シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

[CSC/AMP] Windows ConnectorでのDiagnosticファイル取得方法

     

    はじめに

    DiagnosticはAMPのトラブルが発生した際に、解析調査を行うためのログを集約したファイルであり、TACでのケースオープン時には必ず必要となります。本記事では、主にAMPで何かしらの問題が発生した場合でDiagnosticの取得方法について説明いたします。

    前提条件

    本記事の記述内容は、以下の環境で確認をしております。バージョンによって差異が出ないよう作成しておりますが、仕様変更によって将来的に変更される場合もございますので、必ず評価環境でご確認をいただけたらと思います。

    • Windows 7
    • FireAMP Connector v4.2.1.10103
    • FireAMP Console v5.3.20160322

    Debug Modeの有効化

    Debug modeを有効化することによって、Diagnosticへ保存されるログがより詳細なものとなり、より深い解析が可能となります。
    Debug modeはデフォルトの状態では無効化されておりますが、無効化された状態のDiagnosticを取得して、TACへケースオープンをしてもしばしば不十分であることがございます。
    商用環境等で、頻繁にDiagnosticを取得することが難しい場合は、TACへのケースオープンの前にDebug modeを有効にした状態での事象発生と、Diagnostic取得をいただくことをお勧めいたします。

    なお、Debug modeを有効にした場合、ログのファイルサイズが非常に大きくなる場合もございます。
    ログファイルサイズが問題となる場合は、必要なログを取得した後は、無効にすることをお勧めいたします。

    以下、Debug modeの有効化方法について説明いたします。

    FireAMP Consoleにログインします。



    Management -> Policyを選択し、Policyの一覧を表示します。



    Diagnosticを取得する対象のPCが所属するGroup内のPolicyでEditをクリックします。



    なお、適用されているPolicyについてはWindowsのConnectorから以下の通り確認可能です。


    Policy内のAdministrative Featuresから、Connector Log LevelおよびTray Log LevelをDebugに変更します。



    Update Policyをクリックして、Policyの更新を完了させます。



    WindowsのConnectorを開き、Settingsをクリックし、Sync Policyを実行しし先ほどのPolicyをアップデートします。

     

    なお、前回Policyをアップデートしたタイミングが直前の場合、Policyをアップデートができない場合がございますが、その場合はしばらく待って実行していただくか、手動でPolicyを更新していただく必要があります。
    Policyが更新されたらDebug modeの有効化が完了となります。

    事象の再現

    問題となっている事象の再現を行います。
    特にDebug modeを有効にした後で、事象の再現を行うことを忘れないでください。
    Debug modeが有効になっていない状態で取得したログはDebugにはなりません。
    また、事象を再現させた時刻を記録してください。
    解析でログを絞り込むのに必要な情報となります。

    Diagnosticの取得

    Debug modeの設定および事象の再現が完了したら、Diagnosticを生成します。

    GUIからの取得方法

    スタートメニューから
    全てのプログラム-> FireAMP Connector -> Support Diagnostic Toolを実行します。



    しばらくすると、以下のように、Desktop上に以下のファイルが生成されていることが確認できます。

    以下形式のファイルが、生成されたDiagnosticファイルとなります。
    Sourcefire_Support_Tool_YYYY_MM_DD_XX_XX_XX.7z

     

    CLIからの取得方法

     

    コマンドプロンプトを開いて、以下を実行します。

    C:\Program Files\Sourcefire\fireAMP\X.X.X\ipsupporttool.exe
    (X.X.Xはバージョンを入力)



    GUIと同様に完了後、Desktop上にDiagnosticファイルが生成されていることが確認できます。

    終わりに

    Diagnosticsを生成した後、必要に応じてDebug modeを無効化に戻すことを忘れないようにしてください。

     

    220
    閲覧回数
    0
    いいね!
    0
    コメント