ビジネスサポートポータルアカウントでログイン
Deep Security 情報採取手順  

Deep Security 情報採取手順

    • 更新日:
    • 18 Jun 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Linux すべて
    • Solaris すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
調査の際に必要となる情報と取得方法を教えてください。
Deep Security : DS
Deep Security Manager : DSM
Deep Security Agent : DSA
Deep Security Virtual Appliance : DSVA
詳細
Public

【推奨】ツールを使用した場合のDSの情報取得

ツールをご利用いただいた場合、以下「ツールを使用しない場合のDSの情報取得手順」の情報を一括で取得することができます。

ツールの使い方については、以下Q&Aをご参照ください。
Q&A:Deep Security ログ取得支援ツールについて

<ツールで取得できる情報>
・DSM、DSA、DSVA、エージェントレス保護マシンの診断パッケージ
・DSの各種イベントログ

※Linux環境のDSAの診断パッケージを取得いただく際、調査に有益なファイルのサイズが大きく取得できない場合がございます。
お手数ですが、以下の URL を参考に作成したファイルも合わせて取得してください。
Q&A:dsa-state-capture-output.txt の手動作成方法

※デバッグログを取得いただく場合は、ツールを実行する前に「ツールを使用しない場合のDSの情報取得手順」欄の「3.デバッグログ取得手順」でデバッグの設定を有効にしてください。

ツールを使用しない場合のDSの情報取得

■1.DSのシステムイベント取得手順

  1. システムイベントを取得する前に、管理コンソールで画面右上のログオン名の部分をクリックして、ユーザプロパティを選択します。

  2. ログオン名のプロパティ画面が開きますので、言語を[日本語]から[English (US)]に変更し、適用ボタンを押します。

  3. DSM管理コンソール [Administration] > [System Settings] > [Advanced] タブのExport欄を下記のように設定してください。
    ・Exported file Character Encoding: UTF-8

  4. コンソールの表示が英語になりますので、その後[Events & Reports] -[System Events]を選択します。

  5. [Period]を[Custom Range]にして、現象発生前から発生後までの時刻を[from]および[to]に入力して、[Computer]を[All Computers]に指定して、右の矢印を押してイベントをクエリします。

  6. [Export]の右側の下向きの三角をクリックして、[Export to CSV (With Full Descriptions)...]を押して、出力されたログをご提供ください。

  7. システムイベント取得後は、設定を日本語に戻してください。

  8. 設定を日本語に戻した上で、同じ期間のシステムイベントを出力し、こちらもご提供ください。

※製品機能で発生日時にイベントが出ております場合は、同様に対象機能のイベントも合わせて取得の上、ご提供ください。

※エクスポートしたイベントログが文字化けしていないことを確認してください。
 文字化けしている場合は、下記の URL を参照の上、文字エンコードを変更し、再度取得してください。
Q&A:エクスポートしたイベントログが文字化けする時の対処方法

■2.診断パッケージの取得手順

以下Q&Aを参照いただき、DSM、DSA、DSVAの診断パッケージをご取得ください。
Q&A:[9.x] [10.x]診断パッケージ (Diagnostic Package) の取得方法

※デバッグログをご取得いただく場合、「3.デバッグログ取得手順」を実施した後、「2.診断パッケージの取得手順」を実施してください。
※Linux環境のDSAの診断パッケージを取得いただく際、調査に有益なファイルのサイズが大きく取得できない場合がございます。
お手数ですが、以下の URL を参考に作成したファイルも合わせて取得してください。
Q&A:dsa-state-capture-output.txt の手動作成方法

■3.デバッグログ取得手順

以下Q&Aを参照いただき、必要なコンポーネントのデバッグログをご取得ください。
(a)Q&A:Deep Security Manager のデバッグログ取得方法
(b)Q&A:Deep Security Agentのデバッグログ取得方法
(c)Q&A:Deep Security Virtual Appliance のデバッグログの取得方法
(d)Q&A:Deep Security Notifier 9.x のデバッグログ取得方法

また、デバッグログを取得いただいた際のタイムテーブルをメモしてください。
▼例
10月1日 0時0分 DSAのデバッグを有効化
10月1日 0時5分 事象を再現
10月1日 0時10分 DSAのデバッグを無効化
10月1日 0時15分 DSAの診断パッケージを取得

OSの情報取得手順(Windows環境)

■1.システム情報

発生環境がWindowsの場合、msinfo32.infoを取得してください。

■msinfoファイルの取得例
1.Windowsボタン + Rを押して、ファイル名を実行ウインドウが開きます。
2.「msinfo32」と入力してOKを押します。左上のファイルより「上書き保存」を選択し、システム情報ファイル (*.NFO) として保存してご提供ください。
※テキストファイルではなく、*.NFO形式で取得をしてください。
※DSAの診断パッケージをご取得いただいている場合は、msinfoファイルの取得は不要です。

■インストールプログラム一覧の取得例
Windowsのコントールパネルからインストールされているプログラム一覧が確認可能なスクリーンショットをご提供ください。
※1枚に収まらない場合は全体が確認出来るよう複数に分けて取得ください。

■2.イベントログ

[コントロールパネル]>[管理ツール]>[イベントビューアー]を開きます。
[Windowsログ]配下の「Application」、「システム」、「セキュリティ」のいずれかで右クリック>[すべてのイベントを名前をつけて保存]をクリックします。

■3.パフォーマンス関連情報

[Ctrl]+[Shift]+[Esc]を同時押ししてタスクマネージャを開き、[プロセス]タブからCPU使用率/メモリ使用量の高いプロセスを判断できる画面のスクリーンショットを取得します。

■4.ダンプファイル

システムがハングアップしている場合、[Ctrl]キーを押しながら[ScrollLock]キーを2回押す事によって強制的にブルースクリーンエラーを発生させるWindowsの機能を利用して事象発生時の完全メモリダンプを取得します。詳細は以下のMicrosoft社技術情報を参照してください。

ブルースクリーンエラーが発生する事象の場合、事前に完全メモリダンプを出力する設定にした上で事象発生後のメモリダンプを取得します。詳細は以下のMicrosoft社技術情報を参照してください。

■5.パケットキャプチャ

 ▼Windows OS標準のコマンドを使用してパケットキャプチャを取得する場合
(1)管理者権限でコマンドプロンプトを起動します。
(2)「netsh trace start capture=yes」を実行し、パケットの取得を開始します。
(3)事象を再現させます。
(4)パケットを終了する場合、「netsh trace stop」を実行します。
(5)パケットデータが出力されたファイル(*.etl)を回収します。
 ファイルの出力先は、(4)のコマンドの実行画面に表示されます。

※長時間パケットキャプチャ実行した場合、ファイルサイズが大きくなることがございますので、ディスクの空き容量にはご注意ください。

OSの情報取得手順(Linux環境の場合)

■1.システム情報

以下コマンドを実施し作成されたファイルをご提供ください。

# uname -a > uname.txt
# rpm -qa > rpm.txt
#cat /etc/*-release > LinVer.txt

■2.システムログ

該当マシンの「/var/log/」にある事象発生日時を含むmessagesファイルをご提供ください。

■3.パフォーマンス関連情報

(1)sosreportコマンドが実行できる場合
 sosreportコマンドを実行し、生成された「sosreport-XXXXX.tar.xz」ファイルをご提供ください。
 ※ダイアログが表示された場合は、Enterキーを押下して実行ください。

(2)sosreportコマンドが実行できない場合
下記コマンドを実行し、生成されたファイルをご提供ください。
負荷が高くなる時間帯・条件が限定されている場合、負荷が高い状況と、高くない状況のログを取得ください。
# top -b -d 10 -n 6 > top_result.txt
# sar -A > sar_result.txt

※topコマンドでは10秒間隔で6回ログを取得しますので、約1分ほど完了まで時間がかかります。

■4.ダンプファイル

現象発生時刻と同じ日時のダンプが存在する場合取得をお願いします。以下のコマンドで検索してください。  
# find / -type f -regex ".*/core.[0-9]+"  
# find / -type f -regex ".*/vmcore+"  
ファイルが生成されていない場合、下記のリンクの記載にあるQ&Aを参考にダンプファイルが作成されるかご確認の上、取得してください。  
Q&A:Red Hat Enterprise Linux 用 Agent での core ファイルの生成方法

※DSVAの場合は、vSphere Client から対象の DSVA のコンソールを開き、Alt+F2 キーを押し、CLI に dsva ユーザでログイン(PW:dsva)してダンプファイルを 採取してください。「/home/dsva/core.[ds_agentプロセスのPID] 」のファイル名でダンプファイルが保存されます。

※OSサポートベンダー様へダンプファイルの解析等を依頼いただいたうえで、事象がDSに起因していると判明した場合は、ベンダー様からの調査結果や見解の全文をご提供ください。

■5.パケットキャプチャ

(1)対象のマシンにログイン後、任意のディレクトリに移動し以下コマンドを実行します。
Linuxの場合:tcpdump -v -s 1500 -w [保存ファイル名]
Solarisの場合:snoop –x50,500 –v –o [保存ファイル名]

また、マシン上にNICが複数存在している場合は、以下のように特定のNICの通信のみキャプチャすることがでいます。
Linuxの場合:tcpdump -v -s 1500 -w [保存ファイル名] host [対象IPアドレス] -i [対象NIC名]
Solarisの場合:snoop –x50,500 –v –o [保存ファイル名] inet [対象IPアドレス] -d [対象NIC名] 

※カレントディレクトリ上に上記コマンドの「任意のファイル名」でパケットキャプチャが保存されます。

(2)事象を再現させます。
(3)事象再現後、「Ctrl+C」でコマンドを停止させ、保存したファイルを取得します。

※長時間ンパケットキャプチャ実行した場合、ファイルサイズが大きくなることがございますので、ディスクの空き容量にはご注意ください。

事象の詳細、環境情報について

■1.VMware社製品情報

DSVA 保護環境の場合、以下のコンポーネントで利用されているものがありましたら、バージョン/ビルドをお知らせください。 

・ESXiのバージョン/ビルド番号  
・vShield Managerのバージョン/ビルド番号  
・NSX Managerのバージョン/ビルド番号  
・vShield Endpointのバージョン/ビルド番号  
・VMware toolsのバージョン/ビルド番号  

また、NSX環境であるか、vShield環境であるかをお知らせください。
NSX環境の場合は、ご利用のライセンス(無償版/有償版)も合わせてお知らせください。
※DSVA 保護環境の場合、Agentレスを前提として調査を行いますが、コンバインモードや協調型保護などのAgentによる保護もされている 場合は、その旨をお知らせください。

■2.事象が発生している台数

【全体の保護台数】および【現象の発生台数】をお知らせください。
一部の端末で発生する場合、【正常端末との差違】がある場合はお知らせください。

例: 【全体の保護台数】
DSMの台数:1台  
DSAの台数:5台  
DSVAの台数:3台  

DSVA保護対象仮想マシン台数  
DSVA 1:10台  
DSVA 2:8台  
DSVA 3:12台 

【現象の発生台数】  
DSVA 1:10台 

【正常端末との差違】  
特定のDSVA保護仮想マシンでのみ発生する

■3.切り分け結果

既に実施された切り分けがございましたら、その結果をお知らせください。
他アンチウイルスソフトを併用されている場合は製品名をお知らせください。
通信に関する障害の場合は、DSMと現象発生コンピュータ間の通信が NAT環境かどうかもお知らせください。

■4.再現性(事象の発生頻度)

再現頻度をお知らせください。また、再現前に実施された操作がございましたら、お知らせください。
意図的に再現することが可能でしたら、具体的な再現方法をお知らせください。

■5.エラーメッセージ(事象と判断された情報)

正確なエラーメッセージをお知らせください。可能でしたら、ログまたはスクリーンショットで提供ください。 取得できない場合はその旨をお知らせください。
エラーメッセージの無い事象にございましたら、事象と判断された  具体的な情報をお知らせください。

■6.初回発生日時

初回発生日時をお知らせください。不明な場合は気が付いた日時をお知らせください。
また、再現性がある場合、診断パッケージを取得前に発生した最新の日時もお知らせください。
DSをインストール/構築日時もお分かりであればお知らせください。

■7.事象発生個所

事象が発生した具体的なポイントをお知らせください。対象となる端末(IPアドレス、ホスト名、DSA/DSVA保護の有無)を お知らせください。
関連する端末がございましたら、関連する端末情報とどのように関連があるかもお知らせください。

■8.インパクトおよび発生レベル(ワークアラウンド(回避策)の有無)

現象が発生することによって、作業に遅れが出ている等をお知らせください。もし、回避方法が判明している場合はお知らせください。

■9.クラウド環境の有無

 クラウド環境の場合はクラウドのプラットフォームをお知らせください。※AWS環境の場合はAMIIDをお知らせください。

■10.OSサポート側の調査結果

DSに起因していると判断された調査結果をお知らせください。

■11.Acount Name(DSaaS環境の場合)

調査をするうえで該当アカウントの Account Name の情報が必要となる場合があります。管理コンソールにログインする際に使用する Account Nameの情報をお知らせください。
※ご提供いただいたアカウント名を元に、弊社よりお客様の管理コンソールにアクセスを行い、詳細調査を実施する場合がございます。この際、システムイベントログに「support_xxxxx」のログ (ログインユーザ名:support_xxxxx) が残りますが、第3者からの不正なアクセスではございませんので、ご安心下さい。
 "xxxxxx"の箇所はランダムな英数字が入ります。

事象別の調査に必要な情報

問題の切り分けができている場合、追加で下記情報を取得してください。

Premium
Internal
評価:
カテゴリ:
動作トラブル; 操作方法/設定
Solution Id:
1117512
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド