[JPN-003] Support File に含まれるファイルについて (Linux)

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
L2 Linker
評価なし

はじめに

この記事では、Cortex XDR のトラブルシューティングに役立つ情報を紹介しています。下記の JPN-003 トレーニング動画よりも、詳細な情報が含まれています。
事前に JPN-003 トレーニング動画の視聴をお勧めいたします。
 
また、実際に障害が発生しているにつきましては、弊社のナレッジベースもご活用ください。
 

サポートファイルについて

Cortex XDR Agent をインストールした後、何らかの障害が発生した場合、初期調査用のデータとしてサポートファイルの収集をお願いしております。この記事では、サポートファイルにどのようなファイルが含まれているか、どのような場合にどのログファイルを参照すべきか、解説いたします。

収集の方法については、上記の JPN-003 の動画や Admin Guide をご参照ください。
 

サポートファイルに含まれるもの

Cortex XDR Agent for Linux のサポートファイルには、以下のファイルが含まれています。バージョンによって差異はありますが、おおむね同様です。 この記事ではバージョン 8.1.1 で取得したサポートファイルを使用しています。
初期調査の際には、主に赤文字のファイルを参照します。
 
.
├── applications-rpm.txt >>> rpm/yum でインストールされたパッケージの情報
├── containerized_deployment >>> コンテナとしてデプロイされたかどうか
├── cpu.txt >>> lscpu コマンドによるCPU の情報
├── _CRYPTO-INFO
├── disk_free.txt >>> df -h コマンドによるディスク空き容量の情報
├── distro
│   ├── os-release  >>> /etc/os-release ファイルのコピー
│   ├── redhat-release >>> /etc/redhat-release ファイルのコピー
│   ├── system-release >>> /etc/system-release ファイルのコピー
│   └── system-release-cpe >>> /etc/system-release-cpe
├── dmesg.txt  >>> dmesg コマンドによるLinuxカーネルが起動時に出力したメッセージ
├── drivers.txt  >>> lsmod コマンドによるロード済みのカーネルモジュール一覧
├── env-pmd-<pid>.txt  >>> pmd プロセスの環境変数の情報
├── ip6tables.txt  >>> ip6tables -nvL コマンドによるipV6パケットフィルタルールのテーブルの情報
├── iptables.txt  >>> iptables -nvL コマンドによるipV4パケットフィルタルールのテーブルの情報
├── kconfig.txt  >>> 現在使われているカーネルのconfigファイル
├── kernels.txt  >>> /boot ディレクトリの内容
├── ld.so.preload  >>> /etc/ld.so.preload ファイルのコピー
├── meminfo
│   ├── cgroup-memory.limit_in_bytes.txt  >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.limit_in_bytes ファイルのコピー
│   ├── cgroup-memory.max_usage_in_bytes.txt  >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.max_usage_in_bytes ファイルのコピー
│   ├── cgroup-memory.soft_limit_in_bytes.txt  >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.soft_limit_in_bytes ファイルのコピー
│   ├── cgroup-memory.stat.txt  >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.stat ファイルのコピー
│   ├── cgroup-memory.usage_in_bytes.txt  >>> /sys/fs/cgroup/memory/system.slice/traps_pmd.service/memory.max_usage_in_bytes ファイルのコピー
│   ├── meminfo.txt  >>> /proc/meminfo ファイルのコピー
│   ├── overcommit_memory.txt  >>> /proc/sys/vm/overcommit_memory ファイルのコピー
│   ├── overcommit_ratio.txt  >>>/proc/sys/vm/overcommit_ratio ファイルのコピー
│   └── slabinfo.txt  >>> /proc/slabinfo ファイルのコピー
├── mount.txt  >>> mount コマンドによるボリュームマウント情報
├── network.txt  >>> ifconfig -a コマンドによるネットワークインタフェースの設定内容
├── nsswitch.conf  >>> /etc/nsswitch.conf ファイルのコピー。名前解決を行う優先順位を指定するファイル。
├── open_files.txt  >>> プロセスごとの /proc/<pid>/fd/ フォルダの内容
├── os-security
│   ├── fapolicyd.txt  >>> fapolicyd の情報
│   ├── ps_auxZ.txt  >>> ps auxZ コマンドによるプロセス情報
│   ├── secureboot.txt  >>> secuerboot に関する情報
│   └── selinux.txt  >>> selinux に関する情報
├── pki  >>> システム全体のトラストストア。/etc/pki ディレクトリのコピー
│   ├── (省略)
├── pmap  >>> pmap -xp コマンドで、Agent のプロセスを指定して取得した情報
│   ├── (省略)
├── pod-info  >>> Cortex XDR Agent の Container Pod 情報。
├── processes.txt  >>> ps -T ax コマンドによるプロセス情報。
├── pstree.txt  >>> pstree -upSZ コマンドによるプロセスツリー情報
├── ssl  >>> /etc/ssl/ フォルダのコピー
│   ├── (省略)
├── storage-info  >>> ストレージに関する情報
│   ├── fdisk.txt  >>> fdisk -l コマンドによる、パーティションの情報
│   ├── lsblk.txt  >>> lsblk -a コマンドによる、すべてのブロックデバイスの情報。
│   ├── proc_mounts.txt  >>> cat /proc/mounts コマンドによる、すべてのマウントの一覧
│   └── volumes.txt  >>> ボリューム情報 (Physical Volume、 Logical Volume、Volume Group)
├── system_stats.txt  >>> top コマンドによ実行中のプロセスの情報
├── traps  >>> Agent 関連のデータ
│   ├── config  >>> /opt/traps/config のコピー
│   │   ├── common.xml  >>> Agent のディレクトリ情報
│   │   ├── content.pem  >>> Content Update 用の公開鍵
│   │   ├── db_backup
│   │   │   ├── core_home_url.txt  >>> Core Home (ch-テナント名.paloaltonetworks.com) の URL情報
│   │   │   └── distribution_id.txt  >>> Distribution ID の情報
│   │   ├── dypdng.xml  >>> dypdng のログレベル
│   │   ├── dypd.xml  >>> dypd のログレベル
│   │   ├── execute.pem  >>> SAM の実行用の公開鍵
│   │   ├── pmd.xml  >>> pmd のログレベル等の情報
│   │   ├── reqs
│   │   │   └── libmodule64.so.txt  >>> 動的共有ライブラリーファイルのパス
│   │   ├── roots.pem  >>> テナントアクセス用の公開鍵
│   │   ├── trapsd.xml  >>> trapsd のログレベル
│   │   └── upgrade.pem  >>> アップグレードパッケージダウンロード用の公開鍵
│   ├── connectivity_test.txt  >>> Agent の接続テストの結果
│   ├── content_settings.txt  >>> Persistent DB の content_settings.db の内容
│   ├── cytool_enum.txt  >>> /opt/traps/bin/cytool enum コマンドの出力結果 (Cortex XDR により保護されているプロセス)
│   ├── cytool_status.txt  >>> /opt/traps/bin/cytool status コマンドの出力結果 (Agent ステータスのサマリ)
│   ├── dirlist.txt  >>> /opt/traps ディレクトリリスト
│   ├── ecl  >>> EDR data
│   │   (省略)
│   ├── general_policy.txt  >>> ポリシーの内容
│   ├── km
│   │   ├── km_modules.txt  >>> /opt/traps/km/modules/<OS名> のディレクトリリスト
│   │   ├── km_utils.txt  >>> /opt/traps/km_utils/ のディレクトリリスト
│   │   ├── load_lock.txt  >>> /opt/traps/km_utils/.load_lock ファイルの内容
│   │   ├── lsmod.txt  >>> lsmod コマンドによるロード済みのカーネルモジュール一覧
│   │   ├── modinfo.txt  >>> modinfo traps コマンドによる traps カーネルモジュールの情報
│   │   ├── module
│   │   │   ├── refcnt  >>> /sys/module/traps/refcnt ファイルの内容
│   │   │   ├── srcversion  >>> /sys/module/traps/srcversion ファイルの内容
│   │   │   └── version  >>> /sys/module/traps/version ファイルの内容
│   │   ├── parameters  >>> /sys/module/traps/parameters ディレクトリ内ののファイルの内容
│   │   └── status.txt  >>> /opt/traps/km_utils/traps_core status コマンドの結果
│   ├── log  >>> Agent の各ログファイル
│   │   ├── cortex-xdr-payload.log  >>> Cortex XDR Payload プロセスのログ
│   │   ├── cytool.<user_name>.log  >>> ユーザー毎の cytool ログ
│   │   ├── dypdng.log  >>> dypdng プロセスのログ
│   │   ├── dypdng.shutdown.guard  >>> dypdng プロセスが動作している場合作成されるファイル
│   │   ├── event_collection.log  >>> event collection に関するログ
│   │   ├── ltee
│   │   │   └── cortex-xdr-payload.log  >>> ltee により起動された cortex-xdr-payload プロセスのログ
│   │   ├── network-isolation.log  >>> Endpoint Isolation に関するログ
│   │   ├── pmd.log  >>> pmd プロセスのログ
│   │   ├── pmd.shutdown.guard  >>> pmd プロセスが動作している場合作成されるファイル
│   │   ├── python_service.log  >>> Cortex XDR Payload より実行される Python スクリプトに関するログ
│   │   ├── trapsd.log  >>> trapsd コンポーネントのログ
│   │   └── traps-install.log  >>> Cortex XDR Agent のインストールログ
│   ├── payload_execution  >>> /opt/traps/tmp/payload_execution/ ディレクトリ内のファイル
│   │   │  (省略)
│   ├── persist  >>> Cortex XDR Agent の persistent DB
│   │   │  (省略)
│   ├── process_policy.txt  >>> プロセスごとのポリシー情報
│   ├── scan  >>> スキャン結果の xml ファイル
│   ├── trace
│   └── version.txt  >>> Cortex XDR Agemt のバージョン情報。/opt/traps/version.txt
├── tsf-errors.log  >>> サポートファイル生成時のエラーログ
├── ulimit.pmd.txt  >>> cat /proc/<pmdプロセスのpid>/limits
├── ulimit.txt  >>> ulimit -a コマンドの結果
├── uname.txt  >>> uname -a コマンドの結果
├── users.txt  >>> ログイン中のユーザー、wコマンドの結果、/etc/passwd の内容を成形したもの
└── var  >>> /var/log フォルダから取得した、audit.log、messages ファイル、syslog ファイル、/var/log 配下のディレクトリ情報が含まれる。
└── log
   ├── audit
   │   └── audit.log
   ├── dirlist.txt  >>> /var/log 配下のディレクトリ情報
   └── messages  >>>システムに関する一般的なメッセージ

