vShield Endpoint / NSX Guest Introspection のトラブルシューティング
search cancel

vShield Endpoint / NSX Guest Introspection のトラブルシューティング

book

Article ID: 338442

calendar_today

Updated On:

Products

VMware NSX Networking VMware vSphere ESXi

Issue/Introduction

VMware テクニカル サポートでは通常、サポート リクエストを処理する際に、診断情報またはサポート バンドルの送付をお願いしています。この診断情報には、仮想マシンのログと構成ファイルが含まれます。

この記事には、この診断情報を取得する手順が記載されています。

収集した診断情報は、VMware テクニカル サポートにアップロードされます。情報を一意に識別するために、サポート リクエスト (SR) をオープンしたときに受け取ったサポート リクエスト番号を使用します。

概要

Endpoint セキュリティ ソリューションは 3 つのプライマリ コンポーネントで構成されます。

シン エージェント

シン エージェントは、Windows ファイル システム フィルタ ドライバ (FSFD) で、ファイル イベントを傍受して Mux を介して EPSecLib に渡します。 シン エージェントは、VMCI(IP に似たホスト専用通信メカニズム)を介して Mux と通信します。これは、完全な VMware Tools のインストールとともにインストールされる Windows ドライバです(NSX File Introspection ドライバ)。

Mux

Mux は、ESXi ユーザー ワールド コンポーネント(Unix のプロセスと似ている)で、EPSecLib を使用してイベントをシン エージェントから SVM に渡します。Mux は、vShield Manager への REST API 呼び出しを使用して構成を取得します。Mux から EPSecLib への通信は、TCP/IP を使用して行なわれます。Mux は基本的に、ESXi ホストにインストールされているもう 1 つのドライバです。

EPSecLib

EPSeclib は、パートナー ソリューション SVM がイベントをシン エージェントから受信してそれらのファイルに対して操作(読み取り/変更)を実行するために使用するライブラリです。EPSecLib でファイルの操作をブロックすることもできます。EPSecLib は、Endpoint 用に準備された各 ESXi ホスト上で動作する、NSX によって展開された仮想マシンとして存在します。この仮想マシンは、SVA(セキュリティ仮想アプライアンス)といいます。

Guest Introspection ファイルスキャンの一般的なフロー

  1. ファイルに対して、読み取り、書き込み、作成などのアクションを実行する必要があります。
  2. シン エージェントは、アクションがあることを確認し、ファイルをロックし、スキャンして、さらに調査するために SVA に送信します。
  3. シン エージェントは、VMCI を介して ESXi ホスト上の epsec-mux ドライバと通信し、この情報を渡します。
  4. SVA は、TCP/IP を介して ESXi ホスト上の epsec-mux ドライバと通信し、ファイルをスキャンし、コンテンツの情報を提供して、情報を送り返します。
  5. SVA 上で情報が収集されると、SVA はシン エージェントにファイルを削除または無視するよう指示します。



Symptoms:
免責事項:これは英文の記事「Troubleshooting vShield Endpoint / NSX Guest Introspection (2094261)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Environment

VMware NSX for vSphere 6.0.x
VMware vSphere ESXi 5.5
VMware vSphere ESXi 5.0
VMware NSX for vSphere 6.1.x
VMware vSphere ESXi 5.1
VMware NSX for vSphere 6.2.x
VMware vCloud Networking and Security 5.1.x
VMware vCloud Networking and Security 5.5.x

Resolution

シン エージェント、Mux、および EpsecLib コンポーネントのトラブルシューティング

シン エージェント

特定の仮想マシンでファイルの読み取りや書き込み操作が遅く、ファイルの解凍、保存、Windows へのログイン、特定の仮想マシンのバックアップの実行が遅いと気づいた場合は、シン エージェントに関する問題が発生している可能性があります。

  1. Endpoint をトラブルシューティングする場合、最初に確認すべきことは、関係するすべてのコンポーネントの互換性です。Endpoint に関するおもな問題の 1 つは互換性です。ESXi、vCenter Server、NSX Manager のビルド番号と、選択したセキュリティ ソリューション(Trend Micro、McAfee、Kaspersky、Symantec など)が必要です。このデータをすべて収集したら、vSphere コンポーネントの互換性を比較することができます。詳細については、『VMware Product Interoperability Matrixes』を参照してください。各 VMware コンポーネントが機能していることを確認したら、パートナー互換性マトリックスを確認して完全な互換性を判断します。


    :前述のリストにお使いのベンダー互換性情報が見つからない場合は、お使いのベンダーでサポート チケットを作成してください。

  2. VMware Tools が最新であることを確認します。特定の仮想マシンのみが該当することを確認した場合は、「Installing and upgrading VMware Tools in vSphere (2004754)」を参照してください。

  3. シン エージェントがロードされていることを確認します。これは、Powershell コマンドを実行することで行えます。

    fltmc

    コマンドを実行したら、ドライバのリストに名前 vsepflt が表示されるはずです。

    ドライバがロードされていない場合は、次のコマンドでドライバをロードすることができます。

    fltmc load vsepflt

  4. シン エージェントがシステムでパフォーマンスの問題を引き起こしていると確信される場合は、次のコマンドでドライバをアンロードします。

    fltmc unload vsepflt

    次に、ベースライン取得のテストを実行します。次に、ドライバをロードし、次のコマンドを実行して別のテストを実行します。

    fltmc load vsepflt

    シン エージェントでパフォーマンスの問題があることを確認した場合は、「Slow VMs after upgrading VMware tools in NSX / vCloud Networking and Security (2144236)」を参照してください。

  5. Network Introspection を使用していない場合は、このサーバを削除または無効にします。Network Introspection の無効化の詳細については、「Windows virtual machines using the vShield Endpoint TDI Manager or NSX Network Introspection Driver (vnetflt.sys) driver fails with a blue diagnostic screen (2121307)」を参照してください。また、『NSX Administration Guide』の「アクティビティ監視」セクションも参照してください。

    あるいは、単に Modify VMware Tools インストールから Network Introspection を削除することもできます。

    1. VMware Tools インストーラをマウントします。
    2. [Control Panel] > [Programs and Features] に移動します。
    3. [VMware Tools] > [変更] を右クリックします。
    4. [完全インストール] を選択します。
    5. [NSX File Introspection] を検索します。Network Introspection 専用のサブ フォルダがあるはずです。
    6. Network Introspection を無効にします。

    :VMを再起動して、ドライバのアンインストールを完了します。

  6. シン エージェントのデバッグ ログを有効にすることができます。詳細については、「Enabling debug logging for VMware Tools vShield Endpoint thin agent driver (2073078)」を参照してください。

    :すべてのデバッグ情報は、その仮想マシンの vmware.log ファイルに記録されるように構成されます。

  7. procmon ログを確認すると、シン エージェントの実際のファイル スキャンをよりよく理解できます。詳細については、「Troubleshooting vShield Endpoint performance issues with anti-virus software (2094239)」を参照してください。

Mux

ESXi ホスト上の一部の仮想マシンが Endpoint で機能していないか、特定のホストで SVA への通信に関するアラームが表示された場合、それは ESXi ホスト上の MUX モジュールに関する問題である可能性があります。

  1. 次のコマンドを実行して、ESXi ホスト上でサービスが稼働しているかどうかを確認します。

    ps -c |grep Mux

    例:

    ~ # ps -c | grep Mux
    192223 192223 sh /bin/sh /sbin/watchdog.sh -s vShield-Endpoint-Mux -q 100 -t 1000000 /usr/lib/vmware/vShield-Endpoint-Mux 900 -c 910
    192233 192233 vShield-Endpoint-Mux /usr/lib/vmware/vShield-Endpoint-Mux 900 -c 910
    192236 192233 vShield-Endpoint-Mux /usr/lib/vmware/vShield-Endpoint-Mux 900 -c 910


  2. サービスが稼働していないことを確認した場合は、それを再起動するか、次のコマンドで起動することができます。

    /etc/init.d/vShield-Endpoint-Mux start

    または

    /etc/init.d/vShield-Endpoint-Mux restart

    :このサービスは、営業時間内に再起動しても問題ありません。特に大きい影響はなく、わずか数秒で再起動するからです。

  3. Mux モジュールによる処理や通信ステータスをさらに理解するには、ESXi ホストのログを確認することができます。Mux ログは、ホストの /var/log/syslog ファイルに書き込まれます。これは、ESXi ホスト サポート ログにも含まれます。詳細については、「Collecting diagnostic information for ESX/ESXi hosts and vCenter Server using the vSphere Web Client (2032892)」を参照してください。

  4. Mux のデフォルト ログ オプションは info で、debug に上げてさらに多くの情報を収集することができます。詳細については、「Collecting diagnostic information for the NSX Guest Introspection MUX VIB (2094267)」を参照してください。

  5. 特に、誤ったバージョンがインストールされているか、過去に Endpoint がインストールされていた環境に ESXi ホストが配置された場合に Mux モジュールを再インストールすると、さまざまな問題を修正することもできます。これは、削除して再インストールする必要があります。VIB を削除するには、次のコマンドを実行します。

    esxcli software vib remove -n epsec-mux

    :この変更を有効にするには、ESXi ホストを再起動する必要があります。ESXi ホストが再起動したら、ホストを Endpoint 用にもう一度準備します。

  6. VIB のインストールで問題が発生した場合は、ESXi ホストの /var/log/sxupdate.log ファイルを確認します。このログには、ドライバが正常にインストールされなかった理由についての最も明確な情報が記録されます。

    これは、Mux インストールの問題に関する一般的な問題です。詳細については、「Installing NSX Guest Introspection services (MUX VIB) on the ESXi host fails in VMware NSX for vSphere 6.x (2135278)」を参照してください。

    インストールが失敗する別の一般的な理由は、ESXi イメージが破損していることです。それに該当する場合:

    1. 次のようなエラー メッセージを見つけます。

      esxupdate: esxupdate: ERROR: InstallationError: (None, 'No image profile is found on the host or image profile is empty. An image profile is required to install or remove VIBs. To install an image profile, use the esxcli image profile install command.')

    2. 破損があるかどうかを確認することができます。

      a. コマンド cd /vmfs/volumes を ESXi ホスト上で実行します。
      b. 次のコマンドを実行して、imgdb.tgz ファイルを検索します。
      find * | grep imgdb.tgz

      :このコマンドを実行すると、通常は 2 件に一致します。

      例:

      0ca01e7f-cc1ea1af-bda0-1fe646c5ceea/imgdb.tgz
      edbf587b-da2add08-3185-3113649d5262/imgdb.tgz


      c. 一致した各項目に対して、次のコマンドを実行します。
      ls -l match_result

      例:

      > ls -l 0ca01e7f-cc1ea1af-bda0-1fe646c5ceea/imgdb.tgz
      -rwx------ 1 root root 26393 Jul 20 19:28 0ca01e7f-cc1ea1af-bda0-1fe646c5ceea/imgdb.tgz
      > ls -l edbf587b-da2add08-3185-3113649d5262/imgdb.tgz
      -rwx------ 1 root root 93 Jul 19 17:32 edbf587b-da2add08-3185-3113649d5262/imgdb.tgz


      imgdb.tgz ファイルのデフォルトのサイズが他のものよりもはるかに大きいか、いずれかのファイルがわずか数バイトしかない場合は、ファイルが破損していることを示しています。これを解決するためにサポートされている方法は、特定の ESXi ホストの ESXi を再インストールすることです。

EPSecLib

NSX Manager は、この仮想マシンのデプロイを処理します。過去には(vShield で)、サードパーティの SVA ソリューションがデプロイを処理していました。その処理が NSX Manager に接続されるようになりました。NSX Manager は、この SVA のデプロイを処理します。環境内に SVA のアラームがある場合は、NSX Manager を使用して再デプロイしてみてください。



  • これはすべて NSX Manager 内に保存されるため、構成は失われます。
  • SVA 仮想マシンを再起動するよりも、再デプロイすることをお勧めします。
  • SVA などのホスト上の VIB および SVM をデプロイおよび監視するために、NSX は EAM に依存します。
  • EAM は、Install Status を判断するための真のソースです。
  • NSX ユーザー インターフェイス (UI) の Install ステータスが示すのは、VIB がインストールされているかどうか、または SVM がパワーオンされているかどうかだけです。
  • NSX ユーザー インターフェイス の Service ステータスは、仮想マシンの機能が動作しているかどうかを示します。

SVA のデプロイおよび NSX と vCenter Server プロセス間の関係

  1. クラスタが Endpoint 用に準備するために選択されると、EAM 上に SVA をデプロイするためのエージェンシーが作成されます。
  2. 次に、EAM は、作成したエージェンシーの情報を使用して OVF を ESXi ホストにデプロイします。
  3. NSX Manager は、OVF が EAM によってデプロイされたかどうかを確認します。
  4. NSX Manager は、仮想マシンが EAM によってパワーオンされたかどうかを確認します。
  5. NSX Manager は、仮想マシンがパワーオン状態で登録されているパートナー SVA ソリューション マネージャと通信します。
  6. EAM はイベントを NSX に送信して、インストールが完了したことを示します。
  7. パートナー SVA ソリューション マネージャはイベントを NSX に送信し、SVA 仮想マシン内のサービスが稼働していることを示します。
  1. SVA に問題があると思われる場合、ログで確認すべき部分が 2 つあります。EAM はこれらの仮想マシンのデプロイを処理するため、EAM ログを確認することができます。詳細については、「Collecting diagnostic information for VMware vCenter Server 4.x, 5.x and 6.0 (1011641)」を参照してください。あるいは、SVA ログを確認します。詳細については、「Collecting logs in VMware NSX for vSphere 6.x Guest Introspection Universal Service Virtual Machine (USVM) (2144624)」を参照してください。

  2. SVA のデプロイに問題がある場合は、EAM、および NSX Manager への通信に問題がある可能性があります。EAM ログを確認し、実行できる最も簡単なことは EAM サービスを再起動することです。詳細については、「Troubleshooting vSphere ESX Agent Manager (EAM) with NSX (2122392)」を参照してください。

  3. 前述のすべてが動作していても実際に Endpoint の機能をテストする場合は、Eicar Test ファイルを使用してテストすることができます。

    1. 新しいテキスト ファイルに任意のラベルを付けて作成します。例:eicar.test
    2. ファイルの中身は以下の文字列のみにする必要があります:X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    3. ファイルを保存します。保存するときに、ファイルが削除されることが観察されるはずです。これにより、Endpoint ソリューションが機能していることが確認されます。eicar の詳細については、「Eicar」のページを参照してください。

環境とワークロードの詳細を収集する

  1. ユーザー環境で vShield Endpoint または NSX Guest Introspection が使用されているかどうかを特定します。どちらも使用されていない場合は、仮想マシンの Endpoint または Guest Introspection ドライバを削除し、問題が解決されたことを確認します。Endpoint または Guest Introspection の問題は、それらが必要な場合にのみトラブルシューティングします。
  2. 環境の詳細を収集します。

    • ESXi のビルド バージョン - コマンド uname –a を ESXi ホスト上で実行するか、vSphere Web Client でホストをクリックし、右側のペインの最上部にあるビルド番号を探します。

    • VMware Tools のバージョンと Endpoint のバージョン仮想マシンのディレクトリからコマンド egrep -i "toolbox: version|driverentry" vmware.log を実行します。

    • vShield Endpoint または NSX File Introspection ドライバ (vsepflt.sys) のバージョンとビルド番号。ゲスト オペレーティング システムで、[c:\windows\system32\drivers\vsepflt.sys] を右クリックし、[プロパティ] > [バージョン] を選択して、製品のバージョンを書き留めます。

    • NSX Network Introspection ドライバ (vnetflt.sys)(インストールされている場合) - このドライバは NSX for vSphere アクティビティ監視機能をサポートします。VMware ESXi 5.5, Patch ESXi550-201505402-BG Updates tools-light (2114247) の時点で、File Introspection ドライバおよび Network Introspection ドライバは個別にインストールされるため、ネットワーク ドライバをインストールせずにファイル ドライバをインストールすることができます。VMware テクニカル サポートでは、サポート リクエストをトラブルシューティングしている間、いずれかのドライバをアンインストールするようお願いしています。ネットワーク ドライバを無効にしても、Endpoint の機能には影響しません。vnetflt.sys ドライバを無効にするには:

      1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\vnetflt\Start 値を 4 に設定します。
      2. 仮想マシンを再起動します。

    • vCNS または NSX for vSphere のバージョン。

    • パートナー ソリューション名およびバージョン番号。

    • パートナー ソリューションが使用される EPSec ライブラリのバージョン番号:SVM にログインして、#strings path to EPSec library/libEPSec.so | grep BUILD を実行します。

    • 仮想マシンのゲスト オペレーティング システム / サービス パック。

    • その他のサードパーティ アプリケーションまたはファイル システム ドライバ。Windows 仮想マシンの管理コマンド プロンプトから、以下のコマンドを実行して出力を収集します。
      FLTMC
      driverquery

    • ESX ホスト コンポーネント (MUX) のバージョン - コマンド esxcli software vib list | grep epsec-mux を実行します。

    • Endpoint ユーザー モード コンポーネント(保護された仮想マシンの)。

      1. ゲスト オペレーティング システムで、[C:\Program Files\VMware Tools\vsepumc.dll] を右クリックし、[プロパティ] > [バージョン] を選択して、製品のバージョンを書き留めます。
      2. ゲスト オペレーティング システムで、[C:\Program Files\VMware Tools\plugins\vmsvc\vsep.dll] を右クリックし、[プロパティ] > [バージョン] を選択して、製品のバージョンを書き留めます。

  3. サーバのタイプなどの、ワークロードの詳細を収集します。
    例:

