。ダウンロードしたファイルを解凍して、ログを保存したいフォルダに「DS_Logs_Collection_Support_Tool」フォルダを配置してください。
    DS_Logs_Collection_Support_Tool.zip
  2. 「config.ini」ファイルをテキストエディタで表示して、各パラメータを入力します。

    800pix


    ■入力例(シングルテナントの場合)
    ※シングルテナントの場合、「DsmTenant」には何も入力しないでください。
    ※"は削除してください。


    ■入力例(マルチテナントかつ複数のDSAから情報を取得する場合)

    ※注意※
    DSA(ComputerName)を複数指定する場合、「,」で区切る必要があります。
    また、「,」の前後に半角のスペースが入るとエラーになります。
    <正しい表記>
    ---------------------------------
    192.168.1.1,192.168.1.2
    ---------------------------------

    <誤っている表記>
    ---------------------------------
    192.168.1.1, 192.168.1.2
    ---------------------------------

    DSVAやDSVAの保護対象の診断パッケージを取得する場合は、本Q&A末尾の「DSVAの診断パッケージが取得できない」と「DSVAの保護対象(エージェントレス保護対象)の診断パッケージが取得できない」をご参照ください。


    ■入力例(DSaaSの場合)
    ※DSaaSでは「Account Name」を「DsmTenant」、「Username」を「DsmUsername」に入力します。


    ※DSaaSの場合、DSMの診断パッケージは取得できません。

ログ取得支援ツールの実行方法

  1. [事前準備」完了後、「DS_Logs_Collection_Support_Tool」フォルダに含まれている「collect_logs.cmd」ファイルをダブルクリックします。
  2. 「Windows Powershell 資格情報の要求」のウィンドウが表示されますので、「パスワード」欄にDSMのログインパスワードを入力します。
    400pix
  3. 以下画面が表示されたら、事象が発生した日付を入力して、Enterを押します。

    800pix
    日付のフォーマットは「yyyy-mm-dd」もしくは「yyyy/mm/dd」のどちらかで入力してください。

  4. プロンプトが戻るまでお待ちください。
    情報取得中は以下のようなメッセージが表示されます。

    800pix

    ※ツールを途中で止める場合は、「Ctrl+C」を押してください。ツールを途中で止めることによる、DSへの影響はございません。

  5. 「collect_logs.ps1」と同じフォルダに「Logs」フォルダが作成されます。
    「Logs」フォルダ下にDSAの診断パッケージ、各種イベントログが保存されます。

ツールを実行するマシンのPowershellのバージョン次第では、以下メッセージが出る場合がありますが、ツールの動作に影響はありません。
■対象ログ
C:\Users\test\Desktop>powershell -ExecutionPolicy RemoteSigned\collect_logs.ps1 -DsmUrl https://192.168.10.10:4119 -DsmUsername dsmuser -Computerame 192.168.10.15

Start-Transcript : トランスクリプションを開始できません。
発生場所 C:\Users\test\Desktop\collect_logs.ps1:15 文字:21 + Start-Transcript <<<< $(Join-Path$OutputPath 'diagnostic.log') + CategoryInfo : InvalidOperation: (:) [Start-Transcript]、PSInval idOperationException + FullyQualifiedErrorId : CannotStartTranscription,Microsoft.PowerShell.Co mmands.StartTranscriptCommand

ログ取得支援ツール実行時の注意点

config.iniが正常に表示されない

「config.ini」ファイルをテキストエディタで開いた際、以下のように1行で表示される場合があります。

800pix

これは、テキストエディタ側の動作が原因になります。1行で表示されている状態で、必要な項目を入力いただくか、「事前準備2.」のように改行してから入力いただいても正常に動作します。

DSVAの診断パッケージが取得できない

DSVAをご利用いただいている場合、SMのコンピュータタブ画面上には以下のように表示されます。
 

800pix

DSVAの診断パッケージを取得するために、「config.ini」に「localhost.localdom」を指定した場合、Guest Introspectionを含む4台の「localhost.localdom」のいずれかの診断パッケージを取得するため、本来取得したいDSVAの診断パッケージが取得できません。
そのため、DSVAの診断パッケージを取得する場合、「前回使用されたIP」欄に表示されているIPアドレスを「config.ini」ファイルの「Computername」欄に記載してください。