初期調査時に参照するファイルについて

以下のファイルは、初期調査として参照する主なファイルです。各ログファイルのどの部分をどのように参照すべきかは、別の記事にて個別に紹介いたします。

 

./disk_free.txt

ディスクの空き領域に起因する障害の場合、裏付け情報として確認します。
あるいは、ディスクの空き領域が少ないかどうかを先に確認し、それにより発生している障害の可能性を考慮することができます。

./distro フォルダ

このフォルダに含まれている、いずれかのファイルで Linux のバージョンを確認します。

./dmesg.txt

カーネルが出力したメッセージが含まれていますので、カーネルに関連でエラーが発生している場合に参照します。

./ip6tables.txt、iptables.txt、network.txt、nsswitch.conf

ネットワーク関連のトラブルの場合に参照します。
意図したものでないルールや設定になっていないか、確認します。

./processes.txt、pstree.txt

サポートファイルを取得した時点で起動しているプロセスを確認します。調査対象のプロセスのPIDやプロセスツリーを参照する場合があります。

./connectivity_test.txt

エージェントから Cortex XDR のサーバー群への接続テストの結果が記録されています。接続に関する障害の場合に参照します。

./traps/log/trapsd.log (trapsd.0.log.gz〜trapsd.9.log.gz)

主に、Cortex XDR サーバーへの接続できない場合に参照します。また、未知のファイルの virdict 情報を取得するための通信も含まれているため、それらの成否や発生日時を確認することもあります。

./traps/log/traps-install.log

Cortex XDR Agent のインストールや、アンインストール、アップグレードのログが記録されます。これらの障害時に参照します。

./traps/scan フォルダ内のxmlファイル

スキャンごとにxmlファイルが作成されます。スキャン結果や、エラーの内容等を確認することができます。

./traps/version.txt

Cortex XDR Agent のバージョンを確認します。

./uname.txt

カーネルのバージョンを確認します。Latest Kernel Module Version Support のリストを参照し、サポートされているバージョンかどうかを確認します。
 

./var/log/messages* ファイルもしくは syslog ファイル

OS 側で記録されているエラー等を確認する場合に参照します。
この記事を評価:
  • 178 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
ラベル
記事ダッシュボード
バージョン履歴
最終更新日:
‎01-04-2024 04:54 PM
更新者: