ビジネスサポートポータルアカウントでログイン
Deep Security Virtual Appliance のデバッグログの取得方法  

Deep Security Virtual Appliance のデバッグログの取得方法

    • 更新日:
    • 29 Jul 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Virtual Appliance すべて
概要
Deep Security Virtual Appliance (以下、DSVA) でデバッグログを取得する方法を教えてください。
詳細
Public
DSVA におけるデバッグログの取得方法は以下のとおりです。

DSVA のデバッグログ取得方法

  1. vSphere Client で DSVA のコンソールを開き、[Alt] + [F2] を押してdsva ユーザで CLI にログインします (CLI コンソールから通常の DSVA のメニュー画面に戻るには、[Alt] + [F1] を押します)。または、SSH でアクセスします。
  2. /etc/ds_agent.conf を作成して、内容に「Trace=*」を記述します。

    $ sudo sh -c "echo Trace=* > /etc/ds_agent.conf"

    ヒント

    DSVA 9.5 以降でログのローテート設定を変更する際は、合わせて以下 2 つのパラメータを /etc/ds_agent.conf に追加してください (いずれか一方のみでも問題ありません)。

      • dsa.log.maxSize=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
      • dsa.log.maxFiles=[最大ファイル数] / デフォルト : 5/設定可能範囲 : 1-100 
      • 例 : dsa.log.maxSize=100 (1 ログあたり 100 MB)
      • 例 : dsa.log.maxFiles=10 (10 個まで ds_agent.log/ds_agent-XX.log ログを保存)

    バージョン10以降のOVFを使用してDSVAを展開している場合、初期設定は以下のようになっております。
    dsa.log.maxSize=20
    dsa.log.maxFiles=20

  3. (不正プログラム対策機能に関する問題の場合のみ)

    vi 等のテキストエディタを使用して以下の記述をコピーし、/var/opt/ds_agent/am/ds_am.ini のファイル名で保存します。
    main=debug_level=8,vmpd_log_file_MB=10,vmpd_log_file_count=5

    ヒント

    ログのローテート設定を変更する際は、上記の2 つのパラメータを編集してください (いずれか一方のみでも問題ありません)。

      • vmpd_log_file_MB=[最大ファイル数] / デフォルト : 5
      • vmpd_log_file_count=[最大ファイルサイズ (MB)] / デフォルト : 10MB / 設定可能範囲 : 1-100 (MB)
      • 例 : vmpd_log_file_MB=100 (1 ログあたり 100 MB)
      • 例 : vmpd_log_file_count=10 (10 個まで ds_am.log/ds_am-XX.log ログを保存)
  4. ds_agent を再起動します。

    バージョン 9.5 以降

    $ sudo service ds_agent restart

  5. (不正プログラム対策機能に関する問題の場合のみ)

    バージョン 9.5 以降
    以下コマンドを 3 回 実行します。実行時、デバッグレベルが変更された旨のメッセージは出力されません。実行後、「sudo cat /var/opt/ds_agent/diag/ds_am.log | grep changed」コマンドで、debug_level が 8 以上になっていることを確認します (通常、下記コマンドで上がるレベルは 1 ですが、2 上がる場合があります。しかし、8 以上であれば出力されるログ内容に差異はないため、8 以上であれば問題はありません)。 

    #バージョン10 ビルド 10.0.0.2888 未満の場合

    $ sudo killall -USR1 ds_am

    #バージョン10 ビルド 10.0.0.2888 以上 の場合

    $ sudo kill -USR1 `pidof ds_am`

  6. (侵入防御/Web レピュテーションに関する問題の場合のみ)

    バージョン 9.5 以上のみ
    侵入防御や Web レピュテーション機能が正常に動作しない、などの事象が発生している場合は、これらの機能を担う dsa_slowpath プロセスのデバッグログを有効にするため、以下コマンドを 2 回 実行します。実行後、「cat /var/log/messages | grep debug_level」コマンドで、debug_level が 3 になっていることを確認します。

    #vShield環境 かつ
    #バージョン10 ビルド 10.0.0.2888 未満の場合

    $ sudo killall -USR1 dsa_slowpath

    #NSX環境 かつ
    #バージョン10 ビルド 10.0.0.2888 未満の場合

    $ sudo killall -USR1 dsa_slowpath_nx

    #vShield環境 かつ
    #バージョン10 ビルド 10.0.0.2888 以上の場合

    $ sudo kill -USR1 `pidof dsa_slowpath`

    #NSX環境 かつ
    #バージョン10 ビルド 10.0.0.2888 以上の場合

    $ sudo kill -USR1 `pidof dsa_slowpath_nx`

  7. 問題が再現したら、/var/log/messages、/var/log/syslog および /var/log/vmware-tools-guestd (存在する場合) を採取してください。バージョン 9.5 以降の場合、必要なログは DSVA の診断パッケージに含まれているため、診断パッケージを採取してください。ただし、手順 6. で dsa_slowpath のデバッグを有効にした場合は、/var/log/messages も別途採取する必要があります。
  8. ログ取得完了後、これまでの手順で有効にしたデバッグログを無効にします。手順 3.を実行した場合はds_agentサービスの再起動前に値を初期設定に値を修正ください。
    バージョン 9.5 以降

    sudo rm /etc/ds_agent.conf
    sudo service ds_agent restart
  9. 手順 6. を実施した場合は、さらに以下のコマンドを 2 回 実行し dsa_slowpath のデバッグを無効にします。実行後、「cat /var/log/messages | grep debug_level」コマンドで、debug_level が 1 になっていることを確認します。

#vShield環境 かつ
#バージョン10 ビルド 10.0.0.2888 未満の場合

$ sudo killall -USR2 dsa_slowpath

#NSX環境 かつ
#バージョン10 ビルド 10.0.0.2888 未満の場合

$ sudo killall -USR2 dsa_slowpath_nx

#vShield環境 かつ
#バージョン10 ビルド 10.0.0.2888 以上 の場合

$ sudo kill -USR2 `pidof dsa_slowpath`

#NSX環境 かつ
#バージョン10 ビルド 10.0.0.2888 以上の場合

$ sudo kill -USR2 `pidof dsa_slowpath_nx`

  1. バージョン 9.5 以降の場合、手順 7. 記載のとおり診断パッケージを採取してください。
$ ftpput -u <FTPユーザ名> -p <パスワード> <FTPサーバ名またはIP> <リモートファイル名> <ローカルファイル名>

(例: ftpput -u user1 -p password 192.168.1.1 messages messages )

※ Windows の共有フォルダへ CIFS マウントしてのファイルコピーや、TeraTerm などのターミナルソフトでの SCP によるファイル転送でも問題ありません。詳細はパケット採取方法の製品Q&Aをご確認ください。

ESXi (Filter Driver) のデバッグログ (パケットトレース) 取得方法

DSVA で保護された特定の仮想マシンで意図せず通信がブロックされている等、仮想マシン単位での通信の問題が発生している場合、以下の手順でESXiホストのvmkernel.logも取得してください。

      1. 事象が発生する仮想マシンをシャットダウンします。
      2. vSphere Clientで仮想マシンのプロパティを開きます。
      3. [オプション]タブの[詳細]-[全般]を選択し、「構成パラメータ」をクリックします。

      4. [行の追加]をクリックし、以下の行を追加します。
        名前:ethernet0.filter0.param3
        値:PKT_TRACE=1

      5. [OK]をクリックして設定を保存し、仮想マシンを起動します。
      6. 事象を再現します。
      7. 事象が発生した仮想マシンをシャットダウンし、追加した構成パラメータを削除します。
        構成パラメータを削除するには、DSVAをシャットダウンし、ESXiサービスコンソールにログインし、DSVAのvmxファイルから以下の行を削除することで可能です。

        ethernet0.filter0.param3 = "PKT_TRACE=1"
      8. vSphere ClientからESXiホストを選択し、[ファイル]-[エクスポート]-[システムログのエクスポート]からシステムログをエクスポートします。

システムログの選択画面では、多数のチェックボックスが存在しますが、基本的には[System][Configuration][Logs]の3種類のみで結構です。他の項目は任意で取得します。

Premium
Internal
評価:
カテゴリ:
動作トラブル
Solution Id:
1311719
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド