Data Loss Prevention (DLP) エージェントのログは、どのような手順で採取できますか?
注意: ログファイルを採取する前に、通常、ログレベルをFINESTに設定し、問題を再現してからログを採取します。
DLPエージェントのログレベルをFINESTに上げるには、「DLPエージェントのログレベルを ”詳細レベル(高)” (FINEST) に上げる方法」をご覧ください。
エージェントログファイルを採取する方法は、一般的に2つの方法があります。
1つ目は、Enforceコンソールを通して、リモートでクライアントからログを引き出す方法です。できる限りこの一つ目の方法を使用してください。
2つ目の方法は、エージェントからEnforceコンソールへの接続に問題があり、エージェントの診断が必要な場合に使用されます。
Enforce UIから直接エンドポイントエージェントログを採取するには、Enforceサーバーからエンドポイントエージェントにタスクを送信し、エンドポイントサーバーからエンドポイントエージェントのログを収集する2段階のプロセスが必要です。
タスクがエンドポイントエージェントに送信された後、以下の手順でエンドポイントサーバーからエンドポイントエージェントログを採取してください。
「進行中」と「xサーバーからのファイルの受信を待っています」のメッセージがチェックボックスの下に表示されます。
ログファイルが利用可能になると、ログが含まれたzipファイルのダウンロードリンクが表示されます。
この方法は、エージェントがサーバーに接続できず、ファイルがアップロードできない場合に使用されます。
ローカルでエージェントログファイルを採取するには、2つのオプションがあります。
1つ目は、ログの難読化の解除です。
2つ目のオプションは、logdumpユーティリティを使う方法です。この手順に必要なエージェントツールを入手するには、Agent Install Source Files Informationをご覧ください。
deobfuscatingツールを使用した手順例
1. エンドポイントツールをクライアントマシンにコピーします。
2. DLPエージェントを停止します。 (service_shutdownを使用)
3. 古いログファイルを削除、または名前の変更を行います。
4. DLPエージェントを開始します。
5. ログの難読化を解除するために、ツールを実行します。(update_configuration またはvontu_sqllite3)
6. DLPエージェントを停止します。
7. DLPエージェントを開始します。
8. edpaログが読めるようになっていることを確認します。
9. 問題を再現します。
10. ログファイル (edpa*.log) を採取します。
Log Dumpユーティリティは、難読化されたログを読み、それらのログを読み取り可能なファイルに保存するために使用することができます。
主な欠点は、ログレベルがFINESTに設定されていないと、ログファイルには問題を調査するために必要な情報が含まれていない場合があることです。
logdumpユーティリティを使用した手順例
1. エンドポイントのツールをクライアントコピーします。
2. 問題を再現します。
3. edpa ログでlogdumpユーティリティを実行します。
4. 読み取り可能なファイルを採取します。
※ このドキュメントは、以下のドキュメントを元に作成されています。