search cancel

DLP エージェントのステータスがEnforceコンソールで期待通り表示されない

book

Article ID: 243857

calendar_today

Updated On:

Products

Data Loss Prevention Endpoint Prevent Data Loss Prevention

Issue/Introduction

エージェントの概要で、「報告」 (緑) で表示されるはずの状態が、「未報告 (報告していません)」(赤) の状態で表示、またはその逆の状態が表示されてしまう。

Environment

DLP 12.5-15+

Resolution

基本的なネットワーク接続の確認

エージェントマシンからエンドポイントサーバーに、サーバー名、または IP アドレスで Ping を実行し、サーバーに正しく届いているか確認してください。

エージェントと Aggregator の両方のログをチェックし、エラーがないか確認

エージェントログに CurlTransportLayer と ServerCommunicatorService が記録されている行がないか検索します。
ハンドシェイク失敗のような証明書のエラーが見つかる可能性があります。

Aggregator ログに、問題を表す深刻なエラーにつながる通信エラーが記録されていないか確認してください。

パフォーマンスチューニング

各種プロパティファイルやエージェントの拡張設定の中には、パフォーマンスや利便性に関する多くの設定があります。

エージェントの拡張設定:

ServerCommunicator.CONNECT_POLLING_INTERVAL_SECONDS.int

エージェントがどのくらいの頻度でエンドポイントサーバーへの接続を開始 (チェックイン) するか設定します。
通常、デフォルト値 15分 (900 秒) から変更する必要はありません。
この値を小さくする場合、1000 エージェントあたり 1 分未満にならないよう設定してください。

CommLayer.NO_TRAFFIC_TIMEOUT_SECONDS.int

サーバーからトラフィックまたは ハートビートを受信していない場合、いつエージェントが接続を閉じるかを設定します。 
設定された値よりも前に、エージェントはすべてのデータを転送しサーバーから切断されるため、一般的な環境ではこの設定を変更する必要はありません。 
デフォルト値の 300 秒のままでお使いいただくことをお勧めします。

EndpointCommunications.HEARTBEAT_INTERVAL_IN_SECONDS.int

エージェントがまだ接続状態であるか検出するために、サーバーがハートビートをエージェントに送るタイミングを設定します。
この設定はエージェントのアイドルタイムアウトが無効に設定されている場合のみ使用されます。
一般的に期待される動作は、30 秒間トラフィックが停止すると、CommLayer.NO_TRAFFIC_TIMEOUT_SECONDSに設定されている時間の後に、サーバーからエージェントへの接続が切断されます。
デフォルト値の 270 秒から変更しないことをお勧めします。

EndpointCommunications.IDLE_TIMEOUT_IN_SECONDS.int

サーバーがエージェントを切断するタイミングを設定します。
エージェントが通常のポーリング間隔の中で接続を開始 (チェックイン) すると、すべてのデータを移行後、アイドル状態になります。
このアイドル接続が 30 秒続いた後、サーバーはエージェントへの切断を開始します。
これは正常なデフォルトの動作であると考えられます。
この設定は、デフォルトの 30 秒のまま変更しないことをお勧めします。

Enforce 一般設定

Not reporting time

Enforceコンソールで、システム > 設定 > 一般 に進むと、「エージェントの接続状態の設定 - 次の時間以降はエージェントを「未報告」として表示」という設定があります。
この設定は、エージェントからの報告が停止していることを Enforce サーバーに報告する前に、エンドポイントサーバーがどのくらい待つか制御します。
デフォルトの値は 18 時間です。
この設定は好みに応じて延長、短縮することができますが、ServerCommunicator.CONNECT_POLLING_INTERVAL_SECONDS.int. より小さい値に設定することはできません。

サーバーのプロパティファイル

MaxQueueSize

エンドポイントサーバー上にある MonitorController.properties と Aggregator.properties の両方に、MaxQueueSize の設定があります。
この設定は、それぞれのサーバーで、キューに入れることができるタスクの数を制御します。
デフォルトの値は 5000 ですが、この値を増やすことをお勧めします。
Aggregator.properties では、サーバーに定期的に接続するエージェントの数を 2 倍にした値を設定することを推奨しています。
また、MonitorController.propertiesでは、10000 に増加してください。

更新のトリガー

多くの場合、「最終更新日時」はエージェントが最後に開始 (チェックイン) した日時を参照していると思われていますが、これは間違いです。
「最終更新日時」は、エージェントの属性、またはステータスが新しい値を Oracle データベースで、受け取った場合にのみ更新されます。

強制的に「最終更新日時」の値を更新するには、エージェントに適用されているエージェント設定の説明を変更してください。
これにより、エージェントの「最終更新日時」が強制的に更新されます。
詳細は、ドキュメント 「What events cause Last Update Time to refresh on Agent overview?」 をご覧ください。

ロードバランサー

エージェントがエンドポイントサーバーに接続されている場合、いくつか考慮すべき点があります。

  • SSLセッションパーシステンス (SSL Session Persistence) 
    サーバーとの連続的なハンドシェイクで、エージェントが同じセッションIDを再利用するかどうかを設定しています。
    これによる報告のステータスへの直接的な影響はあまりありません。
  • サーバーアフィニティ (Server Affinity)
    エージェントが開始 (チェックイン) する際、ロードバランサーがどのサーバーに接続させるか決定します。
    エージェントの拡張設定の「Connect_Polling_Interval」と Enforce の一般設定の「エージェントの接続状態の設定 - 次の時間以降はエージェントを「未報告」として表示」は強い関係を持っているため、一般的に、エージェントは可能な限り前回接続したサーバーと同じサーバーで接続を開始 (チェックイン) します。 

エージェントが未報告であることを Enforce に知らせる責任を担っているエンティティはエンドポイントサーバーであるため、「エージェントの接続状態の設定 - 次の時間以降はエージェントを「未報告」として表示」(デフォルト: 18 時間) が過ぎると、すぐに未報告の状態になります。
ポーリング間隔ごとに異なるサーバーにエージェントが接続を開始 (チェックイン) すると、18 時間連続でサーバーに接続していない状態になる可能性が非常に高くなります。
この時点で、エージェントは他のエンドポイントサーバーに正常に接続しているにも関わらず、エンドポイントサーバーはエージェントを未報告として報告します。

キャッシュの削除

いくつかのケースでは、エージェントは予想していたサーバーとは異なるエンドポイントサーバーと通信している場合があります。
このような動作は、エージェントのステータスが Enforce コンソールで変更されないまま残ってしまう原因となります。
エンドポイントサーバーの削除を行うと、問題が解決される場合があります。

  1. エンドポイントエージェントがエンドポイントサーバーと直接通信していることを確認します。 負荷分散が行われている場合、特定のエンドポイントサーバーに強制的にトラフィックが送られるようにします。
  2. 検出サーバーでSymantec DLP Detection Server サービスを停止します。
  3. 2と同じ検出サーバーで、以下のフォルダに移動し、フォルダ内にあるすべてのファイルを削除します。

    - Windows: 
    C:\ProgramData\Symantec\Data Loss Prevention\DetectionServer\<version>\agentattributes

    - Linux:
    \var\Symantec\DataLossPrevention\DetectionServer\<version>\agentattributes

  4. Enforce サーバー上で、Symantec DLP Detection Server Controller サービスを再起動します。
  5. エンドポイント検出サーバーで、Symantec DLP Detection Server サービスを起動します。

Additional Information

※ このドキュメントは、以下のドキュメントを元に作成されています。

DLP Agent status not reporting as expected on Enforce