- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
[JPN-003] Support File に含まれるファイルについて (Linux)
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
- LIVEcommunity
- Japan Community
- Cortex
- Post-Sales
- トラブルシューティング情報
- [JPN-003] Support File に含まれるファイルについて (Linux)
オプション
- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- 印刷用ページ
muegaki
L2 Linker
はじめに
この記事では、Cortex XDR のトラブルシューティングに役立つ情報を紹介しています。下記の JPN-003 トレーニング動画よりも、詳細な情報が含まれています。
事前に JPN-003 トレーニング動画の視聴をお勧めいたします。
また、実際に障害が発生しているにつきましては、弊社のナレッジベースもご活用ください。
サポートファイルについて
Cortex XDR Agent をインストールした後、何らかの障害が発生した場合、初期調査用のデータとしてサポートファイルの収集をお願いしております。この記事では、サポートファイルにどのようなファイルが含まれているか、どのような場合にどのログファイルを参照すべきか、解説いたします。
収集の方法については、上記の JPN-003 の動画や Admin Guide をご参照ください。
サポートファイルに含まれるもの
Cortex XDR Agent for Linux のサポートファイルには、以下のファイルが含まれています。バージョンによって差異はありますが、おおむね同様です。 この記事ではバージョン 8.1.1 で取得したサポートファイルを使用しています。
初期調査の際には、主に赤文字のファイルを参照します。
.
├── applications-rpm.txt >>> rpm/yum でインストールされたパッケージの情報
├── containerized_deployment >>> コンテナとしてデプロイされたかどうか
├── cpu.txt >>> lscpu コマンドによるCPU の情報
├── _CRYPTO-INFO
├── disk_free.txt >>> df -h コマンドによるディスク空き容量の情報
├── distro
│ ├── os-release >>> /etc/os-release ファイルのコピー
│ ├── redhat-release >>> /etc/redhat-release ファイルのコピー
│ ├── system-release >>> /etc/system-release ファイルのコピー
│ └── system-release-cpe >>> /etc/system-release-cpe
├── dmesg.txt >>> dmesg コマンドによるLinuxカーネルが起動時に出力したメッセージ
├── drivers.txt >>> lsmod コマンドによるロード済みのカーネルモジュール一覧
├── env-pmd-<pid>.txt >>> pmd プロセスの環境変数の情報
├── ip6tables.txt >>> ip6tables -nvL コマンドによるipV6パケットフィルタルールのテーブルの情報
├── iptables.txt >>> iptables -nvL コマンドによるipV4パケットフィルタルールのテーブルの情報
├── kconfig.txt >>> 現在使われているカーネルのconfigファイル
├── kernels.txt >>> /boot ディレクトリの内容
├── ld.so.preload >>> /etc/ld.so.preload ファイルのコピー
├── meminfo
│ ├── cgroup-memory.limit_in_bytes.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.limit_in_bytes ファイルのコピー
│ ├── cgroup-memory.max_usage_in_bytes.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.max_usage_in_bytes ファイルのコピー
│ ├── cgroup-memory.soft_limit_in_bytes.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.soft_limit_in_bytes ファイルのコピー
│ ├── cgroup-memory.stat.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.stat ファイルのコピー
│ ├── cgroup-memory.usage_in_bytes.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.max_usage_in_bytes ファイルのコピー
│ ├── meminfo.txt >>> /proc/meminfo ファイルのコピー
│ ├── overcommit_memory.txt >>> /proc/sys/vm/overcommit_memory ファイルのコピー
│ ├── overcommit_ratio.txt >>>/proc/sys/vm/overcommit_ratio ファイルのコピー
│ └── slabinfo.txt >>> /proc/slabinfo ファイルのコピー
├── mount.txt >>> mount コマンドによるボリュームマウント情報
├── network.txt >>> ifconfig -a コマンドによるネットワークインタフェースの設定内容
