Deep Security 9.0 以降より、”Deep Packet Inspection”および”DPI” が"侵入防御" に名称変更されました。
現象
Deep Security Virtual Applianceで保護している仮想マシンで、「Interfaces Out of Sync / インタフェースの非同期」の警告が発生します。
この状態では、仮想マシンに対する保護が正常に行われていない可能性があります。
システムイベントには次のようなイベントが記録されます。
※本事象はFilter Driverを使用している場合のみ発生いたしますので、DS9.6以降では発生いたしません。
<ケース1>
| Level: Warning Event ID: 368 Event: Interfaces Out of Sync Description: One or more of the virtual machines monitored by a Deep Security Virtual Appliance (dsva) has reported that its interfaces are out of sync with the filter driver. This means that the Appliance may not be properly monitoring the virtual machine's interfaces. The virtual machine may require manual intervention such as a configuration change, or a restart, to correct the issue. The interfaces that are found to be out of sync are: MAC: 00:50:56:85:00:B6 - Device ID: 1 - Source: Manager |
| レベル: 警告 イベントID: 368 イベント: インタフェースの非同期 説明: Deep Security Virtual Appliance (dsva) によって監視されている1つ以上の仮想マシンで、インタフェースがFilter Driverと同期していないことがレポートされました。これは、Applianceが仮想マシンのインタフェースを適切に監視していない可能性があることを意味しています。問題を解決するには、設定の変更や再起動などの手動操作を仮想マシンで実行しなければならないことがあります。同期していないインタフェースは、次のとおりです: MAC: 00:50:56:85:00:B6 - デバイス ID: 1 - ダウンロード元: Manager |
<ケース2>
| Level: Warning Event ID: 368 Event: Interfaces Out of Sync Description: An error occurred verifying the monitored interfaces for the Virtual Machine. This could be due to an incorrect Network Adapter configuration on the Deep Security Virtual Appliance. Check to ensure the Network Adapters are properly configured for the Virtual Appliance in vCenter. Error: Operation failed. ioctl failed |
| レベル: 警告 イベントID: 368 イベント: インタフェースの非同期 説明: 監視している仮想マシンのインタフェースの確認時にエラーが発生しました。これは、Deep Security Virtual Applianceのネットワークアダプタが正しく設定されていないことが原因である可能性があります。vCenterでVirtual Applianceのネットワークアダプタが正しく設定されていることを確認してください。エラー: Operation failed. ioctl failed |
原因
Trend Micro Deep Securityでは、次の二つの経路から仮想マシンのインターフェース情報を取得します。
・Deep Security ManagerがVMware vCenter Serverから取得
・DSVAがVMsafe-Net APIを使用してFilter Driverから取得
この二つの情報が一致しない場合(片方の情報が取得できない場合も含む)、「Intefaces Out of Sync / インタフェースの非同期」の警告が発生します。
(例)
・仮想マシンの作成や有効化の直後で、まだ情報が同期されていない。
・Deep Security Manager (以下、DSM)と vCenter Serverの通信に失敗している。
・有効化[Activate]された状態の仮想マシンのクローンを作成した。
・DSVAを強制的にリセットした。
・FilterDriverが正常に読み込まれていない。
・VMware DRSの設定を自動化している場合にデスクトップを再構成(Recompose)、更新(Refresh)、再分散(Rebalance)した。
・vmxファイルとvCenterおよびDSM間で仮想マシンのMACアドレス情報が一致していない
VMware DRSの設定を“一部自動化、完全自動化”している場合は、デスクトップの再構成(Recompose)、更新(Refresh)、再分散(Rebalance)前にvCenter側でDRSの設定を一時的に手動にしてから実行してください。
- デスクトップ再展開後に「別のESXへの移動後に仮想マシンが未保護」というエラーが出る場合がありますが、その他のエラーが同仮想マシン上で出力されなければ、無視して問題ありません。
復旧方法
<ケース1>
一時的に不整合が発生している場合は、数分後に情報が同期されて自動的に復旧します。
自動的に復旧しない場合や、すぐに復旧したい場合は、次のいずれかの手順を行って強制的に同期を行ってください。
- 仮想マシンを一旦サスペンドし、再度パワーオンする。
- 仮想マシンを一旦シャットダウンし、再度パワーオンする。(再起動ではなくオフ/オンが必要です。)
- DSVAを一旦無効化/Deactivateし、再度有効化/Activateする。
- 別の保護されているESXサーバにvMotionする。
- 仮想マシンを一旦インベントリから削除し、データストア上のvmxファイルを右クリックして「インベントリへの追加」によって再登録する
- 現在は利用していないインタフェースが存在する場合、DSMの管理コンソール上から該当仮想マシンのプロパティを開き、「インタフェース」画面から「この非アクティブなインタフェースをDeep Security Managerから削除」のチェックを入れて保存する
- DSMの管理コンソール上からvCenterを右クリックし、「今すぐ同期」を選択して手動で同期を取る
vCenterとの同期は基本的にvCenter側から常時行われております。手動での同期を実施しなければ常に事象が再発している場合、vCenter Server もしくはDSMのリソース不足や過負荷に起因している可能性が想定されます。その場合にはDSMおよびvCenter Server のシステムを再起動してください。再起動後、一時的には事象が改善できるものの、短期間で再発するようであれば、DSMもしくはvCenter Server のシステムが不足している可能性が想定されますので、メモリ増設や負荷分散等をご検討ください。
以上の手順を行っても復旧しない場合は、ネットワーク接続を確認してください。
有効化したままのマスター仮想マシンから作成されたクローンを再構成した際には、ESXiのvmkernelログに次のようなエラーが記録されます。
<ケース2>
FilterDriverが正常に読み込まれていない可能性があります。次の製品Q&Aを参照して、FilterDriverが正常に読み込まれているか確認してください。
「オフラインのFilter Driver / Filter Driver Offline」のエラーが発生する
FilterDriverが正常に読み込まれている事を確認できたら、次の手順でDSVAを再起動して同期を実行してください。
- vSphere ClientでDSVAのコンソールを開きます。
- [F2]キーを押して、dsvaユーザでログインします。
- メニューから [Reboot System] を選択して再起動します。
- ケース1と同様の方法で強制的に同期を行います。
