Trend Micro の Deep Security(Agent レス)において、 よくあるエラーと対処方法を紹介します。
Deep Security とは
Deep Security Virtual Appliance(DSVA)が VMware ハイパーバイザーと連携し、各仮想マシンにセキュリティ対策ソフトをインストールすることなく、アンチウィルス対策機能を提供することができます。
主な特徴は、以下のとおりです。
- 各仮想マシンごとのソフトインストールが不要
- セキュリティ対策時は共有リソースを使用するため、消費リソースを節約できる。[1]DSVA がウィルス検索処理を実行する。
- 各種コンポーネントは DSVA のみに配信されるため、各マシンの容量を節約できる。
エラー:不正プログラム対策エンジンがオフライン
Deep Seuciry(Agent レス)において、「不正プログラム対策エンジンがオフライン」のエラーが発生する場合があります。このエラーが発生した場合、対象の仮想マシンは「無保護」状態となるため、放置していると感染リスクが高まります。
基本的には、「トラブルシューティングガイド」に沿って診断と対処を行いますが、経験上、最も多いのはソフトウェアの不具合とリソース不足になります。ソフトウェアが最新かつ、リソースも問題ない場合、以下の対処が解決することがあります。[2]Deep Security 11.0 と NSX 6.4.4 の組み合わせが前提です。
特定の仮想マシンのみで事象が発生している場合
考えられる原因
- 仮想マシンがスリープ状態になっている。
- VMware Tools が起動していない。
- vsepflt/vmci ドライバーが停止している。
- NSX のセキュリティグループ/セキュリティポリシー設定に誤りがある。
対策
vsepflt/vmci ドライバーの状態は、対象の仮想マシンにログインして、コマンドで確認できます。
sc query vsepflt
sc query vmciSTATE が RUNNING になっていれば問題ありませんが、それ以外の場合は、VMware Tools の再インストールを実施する必要があります。
特定の ESX 上の全ての仮想マシンで事象が発生している場合
考えられる原因
- Deep Security Agent のプロセスが正常に動作していない。
- vShield-Endpoint-Mux プロセスが正常に動作していない。
対策
- 対象の DSVA へログインして、以下のコマンドで Deep Security Agent を再起動します。
service ds_agent restart - 対象の ESX にログインして、以下のコマンドで vShield-Endpoint-Mux を再起動します。
/etc/init.d/vShield-Endpoint-Mux restart
エラー:セキュリティアップデートに失敗
セキュリティアップデートに失敗する場合のトラブルシューティングは、基本的に「セキュリティアップデートが失敗する場合のトラブルシューティング方法」にそって実施していきますが、こちらに記載されている以外に「証明書関連」の問題を経験しましたのでご紹介します。
エラー内容
DSM(Deep Security Manager)側では、「セキュリティアップデート:Agent/Appliance でのパターンファイルのアップデート失敗」、Deep Security Relay 側では、「セキュリティアップデート:セキュリティアップデートの確認とダウンロード失敗」のエラーが表示されます。
原因と対策
考えられる原因
Deep Security 11.0 では、セキュリティアップデートでプロキシサーバーを経由する場合、プロキシ側で TLS 通信を証明書情報が置き換えられる等により、TLS 認証で問題(証明書情報の不一致)が発生し、セキュリティアップデートに失敗する場合があります。
対策
DSM 管理コンソールの「管理」>「システム設定」>「アップデート」の「セキュリティアップデート元」にて、「その他のアップデート元」にチェックを入れ、以下のように記述します。
https://ipv6-iaus.trendmicro.com/iau_server.dll//URL の末尾に / が追加されています。/ を追加することで、アップデートサーバーの TLS 認証が無効となります。
以上