DLPエージェントのログレベルを ”詳細レベル(高)” (FINEST) に上げる方法
search cancel

DLPエージェントのログレベルを ”詳細レベル(高)” (FINEST) に上げる方法

book

Article ID: 247716

calendar_today

Updated On: 10-09-2023

Products

Data Loss Prevention Endpoint Prevent Data Loss Prevention

Issue/Introduction

Data Loss Prevention (DLP) エージェントのトラブルシューティングを行う際、ログレベルを上げる必要があります。

Resolution

DLPエージェントでログレベルを ”詳細レベル(高)” (FINEST) に上げるには、いくつかの方法があります。 環境によって最適な方法でレベルを上げてください。

方法1: コンソールを使用

  1. 「システム」> 「エージェント」> 「概要」よりエージェントの概要を開き、ステータスがOKのクライアントを表示するために、緑色のチェックマークの下に表示されている数字のリンクをクリックします。
  2. ログレベルを変更したいエージェントの名前の隣に表示されているチェックボックスにチェックを入れます。
  3. 「トラブルシューティング」ドロップダウンメニューより、「ログレベルの設定」を選択します。



  4. 「ログレベルの選択」ドロップダウンより、”詳細レベル(高)” (FINEST)を選択します。
    「すべてのエージェントロガーコンポーネント」のチェックはそのまま変更せずに、<OK> をクリックします。

「実行中のタスク」アイコン(再生ボタンマークのついたクリップボードアイコン ) がエージェントステータスの横に表示されます。
設定されている時間内にエージェントがサーバと接続されない場合、タスクはタイムアウト(中止)され、ログレベルは上がりません。 この場合、クライアントの接続を確認するか、スクリプトによりログレベルを変更する、または、ローカルでマシンへの変更を行ってください。(詳細は以下のオプションをご覧ください。)

参考: Collectint the DLP Endpoint Agent logs

方法2: configuration.exeのアップデートの使用 (DLP 15.0 またはそれ以前のバージョンでのみ利用可能です。)

この方法は、エージェントがDLP Endpointサーバに接続できない場合に使われます。

エージェントインストールパッケージを生成した際に使われたエージェントインストールファイル .zip (参考: Agent Install Source Files Information) を検索します。
クライアントのアーキテクチャに適したツールフォルダを解凍し、DLP エンドポイントエージェントフォルダ内のクライアントマシンにコピーします。 特にupdate_configuration.exeのファイルが必要です。

DLPエージェントフォルダにツールをコピーした後、以下のコマンドを実行します。

update_configuration.exe -name=Logging -setting=Obfuscate -type=int -value=0
update_configuration.exe -name=LoggerStatus -setting=IsDefaultLogLevelChanged -type=str -value=1
update_configuration.exe -name=LogLevel -setting=DefaultLevel -type=str -value=FINEST
update_configuration.exe -name=Logging -setting=MaxFileSizeBytes -type=int -value=10240000
update_configuration.exe -name=Logging -setting=MaxFiles -type=int -value=10

上記コマンド実行後、以下のコマンドを実行してサービスを停止し、古いログを削除後にサービスを起動します。

del edpa*.log
sc start edpa

上記の操作後、edpa*.log ファイルは、ログレベルを”詳細レベル(高)” (FINEST) に設定され、ログファイル数とログファイルサイズが増やされた状態でクライアントで読めるようになります。

方法3: クライアントのローカルでVontu_sqlite3ツールを使用

Mac用にはupdate_configuration.exe と同等のツールがないため、この方法がOSX Macクライアントのローカル環境でログレベルを上げる唯一の方法となります。

この方法はエージェントがDLPエンドポイントサーバと接続できない場合に使われます。
ここでご案内する追加のコマンドは、設定するログレベルに対しログが非常に小さい場合、ログファイル数とログファイルのサイズも増やします。

エージェントインストールパッケージを生成した際に使われたエージェントインストールファイル .zip (参考: Agent Install Source Files Information) を検索します。
クライアントのアーキテクチャに適したツールフォルダを解凍し、DLP エンドポイントエージェントフォルダ内のクライアントマシンにコピーします。 特にvontu_sqlite3 と service_shutdownのツールが必要です。

参考までに、デフォルトのエージェントの場所は、

  • Mac OSX: /Library/Manufacturer/Endpoint\ Agent/
  • Windows: c:\Program Files\Manufacturer\Endpoint Agent\

DLPエージェントフォルダへのツールのコピー後、以下のコマンドを実行してください。

Windows:
service_shutdown

Mac:
sudo ./service_shutdown

Windows/Mac両方:
vontu_sqlite3 -db=cg.ead

必要に応じて、ツールのパスワードを入力してください。
その後、vontu_sqllite3ツールで以下のコマンドを使って、設定の更新を行います。
※ 大文字と小文字を区別します。

Update CONFIGURATION set VALUE=0 where NAME="Logging" and SETTING="Obfuscate";
Update CONFIGURATION set VALUE="1" where NAME="LoggerStatus" and SETTING="IsDefaultLogLevelChanged";
Update CONFIGURATION set VALUE="FINEST" where NAME="LogLevel" and SETTING="DefaultLevel";
REPLACE INTO configuration VALUES('Logging','MaxFileSizeBytes','long','10240000');
REPLACE INTO configuration VALUES('Logging','MaxFiles','int','10');
.exit

上記コマンド実行後、以下のコマンドを実行してサービスを停止し、古いログファイルの削除後に edpa と WDP のサービスを再起動してください。

Windows
del edpa*.log
sc start edpa

Mac OSX
sudo rm edpa*.log
sudo launchctl load /Library/LaunchDaemons/com.symantec.manufacturer.agent.plist

上記の操作後、edpa*.log ファイルはログレベルが ”詳細レベル(高)” (FINEST) に設定され、ログファイル数とログファイルサイズが増やされた状態でクライアントで読めるようになります。

方法4: スクリプトによるVontu_sqlite3の実行

この方法は、適切な引数でVontu_sqlite3.exeを呼び出し SQLコマンドでechoすることにより、update_configuration.exe の機能に似たスクリプトを通して、リモートで多くのマシンのログレベルを有効に設定する場合に使用することができます。
これにより、使用するスクリプトでツールのパスワードが公開されることにご注意ください。
この方法は、現在のすべてのDLPバージョンに対して有効です。

以下は、テンプレートとして使用できるWindowsスクリプトの例となります。

REM Sets FINEST level logging with increased max files and max size and deobfuscates log

cd "program files\Manufacturer\Endpoint Agent\

Rem Copy version specific agent tools from the network
copy \\server\share\AgentTools15_0_MP1\vontu_sqlite3.exe
copy \\server\share\AgentTools15_0_MP1\service_shutdown.exe
copy /y \\server\share\AgentTools15_0_MP1\*.dll

echo Update CONFIGURATION set VALUE=0 where NAME="Logging" and SETTING="Obfuscate"; | vontu_sqlite3.exe -db=cg.ead -p=protect4
echo Update CONFIGURATION set VALUE="1" where NAME="LoggerStatus" and SETTING="IsDefaultLogLevelChanged"; | vontu_sqlite3.exe -db=cg.ead -p=protect4
echo Update CONFIGURATION set VALUE="FINEST" where NAME="LogLevel" and SETTING="DefaultLevel"; | vontu_sqlite3.exe -db=cg.ead -p=protect4
echo Update CONFIGURATION set VALUE="10240000" where NAME="Logging" and SETTING="MaxFileSizeBytes"; | vontu_sqlite3.exe -db=cg.ead -p=protect4
echo Update CONFIGURATION set VALUE="10" where NAME="Logging" and SETTING="MaxFiles"; | vontu_sqlite3.exe -db=cg.ead -p=protect4
echo INSERT INTO configuration VALUES('Logging','MaxFileSizeBytes','long','10240000'); | vontu_sqlite3.exe -db=cg.ead -p=protect4
echo INSERT INTO configuration VALUES('Logging','MaxFiles','long','10'); | vontu_sqlite3.exe -db=cg.ead -p=protect4

service_shutdown -p=<tool_password>
net start edpa

Additional Information

※ このドキュメントは、以下のドキュメントを元に作成されています。

Increase the logging level of DLP agents to FINEST