Trend Micro - Securing Your Journey to the Cloud ビジネス
サポート
ビジネスサポートポータルアカウントでログイン
バージョン 10.x/11.0/XG :問題発生時の調査で必要となる情報の一覧(挙動監視機能に関する問題)  

問題発生時の調査で必要となる情報の一覧(挙動監視機能に関する問題)

    • 更新日:
    • 4 Dec 2022
    • 製品/バージョン:
    • Apex One 2019
    • Apex One 2019
    • Apex One 2019
    • ウイルスバスター コーポレートエディション XG
    • ウイルスバスター コーポレートエディション XG
    • ウイルスバスター コーポレートエディション XG
    • ウイルスバスター コーポレートエディション XG.All
    • OS:
    • Windows すべて
概要
Trend Micro Apex One(以下、Apex One) において、挙動監視機能に関する問題が発生した場合、トレンドマイクロサポートセンターに調査依頼を行うために必要となる情報を教えてください。
詳細
Public

まずは、以下の製品Q&Aをご確認いただき、状況の把握、整理および問題の切り分けを実施してください。

下記に挙動検索機能に関連する問題が発生している場合、調査に必要となる情報の取得手順を記載いたします。

    新規インストールの Apex Oneサーバ、およびApex One エージェントの初期設定フォルダは以下になります。

    • Apex One サーバ: C:\Program Files\Trend Micro\Apex One\PCCSRV
    • Apex One エージェント: C:\Program Files\Trend Micro\Security Agent

    ウイルスバスター Corp. からアップグレードした Apex One の初期設定のフォルダは以下になります。

    • Apex One サーバ: C:\Program Files\Trend Micro\OfficeScan\PCCSRV
    • Apex One エージェント: C:\Program Files\Trend Micro\OfficeScan Client
     

    Case Diagnostic Tool(CDT)を使用して取得する手順

    下記手順で事象を再現させて必要なログを取得します。

    1. タイムテーブルを取得します。
      取得したログファイルを比較しながら調査を進めるため、システム時計をもとに、ログの取得時刻や作業の実行時刻をメモしておきます。
      --------------------------------------------------------------------------------
      記載例)
      2017/01/01

      10:00:00 システム時計の時刻を確認
      10:05:10 エージェントにて CDT のデバッグモードを有効化
      10:10:20 現象再現
      10:20:30 エージェントにて CDT のデバッグモードを無効化
      10:25:40 各データの取得
      --------------------------------------------------------------------------------
       
    2. Case Diagnostic Tool(以下、CDT)でイベント選択時に「Basic information」 、「Scan Related Issue」および「Behavior Monitor Issue」を選択し、デバッグモードを有効化して取得します。
      CDTの使用方法については、こちらの製品Q&Aをご覧ください。
      「Behavior Monitor Issue」は「Case Diagnostic Tool 2020 (Apex One Exclusive)」を使用時にのみ選択します。
      

    手動で取得する手順

    下記手順で事象を再現させて必要なログを取得します。

    1. タイムテーブルを取得します。
      取得したログファイルを比較しながら調査を進めるため、システム時計をもとに、ログの取得時刻や作業の実行時刻をメモしておきます。
      --------------------------------------------------------------------------------
      記載例)
      2017/01/01

      10:00:00 システム時計の時刻を確認
      10:05:10 エージェントにて Ofcdebug.log および TMFilter.log の取得を開始
      10:10:20 現象再現
      10:20:30 エージェントにて Ofcdebug.log および TMFilter.log の取得を停止
      10:25:40 各データの取得
      --------------------------------------------------------------------------------
       
    2. Apex One エージェントをインストールしたコンピュータにて、%systemdrive% に、以下の内容で Ofcdebug.ini という名のファイルを作成します。(例:C:¥Ofcdebug.ini)
      --------------------------------------------------------------------------------
      [debug]
      DebugLog=c:\temp\ofcdebug.log
      debugLevel_new=D
      debugSplitSize=1048576000
      debugSplitPeriod=24
      debugRemoveAfterSplit=1
      DebugMaxSplit=100
      RequireFreeSpace=100
      ForceStopOtherLogserver=1
      --------------------------------------------------------------------------------

