Trellix Embedded Control 障害対応
TECは、アローリストに登録済みのファイルの動作を許可し、未登録のファイルの動作を制限するという極めて単純なポリシー
によるソフトウェアです。しかし予期せぬファイルの動作制限やメモリ保護機能のオーバーヘッドにより、お客様アプリケーションの
動作に不具合を生じたり、処理時間が大幅に伸びたりするケースがあります。
お客様でのデバッグプロセス、及び弊社サポート、Trellixへのサポート問い合わせについて必要な対応についてご紹介いたします。
なお、アローリスト方式はブロックリスト方式に比べると、動作負荷は軽いソリューションではありますが、セキュリティ機能を追加
している以上、オーバーヘッドはゼロではありません。必要かつ許容可能な処理時間に関してお客様側で検証とチューニング作業が必要となります。
TECの障害調査に関して
5 障害調査
5-(1) ログ調査に関して
TECはコマンド操作や動作制限に関するログをWindows Event LogやTrellix独自のログファイルに記録を行っています。
動作不具合が発生した場合は、まずはこれらを確認し、予期せぬ動作阻害が発生していないかご確認ください。
WindowsイベントビューアではApplicationログに対して、ソース: McAfee Solidifierとしてログが記録されます。
Trellixログに関してはC:\ProgramData\McAfee\Solidcore\Logsのフォルダにs3diag.log、solidcore.logとのファイルに記録されます。
イベントビューアではレベル:エラーの情報、
TrellixログではWrite_Denied、Execution_Deniedやpreventというキーワードで調査を行います。
動作制限のログが確認される場合、該当ファイルのアローリストへの追加、親プロセスへのUpdaters権限の追加などをお試しください。
5-(2) 障害調査を依頼する場合
弊社、及びTrellix社に調査を依頼する場合、下記のご対応をお願い致します。
・Gatherinfoログの提供:C:\Program Files\McAfee\Tools\GatherinfoのフォルダにGatherinfo.batというバッチファイルが
用意されています。不具合調査依頼時には、このバッチファイルを管理者権限で実行し、生成されたgatherinfo.zipをご提供ください。
・MERログの提供:Trellixに調査依頼を行う場合には
( https://supportm.trellix.com/webcenter/portal/supportportal/pages_tools/toolsWebMER )よりMER.exeをダウンロード、実行し、
生成されるtgzファイルを提供ください。
なお、ログファイル提供時は、不具合現象を再現させたのちにログの収集を実施ください。
また、調査範囲を絞り込むため、不具合現象を再現させた日時、ファイル名などの情報もご提供お願いいたします。
5-(3) 特定の場合
Windowsがブルースクリーン(BSOD)などになる場合、ログファイルに加えて、フルメモリダンプの提供もお願いいたします。
最小メモリダンプやカーネルメモリダンプでは情報が足りない為、必ずフルメモリダンプの提供をお願い致します。
5-(4) 切り分けのための確認
障害が発生した場合、切り分けのために下記点のご確認をお願いします。
・TECの最新バージョンでも再現が確認できるか?
・複数台のシステム、またはクリーン再インストールを行ったシステムで再現が確認できるか?
・TECの無効時、またUpdate Mode時に再現が確認できるか?
・“sadmin features disable mp”: メモリ保護機能を無効にして再現が確認できるか?
・”sadmin features disable checksum”: チェックサム演算機能を無効にして再現が確認できるか?
・”sadmin features disable sau”: Script as Updaters DLL hook機能を無効にして再現が確認できるか?
・”certutil –hashfile <ファイル名>”: ファイルチェックサム値の確認
・”sadmn check –r <ファイル名>”: 該当ファイルのチェックサム値の修正
5-(5) アプリケーションの動作が重くなってしまった場合
Windows機能の時間や、アプリケーションの動作が重くなってしまった場合、下記オプションを個別に評価頂きたいと思います。
・“sadmin features disable mp”: メモリ保護機能を無効にして処理時間が改善されるか?
・”sadmin features disable checksum”: チェックサム演算機能を無効にして処理時間が改善されるか?
・”sadmin config set pkgbootperf=1”: OS起動時のインストール済みアプリの整合性確認の省略
お問い合わせ
何かございましたら、下記までお問い合わせ下さい。