收集log

1. 依據您的產品版本:
   • 版本為OfficeScan:
     1. 將OSCE Agent安裝路徑\PCCSRV\Private\LogServer\ofcdebugEx.ini從OSCE Server複製到 OSCE Agent的C根目錄
     2. 將ofcdebugEx.ini重新命名為ofcdebug.ini
   • 版本為 Apex One:
     1. 將ofcdebug.ini複製到C根目錄，該檔案路徑如下 Apex One Agent安裝路徑\Program Files (x86)\Trend Micro\OfficeScan Client\Temp\LogServer 或 Apex One Agent安裝路徑\Program Files (x86)\Trend Micro\Security Agent\Temp\LogServer
     2. 修改C根目錄的ofcdebug.ini檔案

        如果需要調整log的分割大小，可以調整參數 " debugSplitSize " ，預設值為10MB

        預設狀況下DebugMaxSplit=100，分割log的總數限制為100個檔案

        1. 將DebugLog=.\Log\ofcdebug.log 改為 DebugLog=.\ofcdebug.log
        2. 將 debugLevel_new=E 更改為 debugLevel_new=D
        3. 將ForceStopOtherLogserver=0 更改為 ForceStopOtherLogserver=1
        4. 調整完設定之後儲存檔案
2. 卸載Apex One Agent 或 OSCE Agent
3. 以系統管理員身分執行命令提示字元
4. 執行以下指令 net stop tmumh(停止UMH)
5. 從以下連結下載DebugView DebugView v4.81。
6. 以系統管理員身分開啟DebugView，點選Capture，並從選單中勾選以下項目 Capture Win32, Capture Global Win32, Caputer Kernel, Enable Verbose Kernel Output, Pass-Through,Capture Events

   

7. 將卸載的Apex One Agent 或 OSCE Agent重新啟動，並確保以下程序正常運行 tmccsf.exe, tmbmsrv.exe, ntrtscan.exe,tmlisten.exe 另外，請一併確認tmumh 正常運行(可透過指令sc query tmumh進行確認)
8. 重現問題
9. 收集以下資訊
   • C:\CCSF_DebugLog.log
   • C:\osceDB.log
   • Dbgview.exe的 Driver log

   

10. 取得UMH相關檔案:
    • \CCSF\module\20019
    • %windir%\system32\tmumh
    • %windir%\syswow64\tmumh
    • %windir%\system32\drivers\tmumh.sys
11. 取得以下UMH相關機碼:
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tmumh
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\GlobalFlag
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows