Traps の ETL (イベントトレースログ) の採取手順

Printer Friendly Page

概要:
ETL (イベントトレースログ) は Traps の動作を詳細に記録するためのものです。
標準のサービスログには問題が記録されない場合には本データを採取することで有用な情報が取得される見込みがあります。例えば、他社製品との互換性の問題(EPM 保護対象のプロセスの動作に問題が発生する)や Traps の導入後に特定の操作でプロセスがクラッシュするようになった等の問題を調査するために有効な情報です。
本稿では ETL の取得手順を説明いたします。

 

※ ETL はバイナリ形式で記録されます。採取した ETL についてはユーザー様側でデコード、閲覧することはできません。調査をご要望の際には弊社のサポートまでお問合せください。

 

対象とする Traps のバージョン:
Traps Version 3.4.x

 

手順:

 

A.) ETL の採取開始
---------------------------------------------
1. ETL 取得対象のコンピューターにログインします。

 

2. コマンドプロンプトを開きます。

 

3. Traps インストールフォルダーへ移動します。
(デフォルトパス: C:\Program Files\Palo Alto Networks\Traps)

 

4. 下記のコマンドを実行します。

cytool log start * Verbose <Log_size> (log_size*1024KB)

 

>例

cytool log start * Verbose 500

 

* 上記例は 500MB の場合です。記録されるデータの容量は環境および利用状況によって大幅に変化します。
例えば、問題を再現させた後にログの記録を停止した結果、設定したデータ容量と同様のログファイルが記録されている場合は既に現象発生前後のデータが上書きされている可能性があります。この場合にはログサイズを増やした上で再度データを取得してください。
* 実施前に、ディスクに十分な空き領域があることをご確認ください。
* Log_size で指定した容量を超えた場合にはデータはローテーションされ上書きされます。

 

5. Traps アンインストールパスワード を入力します。データ採取が開始されます。

 

B.) 現象の確認と ETL の採取停止
---------------------------------------------

1. 現象を再現させます。

現象再現にコンピューターの再起動が必要な場合には、再起動後に問題が発生したことを確認した上で ETL 採取を停止します。

 

2. 下記のコマンドを実行し、ETL のログ出力を停止します。

cytool log stop

 

3. ログは "%PROGRAMDATA%\Cyvera\Logs\" パス内に以下のような名称で記録されます。

 

>名称
native.<Version>.<Build>.etl

 

※ 再現手順にOSの再起動が含まれている場合、以下のような追加のログが記録されます。

native_autolog.3.4.3.19949.etl.001


C.) サポートファイルの取得
---------------------------------------------
GetLogsUtil、Send Support File(サポートファイルの送信) または One Time Action(OTA)を使用してログを収集します。以下は Traps エージェント上で GetLogsUtil を利用してデータを採取する手順です。

 

1. コマンドプロンプトを起動します。

 

2. Traps インストールフォルダーへ移動します。
(デフォルトパス: C:\Program Files\Palo Alto Networks\Traps)

 

3. 下記のコマンドを実行します。

GetLogsUtilAgent C:\temp

 

4. C:\temp フォルダに、ログファイルの圧縮データが作成されます。
ETL のログは他のデータと併せてサポートファイル内に含まれます。

 

 

以上となります。