概要
Deep Security Agent (DSA) がインストールされている仮想マシンを、スナップショットへ復元しました。
それ以降にDSA上で発生しているはずのイベントが全くDeep Security Manager (DSM) 上で確認できません。
この原因と対処法を教えてください。
詳細
原因
仮想マシンのスナップショット機能やバックアップソフトウェア等を利用して、システム全体を過去の状態に復元した場合、DSMへイベントを送信する前に一時的に保存されるDSA上のローカルデータベースも過去の時点にロールバックされます。
一方で、各コンピュータのイベントが何処まで受信済みかは、DSMのデータベースに記録されており、ハートビートやポリシー受信時等で常にDSMとDSA間で同期されています。
DSA上のローカルデータベースに記録される新たなイベントには内部IDが割り当てられるものの、この内部IDはDSMと同期しておりません。
DSA上のローカルデータベースも過去の時点にロールバックされた場合、内部IDも過去の時点までロールバックされ、それ以降に発生したイベントには、DSMへ送信済みのIDよりも小さな値が割り当てられてしまい、DSA側でイベントの送信をスキップした結果として、内部イベントIDがDSMへ送信済みのIDよりも大きな値になるまでイベントが送信されません。
対処法
仮想マシンのスナップショット機能やバックアップソフトウェア等を利用して、システム全体を過去の状態に復元した場合、DSAのローカルデータベースを削除して、送信済みのイベントIDを初期化する必要があります。
-
DSAのサービスを停止します。
Windowsの場合:コマンドプロンプトを管理者として実行し、"sc stop ds_agent"コマンドを実行します。
Linuxの場合:CLIコンソールから"/etc/init.d/ds_agent stop"コマンドを実行します。
Windows版DSAでは、Agentセルフプロテクション機能が初期設定で有効化されており、サービスの停止等の操作を受け入れません。コマンドでサービスを停止する前にセルフプロテクション機能を無効化する必要があります。詳しくは以下の製品Q&Aをご参照ください。
-
以下の表を参考に、DSAのローカルデータベースを削除します。
[データフォルダ]
Windowsの場合:%ProgramData%\Trend Micro\Deep Security Agent
Linuxの場合:/var/opt/ds_agentイベント ローカルDBファイル 不正プログラム対策イベント [データフォルダ]/am/am.db Webレピュテーションイベント [データフォルダ]/wrs/wrs.db セキュリティログ監視イベント [データフォルダ]/li/lca.db 変更監視イベント [データフォルダ]/im/si.db システムイベント [データフォルダ]/dsa_core/ds_agent.db アプリケーション
コントロールイベント
(バージョン10以降のみ)[データフォルダ]/dsa_core/events.db
[データフォルダ]/ac/ac.dbファイアウォールと侵入防御イベントについて
ファイアウォールイベントおよび侵入防御イベントは、イベントの一時保管場所としてローカルデータベースを利用していないため、この事象は発生しません。
-
DSAのサービスを開始します。
Windowsの場合:コマンドプロンプトを管理者として実行し、"sc start ds_agent"コマンドを実行します。
Linuxの場合:CLIコンソールから"/etc/init.d/ds_agent start"コマンドを実行します。
