- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
Cortex XDR Agent をインストールした後、何らかの障害が発生した場合、初期調査用のデータとしてサポートファイルの収集をお願いしております。この記事では、サポートファイルにどのようなファイルが含まれているか、どのような場合にどのログファイルを参照すべきか、解説いたします。
.
├── applications-rpm.txt >>> rpm/yum でインストールされたパッケージの情報
├── containerized_deployment >>> コンテナとしてデプロイされたかどうか
├── cpu.txt >>> lscpu コマンドによるCPU の情報
├── _CRYPTO-INFO
├── disk_free.txt >>> df -h コマンドによるディスク空き容量の情報
├── distro
│ ├── os-release >>> /etc/os-release ファイルのコピー
│ ├── redhat-release >>> /etc/redhat-release ファイルのコピー
│ ├── system-release >>> /etc/system-release ファイルのコピー
│ └── system-release-cpe >>> /etc/system-release-cpe
├── dmesg.txt >>> dmesg コマンドによるLinuxカーネルが起動時に出力したメッセージ
├── drivers.txt >>> lsmod コマンドによるロード済みのカーネルモジュール一覧
├── env-pmd-<pid>.txt >>> pmd プロセスの環境変数の情報
├── ip6tables.txt >>> ip6tables -nvL コマンドによるipV6パケットフィルタルールのテーブルの情報
├── iptables.txt >>> iptables -nvL コマンドによるipV4パケットフィルタルールのテーブルの情報
├── kconfig.txt >>> 現在使われているカーネルのconfigファイル
├── kernels.txt >>> /boot ディレクトリの内容
├── ld.so.preload >>> /etc/ld.so.preload ファイルのコピー
├── meminfo
│ ├── cgroup-memory.limit_in_bytes.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.limit_in_bytes ファイルのコピー
│ ├── cgroup-memory.max_usage_in_bytes.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.max_usage_in_bytes ファイルのコピー
│ ├── cgroup-memory.soft_limit_in_bytes.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.soft_limit_in_bytes ファイルのコピー
│ ├── cgroup-memory.stat.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.stat ファイルのコピー
│ ├── cgroup-memory.usage_in_bytes.txt >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.max_usage_in_bytes ファイルのコピー
│ ├── meminfo.txt >>> /proc/meminfo ファイルのコピー
│ ├── overcommit_memory.txt >>> /proc/sys/vm/overcommit_memory ファイルのコピー
│ ├── overcommit_ratio.txt >>>/proc/sys/vm/overcommit_ratio ファイルのコピー
│ └── slabinfo.txt >>> /proc/slabinfo ファイルのコピー
├── mount.txt >>> mount コマンドによるボリュームマウント情報
├── network.txt >>> ifconfig -a コマンドによるネットワークインタフェースの設定内容
├── nsswitch.conf >>> /etc/nsswitch.conf ファイルのコピー。名前解決を行う優先順位を指定するファイル。
├── open_files.txt >>> プロセスごとの /proc/<pid>/fd/ フォルダの内容
├── os-security
│ ├── fapolicyd.txt >>> fapolicyd の情報
│ ├── ps_auxZ.txt >>> ps auxZ コマンドによるプロセス情報
│ ├── secureboot.txt >>> secuerboot に関する情報
│ └── selinux.txt >>> selinux に関する情報
├── pki >>> システム全体のトラストストア。/etc/pki ディレクトリのコピー
│ ├── (省略)
├── pmap >>> pmap -xp コマンドで、Agent のプロセスを指定して取得した情報
│ ├── (省略)
├── pod-info >>> Cortex XDR Agent の Container Pod 情報。
├── processes.txt >>> ps -T ax コマンドによるプロセス情報。
├── pstree.txt >>> pstree -upSZ コマンドによるプロセスツリー情報
├── ssl >>> /etc/ssl/ フォルダのコピー
│ ├── (省略)
├── storage-info >>> ストレージに関する情報
│ ├── fdisk.txt >>> fdisk -l コマンドによる、パーティションの情報
│ ├── lsblk.txt >>> lsblk -a コマンドによる、すべてのブロックデバイスの情報。
│ ├── proc_mounts.txt >>> cat /proc/mounts コマンドによる、すべてのマウントの一覧
│ └── volumes.txt >>> ボリューム情報 (Physical Volume、 Logical Volume、Volume Group)
├── system_stats.txt >>> top コマンドによ実行中のプロセスの情報
├── traps >>> Agent 関連のデータ
│ ├── config >>> /opt/traps/config のコピー
│ │ ├── common.xml >>> Agent のディレクトリ情報
│ │ ├── content.pem >>> Content Update 用の公開鍵
