search cancel

Endpoint Protection クライアントのデバッグ方法

book

Article ID: 187760

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (SEP) クライアントのデバッグ方法と、利用可能なさまざまなタイプのデバッグについて知りたい。

Environment

Sylink デバッグログ記録は 14.0 RU1 MP2 以前のバージョンで使用できます。

14.2 以上のバージョンでは Sylink ログ記録はコミュニケーションモジュールログに置き換わりました。Endpoint Protection 14.2 以降の通信モジュールログの設定 を参照してください。

Resolution

以下のデバッグオプションが利用できます。
 
  • Symantec Management Client (SMC) デバッグ
  • Sylink デバッグ
 
以下のオプション設定により、Symantec Endpoint Protection クライアント内のさまざまなコンポーネントの詳細なロ グを有効にすることができます。これらを有効にする前に、まず Symantec Management Client のデバッグを有効にする必要があります。
 
  • 拡張 TSE デバッグ
  • AutoLocation
  • ホストインテグリティ
  • 802.1x
 
注: デバッグログの変更を有効にするには、Symantec Management Client(SMC)サービスを再起動する必要があります。SMCサービスを停止および開始するには、コマンドラインインターフェースから、スタートメニュー > 実行、またはスタートメニュー > プログラムとファイルの検索から以下のコマンドを入力します。
  • smc -stop
  • smc -start
 
注: 本文章に記載したレジストリは 32 ビット OS 向けのものであり、64 ビット OS 上では SMC キーは下記の場所になります。
 
[SEP 12.1 RU5 未満]
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC

[SEP 12.1 RU5 以上]
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC
 

Symantec Management Client (SMC) デバッグ

 
デフォルトのデバッグログは、以下のレジストリ設定で有効にすることができます。
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC]
"smc_debuglog_on"=dword:00000001
 
注: Symantec Endpoint Protection 12.1 では、改変対策が Symantec Endpoint Protection クライアントでデフォルトで有効になってます。改変対策を最初に無効にするか、または遮断からログのみ に変更しない限り、レジストリを編集してデバッグを有効にすることができません。改変対策の設定を調整するには、Symantec Endpoint protection クライアントのユーザーインターフェース (GUI) を開き、[設定の変更] > [クライアント管理] > [オプションの設定] > [改変対策] タブをクリックします。管理者が改変対策をロックしている場合でも、後述の手順を使用して GUI を介してデバッグを有効にすることができます。
 
このデバッグログを有効にすると、debug.log というファイルが作成されます。Symantec Endpoint Protection 12.1 の場合、debug.logは、SEP の AllUsersProfile または ProgramData ディレクトリの CurrentVersion\Data\Logs サブフォルダにあります。 Symantec Endpoint Protection 11.0 の場合は、Symantec Endpoint Protection プログラムのインストールディレクトリにあります。
 
debug.log ファイルのサイズは、デフォルトで 256KB に制限されています。この制限に達すると、現在のログが debug.log.bak に移動し、新しい debug.log ファイルが作成されます。デフォルトの 256KB の制限を使用した場合、ログファイルは短時間でロールオーバーしてしまいます。ログファイルのサイズ制限を変更するには、以下のように、Log キーと debug_log_filesize の値を追加します。
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\Log]
debug_log_filesize=dword:00004e20  
 
上記の例では、debug_log_filesize の値は、debug.log ファイルが消費できる最大容量 (KB 単位) です。この値は 16 進数で書かれています (例: 00004e20 = 20,000 KB)。Symantec Endpoint Protection のユーザーインターフェイスでは、ログサイズの上限を 100,000 KB に設定することができます。必要に応じて、レジストリでこの値を設定することで、より高い値を強制的に設定することができます。
注: SMC.exe 実行ファイルのデフォルトの場所は、%ProgramFiles%Symantec Endpoint Protection です。
 