      Ofcdebug.iniの解説:
      Apex One サーバの<インストールフォルダ>¥Admin フォルダにある Ofcdebug.sam が Ofcdebug.ini 用のサンプルファイルとなっています。これをコピーして Ofcdebug.sam から Ofcdebug.ini にリネームして使用することもできます。

      * DebugLog パラメータは、デバッグログのファイル名と格納するパスを指定します。
       上記設定例の場合は C:¥temp¥ofcdebug.log として出力されます。
       
    3. Apex One エージェントをアンロードします。
       
    4. 挙動監視機能関連ログの出力設定するために、以下のレジストリキーの設定値を「0x000000FF」(16進)に変更します。※存在しない場合は追加します。
      --------------------------------------------------------------------------------
      HKEY_LOCAL_MACHINE¥SOFTWARE¥TrendMicro¥Aegis
      DebugLogFlags(DWORD)
      --------------------------------------------------------------------------------

      以下のファイルパスにログファイルが出力されます。
      - Trend Micro¥OfficeScan client¥Log¥TMBMCliyyyymmdd_00.log
      - Trend Micro¥BM¥log¥TmCommengyyyymmdd_00.log
      - Trend Micro¥BM¥log¥TMPEMyyyymmdd_00.log
    5. 該当のコンピュータを再起動します。

       
    6. 現象を再現させます。

       
    7. Apex One エージェントをアンロードします。
       
    8. 挙動監視機能関連ログの出力を停止するために、以下のレジストリキーの設定値を「0」(16進)に変更します。
      --------------------------------------------------------------------------------
      HKEY_LOCAL_MACHINE¥SOFTWARE¥TrendMicro¥Aegis
      DebugLogFlags(DWORD)
      --------------------------------------------------------------------------------
    9. Apex One エージェントにて、LogServer.exe が起動している場合は、プロンプト画面を閉じて、LogServer.exe を終了させます。

      * プロンプト画面を閉じても、デバッグログの出力が停止しない場合は、LogServer.exe がまだバックグラウンドで起動している可能性があります。その場合は、Windows のタスクマネージャを起動し、[プロセス] タブにて LogServer.exe を選択し、「プロセスの終了」を実行します。

       
    10. Apex One エージェントにて、%systemdrive%¥Ofcdebug.ini を削除、またはファイル名をリネームします。

       
    11. 該当のコンピュータを再起動します。

       
    12. システムの基本情報(CDT)または msinfo32.nfoとレジストリのエクスポート情報を取得します。

      システムの基本情報は、Case Diagnostic Tool (以下、CDT)でイベント選択時に「Collect basic product information」を選択して取得します。CDTの使用方法については、こちらの製品Q&Aをご覧ください。

      CDT ログが出力できない場合には、[スタート] → [ファイル名を指定して実行] で「msinfo32」と入力して、システム情報を表示させて、msinfo32.nfo というファイル名でファイルを保存します。
      同様に[ファイル名を指定して実行]から「regedit.exe」と入力し、画面左上の「コンピュータ」を選択の上、画面上部の[ファイル]→[エクスポート]からレジストリ情報をエクスポートします。
       

    取得情報一覧

    CDT を使用して取得する手順の場合

    • CDT ログ
    • 手順実施時のタイムテーブル
     

    手動で取得する手順の場合

    • ofcdebug ログ
    • TMBMCliyyyymmdd_00.log
    • TmCommengyyyymmdd_00.log
    • TMPEMyyyymmdd_00.log
    • システム基本情報(CDT ログ、またはmsinfo32.nfo およびレジストリのエクスポート情報)
    • 手順実施時のタイムテーブル
    Premium
    Internal
    Partner
    評価:
    カテゴリ:
    動作トラブル
    Solution Id:
    1309678
    ご提案/ご意見
    このソリューションはお役に立ちましたか?

    フィードバックありがとうございました!

    *こちらに技術的なご質問などをいただきましてもご返答する事ができません.

    何卒ご了承いただきますようお願いいたします.

    To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
    We will not send you spam or share your email address.

    *This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.
    ユーザーガイド
    ユーザーガイド

    このウェブサイトは、ウェブサイトの機能性とトラフィックの分析にCookieを利用しています。 Cookie Noticeのページにて詳しい説明、Cookieに同意しない場合の設定変更方法などをご覧いただけます。

    詳しくはこちら はい、同意します