Endpoint Protection for Mac のネットワークコンテンツフィルターがネットワークの中断を引き起こしている場合、どのようなデータを収集する必要があるか
search cancel

Endpoint Protection for Mac のネットワークコンテンツフィルターがネットワークの中断を引き起こしている場合、どのようなデータを収集する必要があるか

book

Article ID: 236465

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (SEP) for Macエージェントは、14.3 RU1 でリリースされた新しいデザインの Mac エージェント以来、すべてのエージェントでインストールされるネットワークコンテンツフィルター(NCF)を使用しています。NCF は、ネットワークスタックとして知られている Apple のフィルタデータプロバイダと協調して動作します。Mac エージェントのファイアウォールと侵入防止の機能は、ネットワークスタックのトラフィックを適切に評価するために NCF に依存しています。

SEP クライアントが問題に関与していると思われるネットワークの中断のトラブルシューティングを行う場合、まず以下のドキュメントを参照してください。

トラブルシューティング時に mac 版 Endpoint Protection または Endpoint Security のネットワーク保護を完全に無効にする方法

NCF コンポーネントが有効か無効かを厳密に判断して問題を切り分けた場合、製品チームが問題を特定して修正をリリースできるまで、無効にしておくことが唯一の回避策となることがあります。

Environment

Endpoint Protection for Mac 14.3 RU1 以降
macOS 10.15 以降

Resolution

この時点で最も良い方法は、サポートにケースを開き、問題を再現しながらネットワーク関連のデータを収集する準備をすることです。

以下はサポートが調査を行うために必要なデータのリストです。

  • SMC デバッグログ - トラブルシューティングのために SMC デバッグログを有効にすることは標準的な方法ですが、この例ではオプションです。SMC デバッグは、NCF に関連するアクティビティをあまり記録しません。Symantec Endpoint Security の Mac エージェントを実行している場合、オプションとして SMC デバッグログを持っていないため、これを無視することができます。
  • GatherSymantecInfo (GSI) は問題の再現直後に収集してください。出力内の NCF に関する主なデータは、システム拡張の CPU サンプリングです。NCF とメインシステム拡張との相互作用を示すことができます。参考文献のセクションにあるツールの入手に関するドキュメントを参照してください。
  • パケットキャプチャ - 問題が発生しているときにパケットキャプチャを収集することができます。このキャプチャを実行するために、Apple のビルトインコマンドを利用することができます。
    ターミナルで "sudo tcpdump -i all -n -w ~/Desktop/trace.pcap" と入力し、キャプチャを開始します。キャプチャを停止するには、ターミナルウィンドウをアクティブにしたまま Ctrl + C を使用します。
  • ネットワーク拡張サブシステムのログ (事象再現後に sysdiagnose で収集)
    ログ記録を有効にするには、ターミナルで以下の 2 つのコマンドを入力します。
     sudo log config --subsystem com.apple.networkextension --mode persist:debug,level:debug
     sudo log config --subsystem com.apple.networkextension --category "" --mode persist:debug,level:debug

ログの状態を確認するには、ターミナルで以下のコマンドを入力します。

     sudo log config --subsystem com.apple.networkextension --status

期待される結果:  “Mode for ‘com.apple.networkextension’ DEBUG PERSIST_DEBUG”

問題再現後 "sudo SysDiagnose" で sysdiagnose を実行してサブシステムのログを収集し、以下のコマンドで networkextension のサブシステムのログ記録を無効にしてください。

     sudo log config --subsystem com.apple.networkextension --reset

 

データは必ず圧縮して、サポートケースにアップロードしてください。

Additional Information

Mac クライアントの SymDaemon デバッグログを有効にする
GatherSymantecInfo を使用して Mac 上のシマンテック製品の情報を収集する
Mac クライアント用のスタープラットフォームのデバッグログを生成する方法

 

[英語文書] What data should be gathered if the Endpoint Protection for Mac's Network Content Filter is causing network interruptions.

Powered by Wolken Software