    Web またはデータベース

  4. ESXi ホストのログを収集します。詳細については、「Collecting diagnostic information for VMware ESX/ESXi (653)」を参照してください。
  5. サービス仮想マシン (SVM) のログをパートナー ソリューションから収集します。SVM ログ収集の詳細については、パートナーにお問い合わせください。
  6. 問題が発生している間にサスペンド状態のファイルを収集します。詳細については、「Suspending a virtual machine on ESX/ESXi to collect diagnostic information (2005831)」を参照してください。

診断情報を収集する

詳細については、以下のリンクを参照してください。

特定の問題をトラブルシューティングする

このセクションでは、特定の問題を隔離してトラブルシューティングする方法を説明します。

一般的に、VMware Endpoint のパートナーは、初期レベルのテクニカル サポートを提供します。VMware では、特にパフォーマンスと相互運用性の問題の場合、可能であればパートナーに問い合わせることをお勧めしています。

ゲスト オペレーティング システム BSOD をトラブルシューティングしないと仮想マシンがクラッシュする

ミニ ダンプでは VMware が問題を隔離するたけの十分な情報を得られないため、完全なメモリ ダンプを収集します。

その他のドライバとの相互運用性

Microsoft procmon ユーティリティを使用します。詳細については、「Windows Sysinternals, Process Monitor v3.1」を参照してください。

:前述のリンクは、2016 年 6 月 5 日時点のものです。リンクが切れているのに気づいた場合はご連絡ください。VMware の担当者がリンクをアップデートします。

仮想マシンがハングまたはフリーズする

サスペンド状態の仮想マシンの VMware vmss ファイルを収集し、「Suspending a virtual machine on ESX/ESXi to collect diagnostic information (2005831)」を参照するか、仮想マシンをクラッシュさせて、完全なメモリ ダンプ ファイルを収集します。VMware では、ESXi vmss ファイルを windbg ダンプ ファイルに変換するユーティリティを提供しています。詳細については、「Vmss2core fling from VMware」を参照してください。

エラー メッセージ

エラー:USVM Heartbeat status error
考えられる解決策:NSX Manager と USVM 間でネットワーク接続が切断されました。その接続を確認してください。

パフォーマンス

仮想マシン内で何かがあまりにゆっくり発生したときにパフォーマンスの問題をトラブルシューティングするには、「Troubleshooting vShield Endpoint performance issues with anti-virus software (2094239)」を参照してください。

解決した問題

次のリンクは、vShield Endpoint の既知の問題および解決した問題を説明しています。

サポート対象のゲスト オペレーティング システム

ゲスト OS のサポートは、製品とバージョンによって異なります。VMware Tools は、サポートされるゲストにスムーズにインストールするように設計されています。サポート対象のゲスト オペレーティング システムのリストについては、「Guest operating systems that are supported for vShield Endpoint Thin Agent (1036847)」を参照してください。

:このリンクは 2016年 5 月 25 日時点のものです。リンクが切れているのに気づいた場合はご連絡ください。VMware の担当者がリンクをアップデートします。


Additional Information

Uploading diagnostic information for VMware
Guest operating systems that are supported for vShield Endpoint Thin Agent
Suspending a virtual machine on ESX/ESXi to collect diagnostic information
vShield Endpoint Thin Agent がサポートするゲスト オペレーティング システム
Enabling debug logging for VMware Tools vShield Endpoint thin agent driver
Virtual machine in ESXi is unresponsive with a non-paged pool memory leak
VMware への診断情報のアップロード
非ページ プール メモリ リークが発生して ESXi の仮想マシンが応答しなくなる
Windows virtual machine installed with vShield Endpoint Thin Agent (vsepflt.sys) and vShield Endpoint TDI Manager (vnetflt.sys) drivers becomes unresponsive or fails with a blue diagnostic screen
vShield Endpoint Thin Agent (vsepflt.sys) および vShield Endpoint TDI Manager (vnetflt.sys) ドライバを使用してインストールされた Windows 仮想マシンが応答しなくなるか、障害が発生して青色の診断画面が表示される
Windows 2008 R2 fails with a blue diagnostic screen when the installed antivirus software includes the vShield Endpoint filter driver
インストールされているアンチウイルス ソフトウェアに vShield Endpoint フィルタ ドライバが含まれる場合に Windows 2008 R2 がブルー スクリーンで失敗する
Troubleshooting vShield Endpoint performance issues with anti-virus software
Troubleshooting vShield Endpoint / NSX Guest Introspection
Collecting diagnostic information for the NSX Guest Introspection MUX VIB
ESX/ESXi 上の仮想マシンをサスペンドして診断情報を収集する
NSX Guest Introspection の MUX VIB で診断情報を取得する方法
アンチウィルス ソフトウェアによる vShield Endpoint のパフォーマンスの問題のトラブルシューティング