├── nsswitch.conf >>> /etc/nsswitch.conf ファイルのコピー。名前解決を行う優先順位を指定するファイル。
├── open_files.txt >>> プロセスごとの /proc/<pid>/fd/ フォルダの内容
├── os-security
│ ├── fapolicyd.txt >>> fapolicyd の情報
│ ├── ps_auxZ.txt >>> ps auxZ コマンドによるプロセス情報
│ ├── secureboot.txt >>> secuerboot に関する情報
│ └── selinux.txt >>> selinux に関する情報
├── pki >>> システム全体のトラストストア。/etc/pki ディレクトリのコピー
│ ├── (省略)
├── pmap >>> pmap -xp コマンドで、Agent のプロセスを指定して取得した情報
│ ├── (省略)
├── pod-info >>> Cortex XDR Agent の Container Pod 情報。
├── processes.txt >>> ps -T ax コマンドによるプロセス情報。
├── pstree.txt >>> pstree -upSZ コマンドによるプロセスツリー情報
├── ssl >>> /etc/ssl/ フォルダのコピー
│ ├── (省略)
├── storage-info >>> ストレージに関する情報
│ ├── fdisk.txt >>> fdisk -l コマンドによる、パーティションの情報
│ ├── lsblk.txt >>> lsblk -a コマンドによる、すべてのブロックデバイスの情報。
│ ├── proc_mounts.txt >>> cat /proc/mounts コマンドによる、すべてのマウントの一覧
│ └── volumes.txt >>> ボリューム情報 (Physical Volume、 Logical Volume、Volume Group)
├── system_stats.txt >>> top コマンドによ実行中のプロセスの情報
├── traps >>> Agent 関連のデータ
│ ├── config >>> /opt/traps/config のコピー
│ │ ├── common.xml >>> Agent のディレクトリ情報
│ │ ├── content.pem >>> Content Update 用の公開鍵
│ │ ├── db_backup
│ │ │ ├── core_home_url.txt >>> Core Home (ch-テナント名.paloaltonetworks.com) の URL情報
│ │ │ └── distribution_id.txt >>> Distribution ID の情報
│ │ ├── dypdng.xml >>> dypdng のログレベル
│ │ ├── dypd.xml >>> dypd のログレベル
│ │ ├── execute.pem >>> SAM の実行用の公開鍵
│ │ ├── pmd.xml >>> pmd のログレベル等の情報
│ │ ├── reqs
│ │ │ └── libmodule64.so.txt >>> 動的共有ライブラリーファイルのパス
│ │ ├── roots.pem >>> テナントアクセス用の公開鍵
│ │ ├── trapsd.xml >>> trapsd のログレベル
│ │ └── upgrade.pem >>> アップグレードパッケージダウンロード用の公開鍵
│ ├── connectivity_test.txt >>> Agent の接続テストの結果
│ ├── content_settings.txt >>> Persistent DB の content_settings.db の内容
│ ├── cytool_enum.txt >>> /opt/traps/bin/cytool enum コマンドの出力結果 (Cortex XDR により保護されているプロセス)
│ ├── cytool_status.txt >>> /opt/traps/bin/cytool status コマンドの出力結果 (Agent ステータスのサマリ)
│ ├── dirlist.txt >>> /opt/traps ディレクトリリスト
│ ├── ecl >>> EDR data
│ │ (省略)
│ ├── general_policy.txt >>> ポリシーの内容
│ ├── km
│ │ ├── km_modules.txt >>> /opt/traps/km/modules/<OS名> のディレクトリリスト
│ │ ├── km_utils.txt >>> /opt/traps/km_utils/ のディレクトリリスト
│ │ ├── load_lock.txt >>> /opt/traps/km_utils/.load_lock ファイルの内容
│ │ ├── lsmod.txt >>> lsmod コマンドによるロード済みのカーネルモジュール一覧
│ │ ├── modinfo.txt >>> modinfo traps コマンドによる traps カーネルモジュールの情報
│ │ ├── module
│ │ │ ├── refcnt >>> /sys/module/traps/refcnt ファイルの内容
│ │ │ ├── srcversion >>> /sys/module/traps/srcversion ファイルの内容
│ │ │ └── version >>> /sys/module/traps/version ファイルの内容
│ │ ├── parameters >>> /sys/module/traps/parameters ディレクトリ内ののファイルの内容
│ │ └── status.txt >>> /opt/traps/km_utils/traps_core status コマンドの結果
│ ├── log >>> Agent の各ログファイル
│ │ ├── cortex-xdr-payload.log >>> Cortex XDR Payload プロセスのログ