必要に応じて、レジストリに 2 つの値を作成して、ログの粒度を設定することができます。
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC]
"smc_debug_level"=dword:00000000
"smc_debug_log_level"=dword:00000000
 
smc_debug_level は、ウイルスやスパイウェアのイベントのロギングに影響を与えます。
  • 2 - system debugger
  • 4 - transaction logs
  • 6 - everything
 
mc_debug_log_level は、ファイアウォールイベントのロギングに影響を与えます。
  • 0 - debug
  • 1 - info
  • 2 - warning
  • 3 - fatal
 
0 はデフォルト値で、通常はトラブルシューティングのために推奨されます。
 
 
SMC デバッグの設定は、以下の手順でクライアントユーザーインターフェースからも設定できます。
  1. SEP クライアントのメイン画面を起動し [ヘルプとサポート] - [トラブルシューティング] と選択します。
  2. トラブルシューティングウインドウ左ペインの [デバッグログ] を選択します。
  3. クライアント管理 の [デバッグログ設定の編集] をクリックします。
  4. [デバッグオン] のチェックボックスを ON にし、OK をクリックします。
  5. テクニカルサポートにログを提供する場合、[ログファイルサイズ] を可能であれば最大値(100000)に設定します。
  6. SEP クライアントのメイン画面を閉じます。
その後、上述のように SMC サービスを再起動する必要があります。
 
クライアントユーザーインターフェースからデバッグログを表示するには、以下の手順を行います。
  1. Symantec Endpoint Protectionのユーザーインターフェイスを開きます。
  2. [ヘルプ] > [トラブルシューティング] > [デバッグログ]をクリックします。
  3. [クライアント管理] で [ログの表示] をクリックします。


Sylink デバッグ

 
Sylink は、Symantec Endpoint Protection Manager (SEPM) サーバとの通信を担当するクライアントコンポーネントです。以下のデバッグ設定は、SylinkWatcher/SylinkMonitor ツールを実行してクライアントとサーバの通信をログに記録する代わりの方法です。
Sylink ロギングを有効にするには、以下の手順に従います。
注: 最初にデフォルトのSMCデバッグも有効にする必要があります(上述)。
 
  1. Windowsレジストリエディタで、以下のレジストリサブキーに移動します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC\SYLINK\SyLink
    注: Symantec Endpoint Protection 11 を含む 12.1.5 (12.1 RU5) より前のバージョンの Symantec Endpoint Protection を実行している 64 ビットシステムの場合は、次の場所に移動してください。HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\SYLINK\SyLink
  2. [編集] > [新規作成] > [文字列値] をクリックします。
  3. 新しい値にDumpSylinkという名前を付けます。
  4. DumpSylink をダブルクリックします。
  5. 値データフィールドで、ログファイルの名前と場所を指定します。例えば、C:\Sylink.log は、ファイル Sylink.log を C: ドライブのルートに配置します。
  6. 編集 > 新規作成 > DWORD をクリックします。
  7. 新しい値に DumpSylinkLevel という名前を付けます。
  8. DumpSylinkLevel をダブルクリックします。
  9. 値データを 4 に変更して OK をクリックします。
  10. レジストリエディタを閉じます。
         
その後、上記のようにSMCサービスを再起動する必要があります。

 

拡張 TSE デバッグ

 
ネットワーク脅威防止の拡張 TSE デバッグを有効にするには、以下の手順に従ってください。
  1. SMC サービスを停止します。[スタート](または[スタート]>[実行])をクリックして、smc -stop と入力します。
  2. レジストリエディタを開きます。[スタート](または「スタート」→「実行」)をクリックし、「regedit」と入力します。
  3. 以下のレジストリサブキーに移動します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\TSE
    注: Symantec Endpoint Protection 11 を含む 12.1.5 (12.1 RU5) より前のバージョンの Symantec Endpoint Protection を実行している 64 ビット システムの場合は、次の場所に移動してください。HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SMC
  4. 以下の DWORD 値が存在しない場合は、作成してください: ExtendedDebug
  5. ExtendedDebug の値データを 1 に設定します。
  6. SMC サービスを起動します。[スタート] (または[スタート] > [実行] をクリックし、smc -start と入力します。

