TECの障害調査に関して

5　障害調査

　5-(1)　ログ調査に関して

TECはコマンド操作や動作制限に関するログをWindows Event LogやTrellix独自のログファイルに記録を行っています。
動作不具合が発生した場合は、まずはこれらを確認し、予期せぬ動作阻害が発生していないかご確認ください。

WindowsイベントビューアではApplicationログに対して、ソース: McAfee Solidifierとしてログが記録されます。
Trellixログに関してはC:\ProgramData\McAfee\Solidcore\Logsのフォルダにs3diag.log、solidcore.logとのファイルに記録されます。

イベントビューアではレベル：エラーの情報、
TrellixログではWrite_Denied、Execution_Deniedやpreventというキーワードで調査を行います。

動作制限のログが確認される場合、該当ファイルのアローリストへの追加、親プロセスへのUpdaters権限の追加などをお試しください。

　5-(2)　障害調査を依頼する場合

弊社、及びTrellix社に調査を依頼する場合、下記のご対応をお願い致します。

・Gatherinfoログの提供：C:\Program Files\McAfee\Tools\GatherinfoのフォルダにGatherinfo.batというバッチファイルが
用意されています。不具合調査依頼時には、このバッチファイルを管理者権限で実行し、生成されたgatherinfo.zipをご提供ください。

・MERログの提供：Trellixに調査依頼を行う場合には
（ https://supportm.trellix.com/webcenter/portal/supportportal/pages_tools/toolsWebMER ）よりMER.exeをダウンロード、実行し、
生成されるtgzファイルを提供ください。

なお、ログファイル提供時は、不具合現象を再現させたのちにログの収集を実施ください。
また、調査範囲を絞り込むため、不具合現象を再現させた日時、ファイル名などの情報もご提供お願いいたします。

　5-(3)　特定の場合

Windowsがブルースクリーン（BSOD）などになる場合、ログファイルに加えて、フルメモリダンプの提供もお願いいたします。
最小メモリダンプやカーネルメモリダンプでは情報が足りない為、必ずフルメモリダンプの提供をお願い致します。

　5-(4)　切り分けのための確認

障害が発生した場合、切り分けのために下記点のご確認をお願いします。

・TECの最新バージョンでも再現が確認できるか？
・複数台のシステム、またはクリーン再インストールを行ったシステムで再現が確認できるか？
・TECの無効時、またUpdate Mode時に再現が確認できるか？
・“sadmin features disable mp”： メモリ保護機能を無効にして再現が確認できるか？
・”sadmin features disable checksum”： チェックサム演算機能を無効にして再現が確認できるか？
・”sadmin features disable sau”： Script as Updaters DLL hook機能を無効にして再現が確認できるか？
・”certutil –hashfile <ファイル名>”： ファイルチェックサム値の確認
・”sadmn check –r <ファイル名>”： 該当ファイルのチェックサム値の修正

　5-(5)　アプリケーションの動作が重くなってしまった場合

Windows機能の時間や、アプリケーションの動作が重くなってしまった場合、下記オプションを個別に評価頂きたいと思います。

・“sadmin features disable mp”： メモリ保護機能を無効にして処理時間が改善されるか？
・”sadmin features disable checksum”： チェックサム演算機能を無効にして処理時間が改善されるか？
・”sadmin config set pkgbootperf=1”： OS起動時のインストール済みアプリの整合性確認の省略