│ │ ├── cytool.<user_name>.log >>> ユーザー毎の cytool ログ
│ │ ├── dypdng.log >>> dypdng プロセスのログ
│ │ ├── dypdng.shutdown.guard >>> dypdng プロセスが動作している場合作成されるファイル
│ │ ├── event_collection.log >>> event collection に関するログ
│ │ ├── ltee
│ │ │ └── cortex-xdr-payload.log >>> ltee により起動された cortex-xdr-payload プロセスのログ
│ │ ├── network-isolation.log >>> Endpoint Isolation に関するログ
│ │ ├── pmd.log >>> pmd プロセスのログ
│ │ ├── pmd.shutdown.guard >>> pmd プロセスが動作している場合作成されるファイル
│ │ ├── python_service.log >>> Cortex XDR Payload より実行される Python スクリプトに関するログ
│ │ ├── trapsd.log >>> trapsd コンポーネントのログ
│ │ └── traps-install.log >>> Cortex XDR Agent のインストールログ
│ ├── payload_execution >>> /opt/traps/tmp/payload_execution/ ディレクトリ内のファイル
│ │ │ (省略)
│ ├── persist >>> Cortex XDR Agent の persistent DB
│ │ │ (省略)
│ ├── process_policy.txt >>> プロセスごとのポリシー情報
│ ├── scan >>> スキャン結果の xml ファイル
│ ├── trace
│ └── version.txt >>> Cortex XDR Agemt のバージョン情報。/opt/traps/version.txt
├── tsf-errors.log >>> サポートファイル生成時のエラーログ
├── ulimit.pmd.txt >>> cat /proc/<pmdプロセスのpid>/limits
├── ulimit.txt >>> ulimit -a コマンドの結果
├── uname.txt >>> uname -a コマンドの結果
├── users.txt >>> ログイン中のユーザー、wコマンドの結果、/etc/passwd の内容を成形したもの
└── var >>> /var/log フォルダから取得した、audit.log、messages ファイル、syslog ファイル、/var/log 配下のディレクトリ情報が含まれる。
└── log
├── audit
│ └── audit.log
├── dirlist.txt >>> /var/log 配下のディレクトリ情報
└── messages >>>システムに関する一般的なメッセージ
初期調査時に参照するファイルについて
以下のファイルは、初期調査として参照する主なファイルです。各ログファイルのどの部分をどのように参照すべきかは、別の記事にて個別に紹介いたします。
./disk_free.txt
ディスクの空き領域に起因する障害の場合、裏付け情報として確認します。
あるいは、ディスクの空き領域が少ないかどうかを先に確認し、それにより発生している障害の可能性を考慮することができます。
./distro フォルダ
このフォルダに含まれている、いずれかのファイルで Linux のバージョンを確認します。
./dmesg.txt
カーネルが出力したメッセージが含まれていますので、カーネルに関連でエラーが発生している場合に参照します。
./ip6tables.txt、iptables.txt、network.txt、nsswitch.conf
ネットワーク関連のトラブルの場合に参照します。
意図したものでないルールや設定になっていないか、確認します。
./processes.txt、pstree.txt
サポートファイルを取得した時点で起動しているプロセスを確認します。調査対象のプロセスのPIDやプロセスツリーを参照する場合があります。
./connectivity_test.txt
エージェントから Cortex XDR のサーバー群への接続テストの結果が記録されています。接続に関する障害の場合に参照します。
./traps/log/trapsd.log (trapsd.0.log.gz〜trapsd.9.log.gz)
主に、Cortex XDR サーバーへの接続できない場合に参照します。また、未知のファイルの virdict 情報を取得するための通信も含まれているため、それらの成否や発生日時を確認することもあります。
./traps/log/traps-install.log
Cortex XDR Agent のインストールや、アンインストール、アップグレードのログが記録されます。これらの障害時に参照します。
./traps/scan フォルダ内のxmlファイル
スキャンごとにxmlファイルが作成されます。スキャン結果や、エラーの内容等を確認することができます。
./traps/version.txt
Cortex XDR Agent のバージョンを確認します。
./uname.txt
カーネルのバージョンを確認します。Latest Kernel Module Version Support のリストを参照し、サポートされているバージョンかどうかを確認します。
./var/log/messages* ファイルもしくは syslog ファイル
OS 側で記録されているエラー等を確認する場合に参照します。
この記事を評価:
- 556 閲覧回数
- 0 コメント
- 0 賞賛
LEGAL NOTICES
Copyright 2007 - 2024 - Palo Alto Networks