※注意※
DSVAの診断パッケージを取する際に、「Computername」に「localhost.dom (Trend Micro Deep Security (1))」を記載すると、「指定されたホストが存在しない」と出力されて、ツールの実行に失敗します。そのため、DSVAの診断パッケージを取得する際は、「前回使用されたIP」を指定してください。

DSVAの保護対象(エージェントレス保護対象)の診断パッケージが取得できない

 DSVAの保護対象でDSAがインストールされていないコンピュータ(エージェントレス保護対象)は、DSMのコンピュータタブ画面の「名前」欄に「ホスト名.ドメイン名 (ホスト名)」で表示されます。

800pix

エージェントレス保護対象の診断パッケージを取得する場合は、「config.ini」ファイルの「Computername」欄に、「ホスト名」を入力してください。

上図の「TestAgentless1.local.com (TestAgentless1)」の診断パッケージを取得する場合、「config.ini」ファイルの「Computername」欄には「TestAgentless1」と入力してください。

DSMのURL、ログインユーザ名、パスワードが間違っている場合

DSMのURL、ログインユーザ名、パスワード、テナント名のいずれかを間違えている場合は、「ログインに失敗しました。」のメッセージが出力されます。
以下ログが出力される場合、「config.ini」ファイルとツール実行後に入力するパスワードが間違えていないかご確認ください。

800pix

DSAのコンピュータ名を間違えている場合

[DSAのコンピュータ名]がDSMに登録されていない場合、「指定されたホストが存在していません」のメッセージが出力されます。
「config.ini」ファイル内の「Computername」に記載しているコンピュータ名が、DSMに登録されているDSAのコンピュータ名、もしくは「前回使用されたIP」に記載されているIPアドレスになっているかご確認ください。

800pix

DSAの診断パッケージの取得に失敗する

ツール実行時、以下画面が出力されてDSAの診断パッケージの取得に失敗する場合があります。
 

800pix

これは、下図のようにDSAの通信方向が「Agent/Applianceから開始」になっている場合に発生します。

800pix



通信方向を「双方向」か「Managerから開始」に変更した後、再度ツールを実行してください。

ツール実行直後にトランスクリプションエラーが発生する

ツール実行直後、以下「トランスクリプションを開始できません。」のメッセージが出力される場合があります。

本メッセージはPowershellのバージョンによって発生する場合がありますが、ツールの動作には影響ありません。

デバッグログ取得支援ツールの実行方法

  1. 以下リンクよりツールをダウンロードします。ダウンロードしたファイルを解凍して、DSMまたはDSAがインストールされているサーバにコピーします。
    DS_Debug_Log_Collection_Support_Tool.zip 
  2. ファイルを解凍し、uiMain.exeを管理者権限で実行します。
  3. GUIが表示され、DSM/DSAのサービスが表示されることを確認します。
  4. デバッグログの有効化対象にチェックがついていることを確認し、「デバッグの有効化」ボタンをクリックします。
  5. 事象再現後に、「デバッグの無効化/デバッグログの収集」ボタンをクリックし、デバッグログが無効化され、ログが自動的に回収されます。
    ログはC:\Windows\Temp\LOGSの配下に保存されます。
  • 本ツールはOSの言語を検知し、UIの言語を表示しています。日本語以外のOSでツールを使用する場合は、英語での表示になります。
  • Deep Securityのアプリケーションコントロール機能を使用している環境では、本ツールの実行がブロックされる場合があります。
  • 本ツールはWindowsのみ使用でき、LinuxOSには対応していません。

注意事項

  1. 本ツールの2次配布および本件でお伝えしている以外の用途での利用はご遠慮ください。
  2. 上記記載の方法での使用時に発生するトラブルや他の目的での利用に関するお問い合わせは回答致しかねますので、予めご了承ください。
  3. 機能追加のご要望については6.に記載の連絡先よりお受けしますが、必ずしも実装することはお約束できないことを、予めご了承ください。
  4. 機能追加につきましては、確実にツールに反映させることをお約束できないことを、予めご了承ください。
  5. 本ツール利用前に、ツールに同梱されているReadmeをご参照ください。
Premium
Internal
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1116991
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド