header_softwareCloud

Trellix Embedded Control 障害対応

TECは、アローリストに登録済みのファイルの動作を許可し、未登録のファイルの動作を制限するという極めて単純なポリシー によるソフトウェアです。しかし予期せぬファイルの動作制限やメモリ保護機能のオーバーヘッドにより、お客様アプリケーションの 動作に不具合を生じたり、処理時間が大幅に伸びたりするケースがあります。
お客様でのデバッグプロセス、及び弊社サポート、Trellixへのサポート問い合わせについて必要な対応についてご紹介いたします。

なお、アローリスト方式はブロックリスト方式に比べると、動作負荷は軽いソリューションではありますが、セキュリティ機能を追加 している以上、オーバーヘッドはゼロではありません。必要かつ許容可能な処理時間に関してお客様側で検証とチューニング作業が必要となります。

TECの障害調査に関して

5 障害調査

 5-(1) ログ調査に関して

TECはコマンド操作や動作制限に関するログをWindows Event LogやTrellix独自のログファイルに記録を行っています。
動作不具合が発生した場合は、まずはこれらを確認し、予期せぬ動作阻害が発生していないかご確認ください。

WindowsイベントビューアではApplicationログに対して、ソース: McAfee Solidifierとしてログが記録されます。
Trellixログに関してはC:\ProgramData\McAfee\Solidcore\Logsのフォルダにs3diag.log、solidcore.logとのファイルに記録されます。

イベントビューアではレベル:エラーの情報、
TrellixログではWrite_Denied、Execution_Deniedやpreventというキーワードで調査を行います。

動作制限のログが確認される場合、該当ファイルのアローリストへの追加、親プロセスへのUpdaters権限の追加などをお試しください。

 5-(2) 障害調査を依頼する場合

弊社、及びTrellix社に調査を依頼する場合、下記のご対応をお願い致します。

・Gatherinfoログの提供:C:\Program Files\McAfee\Tools\GatherinfoのフォルダにGatherinfo.batというバッチファイルが
用意されています。不具合調査依頼時には、このバッチファイルを管理者権限で実行し、生成されたgatherinfo.zipをご提供ください。

・MERログの提供:Trellixに調査依頼を行う場合には
https://supportm.trellix.com/webcenter/portal/supportportal/pages_tools/toolsWebMER )よりMER.exeをダウンロード、実行し、
生成されるtgzファイルを提供ください。

なお、ログファイル提供時は、不具合現象を再現させたのちにログの収集を実施ください。
また、調査範囲を絞り込むため、不具合現象を再現させた日時、ファイル名などの情報もご提供お願いいたします。

 5-(3) 特定の場合

Windowsがブルースクリーン(BSOD)などになる場合、ログファイルに加えて、フルメモリダンプの提供もお願いいたします。
最小メモリダンプやカーネルメモリダンプでは情報が足りない為、必ずフルメモリダンプの提供をお願い致します。

 5-(4) 切り分けのための確認

障害が発生した場合、切り分けのために下記点のご確認をお願いします。

・TECの最新バージョンでも再現が確認できるか?
・複数台のシステム、またはクリーン再インストールを行ったシステムで再現が確認できるか?
・TECの無効時、またUpdate Mode時に再現が確認できるか?
・“sadmin features disable mp”: メモリ保護機能を無効にして再現が確認できるか?
・”sadmin features disable checksum”: チェックサム演算機能を無効にして再現が確認できるか?
・”sadmin features disable sau”: Script as Updaters DLL hook機能を無効にして再現が確認できるか?
・”certutil –hashfile <ファイル名>”: ファイルチェックサム値の確認
・”sadmn check –r <ファイル名>”: 該当ファイルのチェックサム値の修正

 5-(5) アプリケーションの動作が重くなってしまった場合

Windows機能の時間や、アプリケーションの動作が重くなってしまった場合、下記オプションを個別に評価頂きたいと思います。

・“sadmin features disable mp”: メモリ保護機能を無効にして処理時間が改善されるか?
・”sadmin features disable checksum”: チェックサム演算機能を無効にして処理時間が改善されるか?
・”sadmin config set pkgbootperf=1”: OS起動時のインストール済みアプリの整合性確認の省略

お問い合わせ

何かございましたら、下記までお問い合わせ下さい。