│ │ ├── db_backup
│ │ │ ├── core_home_url.txt >>> Core Home (ch-テナント名.paloaltonetworks.com) の URL情報
│ │ │ └── distribution_id.txt >>> Distribution ID の情報
│ │ ├── dypdng.xml >>> dypdng のログレベル
│ │ ├── dypd.xml >>> dypd のログレベル
│ │ ├── execute.pem >>> SAM の実行用の公開鍵
│ │ ├── pmd.xml >>> pmd のログレベル等の情報
│ │ ├── reqs
│ │ │ └── libmodule64.so.txt >>> 動的共有ライブラリーファイルのパス
│ │ ├── roots.pem >>> テナントアクセス用の公開鍵
│ │ ├── trapsd.xml >>> trapsd のログレベル
│ │ └── upgrade.pem >>> アップグレードパッケージダウンロード用の公開鍵
│ ├── connectivity_test.txt >>> Agent の接続テストの結果
│ ├── content_settings.txt >>> Persistent DB の content_settings.db の内容
│ ├── cytool_enum.txt >>> /opt/traps/bin/cytool enum コマンドの出力結果 (Cortex XDR により保護されているプロセス)
│ ├── cytool_status.txt >>> /opt/traps/bin/cytool status コマンドの出力結果 (Agent ステータスのサマリ)
│ ├── dirlist.txt >>> /opt/traps ディレクトリリスト
│ ├── ecl >>> EDR data
│ │ (省略)
│ ├── general_policy.txt >>> ポリシーの内容
│ ├── km
│ │ ├── km_modules.txt >>> /opt/traps/km/modules/<OS名> のディレクトリリスト
│ │ ├── km_utils.txt >>> /opt/traps/km_utils/ のディレクトリリスト
│ │ ├── load_lock.txt >>> /opt/traps/km_utils/.load_lock ファイルの内容
│ │ ├── lsmod.txt >>> lsmod コマンドによるロード済みのカーネルモジュール一覧
│ │ ├── modinfo.txt >>> modinfo traps コマンドによる traps カーネルモジュールの情報
│ │ ├── module
│ │ │ ├── refcnt >>> /sys/module/traps/refcnt ファイルの内容
│ │ │ ├── srcversion >>> /sys/module/traps/srcversion ファイルの内容
│ │ │ └── version >>> /sys/module/traps/version ファイルの内容
│ │ ├── parameters >>> /sys/module/traps/parameters ディレクトリ内ののファイルの内容
│ │ └── status.txt >>> /opt/traps/km_utils/traps_core status コマンドの結果
│ ├── log >>> Agent の各ログファイル
│ │ ├── cortex-xdr-payload.log >>> Cortex XDR Payload プロセスのログ
│ │ ├── cytool.<user_name>.log >>> ユーザー毎の cytool ログ
│ │ ├── dypdng.log >>> dypdng プロセスのログ
│ │ ├── dypdng.shutdown.guard >>> dypdng プロセスが動作している場合作成されるファイル
│ │ ├── event_collection.log >>> event collection に関するログ
│ │ ├── ltee
│ │ │ └── cortex-xdr-payload.log >>> ltee により起動された cortex-xdr-payload プロセスのログ
│ │ ├── network-isolation.log >>> Endpoint Isolation に関するログ
│ │ ├── pmd.log >>> pmd プロセスのログ
│ │ ├── pmd.shutdown.guard >>> pmd プロセスが動作している場合作成されるファイル
│ │ ├── python_service.log >>> Cortex XDR Payload より実行される Python スクリプトに関するログ
│ │ ├── trapsd.log >>> trapsd コンポーネントのログ
│ │ └── traps-install.log >>> Cortex XDR Agent のインストールログ
│ ├── payload_execution >>> /opt/traps/tmp/payload_execution/ ディレクトリ内のファイル
│ │ │ (省略)
│ ├── persist >>> Cortex XDR Agent の persistent DB
│ │ │ (省略)
│ ├── process_policy.txt >>> プロセスごとのポリシー情報
│ ├── scan >>> スキャン結果の xml ファイル
│ ├── trace
│ └── version.txt >>> Cortex XDR Agemt のバージョン情報。/opt/traps/version.txt
├── tsf-errors.log >>> サポートファイル生成時のエラーログ
├── ulimit.pmd.txt >>> cat /proc/<pmdプロセスのpid>/limits
├── ulimit.txt >>> ulimit -a コマンドの結果
├── uname.txt >>> uname -a コマンドの結果
├── users.txt >>> ログイン中のユーザー、wコマンドの結果、/etc/passwd の内容を成形したもの
└── var >>> /var/log フォルダから取得した、audit.log、messages ファイル、syslog ファイル、/var/log 配下のディレクトリ情報が含まれる。
└── log
├── audit
│ └── audit.log
├── dirlist.txt >>> /var/log 配下のディレクトリ情報
└── messages >>>システムに関する一般的なメッセージ
以下のファイルは、初期調査として参照する主なファイルです。各ログファイルのどの部分をどのように参照すべきかは、別の記事にて個別に紹介いたします。