debug.log の例: 
01/25 16:46:17 [304:960] TSE extended debugging is turned on. Flag = 
01/25 16:48:43 [304:592] TSE2415: *********DROP PACKET*********
01/25 16:48:43 [304:592] TSE: SecurityRule = Block Local File Sharing
01/25 16:48:43 [304:592] TSE: ApplicationName = C:\WINNT\system32\ntoskrnl.exe
01/25 16:48:43 [304:592] TSE2417: *** DROP PACKET **
01/25 16:48:43 [304:592] ======== TsPacket ====== BA: 1 == protocol: 2 === === EtherII Packet=== len:92==== nic:0===== 00-0c-29-4e-d7-c7 ---> ff-ff-ff-ff-ff-ff , protocol = 0x800 ===== IP Packet==== len:78==== 192.168.20.12 --> 192.168.20.255, type: 0x11, Id: 2629, Frg: 0x0 ========= UDP datagram, len: 78==== 192.168.20.12:137 -> 192.168.20.255:137 , DataLen: 5
01/25 16:48:43 [304:592] TSE2415: *********DROP PACKET********** 
01/25 16:48:43 [304:592] TSE: SecurityRule = Block and Log Unchecked IP Packets 
01/25 16:48:43 [304:592] TSE2417: *** DROP PACKET *** 
01/25 16:48:43 [304:592] ======== TsPacket ====== BA: 1 == protocol: 2 === === EtherII Packet=== len:74==== nic:0===== 00-50-56-c0-00-02 ---> 00-0c-29-4e-d7-c7 , protocol = 0x800 ===== IP Packet==== len:60==== 192.168.20.1 --> 192.168.20.12, type: 0x1, Id: 28535, Frg: 0x0 ===== ICMP Packet==== len:40==== , type: 0x8, Code: 0, Checksum: 0x5a3a
 

AutoLocation 

 
このデバッグ設定により、Symantec Endpoint Protection エージェントは、AutoLocation の切り替え情報を標準の debug.log ファイルに書き込むようになります。
: 12.1.2 (12.1 RU2) 以降では、このレベルのデバッグは WPP ログに移行しました。
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\Trident]
"AutoLocationDump"=dword:00000001  
(Trident のレジストリキーが存在しない場合は、作成してください)
 
debug.log の例: 
05/07 16:31:33 [916:828]  ***** AL begin get wins ip *****
05/07 16:31:33 [916:828] ***** AL begin get DNS ip
05/07 16:31:33 [916:828] ***** AL DNS Ip : 192.168.147.1
05/07 16:31:33 [916:828] ***** AL begin get gateway ip
05/07 16:31:33 [916:828] ***** AL begin get local ip and dhcp ip
05/07 16:31:33 [916:828] ***** AL local ip : 192.168.147.129
05/07 16:31:33 [916:828] ***** AL DHCP ip : 192.168.147.254
05/07 16:31:33 [916:828] ***** AL Dhcp ip :192.168.147.254 Mac :00-00-00-00-00-00
05/07 16:31:33 [916:828]  ***** AL begin get dns name *****
 

ホストインテグリティ

 
ホストインテグリティは、ポリシーマネージャからダウンロードしたポリシーに含まれる JavaScript ファイルによってエージェントマシン上で実行されます。通常、このスクリプトはホストインテグリティチェックが実行されると削除されますが、このレジストリキーを設定することでファイルは削除されません。その後、トラブルシューティングのためにスクリプトを確認することができます。
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\SSHelper]
"EnableScriptDebug"=dword:00000001
 
ホストインテグリティのスクリプトファイル AVScript.js は、ホストインテグリティチェックが実行されると、Symantec Endpoint Protection フォルダに見つかります。


802.1x

 
このデバッグ設定は、EAP 802.1x の問題を分離するために使用されます。レジストリキーを使用すると、802.1x EAP 情報が標準の debug.log ファイルに書き込まれます。
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC]
"EnableDebug802.1x"=dword:00000001

Additional Information

[英語文書] How to debug the Symantec Endpoint Protection client