ビジネスサポートポータルアカウントでログイン
システムの復元後、イベントが送信されなくなる  

システムの復元後、イベントが送信されなくなる

    • 更新日:
    • 23 Oct 2017
    • 製品/バージョン:
    • Trend Micro Deep Security All.All
    • Trend Micro Deep Security as a Service All.All
    • OS:
    • Linux すべて
    • UNIX すべて
    • Windows All
概要
Deep Security Agent (DSA) がインストールされている仮想マシンを、スナップショットへ復元しました。
それ以降にDSA上で発生しているはずのイベントが全くDeep Security Manager (DSM) 上で確認できません。
この原因と対処法を教えてください。
詳細
Public

原因

仮想マシンのスナップショット機能やバックアップソフトウェア等を利用して、システム全体を過去の状態に復元した場合、DSMへイベントを送信する前に一時的に保存されるDSA上のローカルデータベースも過去の時点にロールバックされます。
一方で、各コンピュータのイベントが何処まで受信済みかは、DSMのデータベースに記録されており、ハートビートやポリシー受信時等で常にDSMとDSA間で同期されています。
DSA上のローカルデータベースに記録される新たなイベントには内部IDが割り当てられるものの、この内部IDはDSMと同期しておりません。
DSA上のローカルデータベースも過去の時点にロールバックされた場合、内部IDも過去の時点までロールバックされ、それ以降に発生したイベントには、DSMへ送信済みのIDよりも小さな値が割り当てられてしまい、DSA側でイベントの送信をスキップした結果として、内部イベントIDがDSMへ送信済みのIDよりも大きな値になるまでイベントが送信されません。


対処法

仮想マシンのスナップショット機能やバックアップソフトウェア等を利用して、システム全体を過去の状態に復元した場合、DSAのローカルデータベースを削除して、送信済みのイベントIDを初期化する必要があります。
  1. DSAのサービスを停止します。

    Windowsの場合:コマンドプロンプトを管理者として実行し、"sc stop ds_agent"コマンドを実行します。

    Linuxの場合:CLIコンソールから"/etc/init.d/ds_agent stop"コマンドを実行します。

Windows版DSAでは、Agentセルフプロテクション機能が初期設定で有効化されており、サービスの停止等の操作を受け入れません。コマンドでサービスを停止する前にセルフプロテクション機能を無効化する必要があります。詳しくは以下の製品Q&Aをご参照ください。

  1. 以下の表を参考に、DSAのローカルデータベースを削除します。

    [データフォルダ]
    Windowsの場合:%ProgramData%\Trend Micro\Deep Security Agent
    Linuxの場合:/var/opt/ds_agent

    イベントローカルDBファイル
    不正プログラム対策イベント[データフォルダ]/am/am.db
    Webレピュテーションイベント[データフォルダ]/wrs/wrs.db
    セキュリティログ監視イベント[データフォルダ]/li/lca.db
    変更監視イベント[データフォルダ]/im/si.db
    システムイベント[データフォルダ]/dsa_core/ds_agent.db
    アプリケーション
    コントロールイベント
    (バージョン10以降のみ)
    [データフォルダ]/dsa_core/events.db
    [データフォルダ]/ac/ac.db

    ファイアウォールと侵入防御イベントについて

    ファイアウォールイベントおよび侵入防御イベントは、イベントの一時保管場所としてローカルデータベースを利用していないため、この事象は発生しません。

  2. DSAのサービスを開始します。

    Windowsの場合:コマンドプロンプトを管理者として実行し、"sc start ds_agent"コマンドを実行します。

    Linuxの場合:CLIコンソールから"/etc/init.d/ds_agent start"コマンドを実行します。

Premium
Internal
評価:
カテゴリ:
動作トラブル
Solution Id:
1118623
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド