トラブルシューティング集 - ソフトウェア

FUJITSU Software
Systemwalker Security Control
トラブルシューティング集
Windows(64)
B1WD-3334-02Z0(00)
2014年10月
まえがき
本書の目的
本書は、Systemwalker Security Controlで想定されるトラブルの対処方法について説明しています。
本書の読者
本書は、Systemwalker Security Controlの導入を検討されている方、およびSystemwalker Security Controlを使用してシステムを運用・
管理する方を対象としています。
本書を読む場合、OSやGUIの一般的な操作をご理解のうえでお読みください。
本書の構成
本書は、以下の章から構成されています。
第1章 トラブル対処の流れ
Systemwalker Security Controlのトラブル対処の流れについて説明しています。
第2章 インシデントに関するトラブルシューティング
Systemwalker Security Controlのインシデントに関するトラブルの対処方法について説明しています。
第3章 導入に関するトラブルシューティング
Systemwalker Security Controlの導入に関するトラブルの対処方法について説明しています。
第4章 運用に関するトラブルシューティング
Systemwalker Security Controlの運用に関するトラブルの対処方法について説明しています。
本書の位置づけ
Systemwalker Security Controlのマニュアルにおける本書の位置づけは、以下のとおりです。
マニュアル名称
内容
Systemwalker Security Control 解説書
Systemwalker Security Controlの概要および動作環境について説明します。
Systemwalker Security Control 導入ガ
イド
Systemwalker Security Controlの導入設定および保守/管理方法について説明します。
Systemwalker Security Control 運用ガ
イド
Systemwalker Security Controlの運用方法について説明します。
Systemwalker Security Control リファレ
ンスマニュアル
Systemwalker Security Controlで使用するコマンドおよびファイルについて説明します。
Systemwalker Security Control メッ
セージ集
Systemwalker Security Controlで出力されるメッセージについて説明します。
Systemwalker Security Control トラブル
シューティング集(本書)
Systemwalker Security Controlで想定される異常事象に対する、原因と対処方法を説明
します。
ソフトウェア技術情報ホームページでは、最新のマニュアルを公開しています。
最初に、ソフトウェア技術情報ホームページを参照することをお勧めします。
ソフトウェア技術情報 URL :
http://software.fujitsu.com/jp/technical/
本書の表記について
本書では、説明のために、以下に示す名称、記号および略称を使用しています。
-i-
コマンドで使用する記号について
コマンドで使用している記号について以下に説明します。
記述例
[PARA={a |b |c |・・・}]
記号の意味
記号
意味
[]
この記号で囲まれた項目を省略できることを示します。
{}
この記号で囲まれた項目の中から、どれか1つを選択することを示します。
__
省略可能記号です。“[ ]”内の項目をすべて省略したときの省略値が、下線で示された項目であることを
示します。
|
この記号を区切りとして並べられた項目の中から、どれか1つを選択することを示します。
・・・
この記号の直前の項目を繰り返して指定できることを示します。
略語表記について
本書では、以下のように製品表示名を略して表記します。
製品表示名
略称
Microsoft(R) Windows Server(R) 2012 R2 Standard(x64)
Microsoft(R) Windows Server(R) 2012 R2 Datacenter(x64)
Microsoft(R) Windows Server(R) 2012 Standard(x64)
Microsoft(R) Windows Server(R) 2012 Datacenter(x64)
Windows Server 2012
Windows Internet Explorer(R)
Internet Explorer
輸出管理規制について
本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出管理関連法規等の規制をご確認のうえ、
必要な手続きをおとりください。
商標について
Microsoft、Windows、Windows Serverは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
その他記載の会社名、製品名は、それぞれの会社の商標または登録商標です。
また、本書に記載されている会社名、システム名、製品名などには必ずしも商標表示(TM・(R))を付記しておりません。
Microsoft Corporationのガイドラインに従って、画面写真を使用しています。
出版年月および版数
版数
マニュアルコード
2014年 8月 初版
B1WD-3334-01Z0(00)/B1WD-3334-01Z2(00)
2014年10月 第2版
B1WD-3334-02Z0(00)/B1WD-3334-02Z2(00)
著作権表示
Copyright 2014 FUJITSU LIMITED
- ii -
目 次
第1章 トラブル対処の流れ......................................................................................................................................................... 1
1.1 調査資料の採取について.................................................................................................................................................................. 1
第2章 インシデントに関するトラブルシューティング...................................................................................................................... 2
2.1 セキュリティアラートに関するトラブルシューティング......................................................................................................................... 2
2.1.1 セキュリティアラートが送信されない............................................................................................................................................ 2
2.1.2 セキュリティアラートを受信できない.............................................................................................................................................2
2.2 インシデント発行に関するトラブルシューティング............................................................................................................................. 2
2.2.1 インシデントが発行されない........................................................................................................................................................ 3
2.3 インシデント対処に関するトラブルシューティング............................................................................................................................. 3
2.3.1 インシデント対処中に管理サーバがダウンした.......................................................................................................................... 3
2.3.2 ネットワーク対処中にエラーが発生した...................................................................................................................................... 4
2.3.3 端末対処中にエラーが発生した................................................................................................................................................. 5
2.3.4 タスクが表示されない...................................................................................................................................................................5
2.3.5 受付やエスカレーションができない............................................................................................................................................. 6
第3章 導入に関するトラブルシューティング................................................................................................................................. 7
3.1 インストール/アンインストールに関するトラブルシューティング......................................................................................................... 7
3.1.1 インストール/アンインストールの処理が進まない........................................................................................................................7
第4章 運用に関するトラブルシューティング................................................................................................................................. 8
4.1 起動に関するトラブルシューティング................................................................................................................................................. 8
4.1.1 Systemwalker Security Controlの起動に失敗する(1).................................................................................................................8
4.1.2 Systemwalker Security Controlの起動に失敗する(2).................................................................................................................8
4.1.3 システム起動後にSystemwalker Security Controlの自動起動に失敗する................................................................................9
4.2 リストアに関するトラブルシューティング..............................................................................................................................................9
4.2.1 リストアコマンド実行中に管理サーバがダウンした..................................................................................................................... 9
- iii -
第1章 トラブル対処の流れ
Systemwalker Security Controlでは、トラブルに対して原因を追及するために、保守情報を収集することを推奨しています。トラブル直
後の保守情報を収集することにより、本書の対処方法で対処できなかった場合のトラブルに対して、調査および原因追及ができます。
トラブルが発生してからの手順は、以下のようになります。
1. トラブルが発生したと思ったら、まず保守情報を収集します。
2. 発生している現象に対して、それぞれ対処し、確認します。
3. 対処できた場合は、そのまま運用を継続してください。
手順1で採取した保守情報は、次のトラブル時に利用するために保存しておいてください。
4. 対処できなかった場合は、手順1で収集した保守情報を富士通技術員に送付し、調査を依頼してください。
1.1 調査資料の採取について
異常が発生している管理サーバで、以下に示す資料を採取してください。
管理サーバの保守情報
管理サーバの調査資料は、FJQSS(資料採取ツール)を使用して採取します。管理者権限が必要であるため、ローカルコンピュータの
Administratorsグループに所属しているユーザーでログインして操作します。
以下の手順で行ってください。
1. [スタート]/[アプリ]から、[FJQSS(資料採取ツール)]-[資料採取(Systemwalker Security Control)]を選択します。
2. 表示される画面からトラブル調査資料を収集します。
ポイント
・ FJQSS(資料採取ツール)を使用する場合は、出力先フォルダーおよび作業フォルダーにそれぞれ1.1GB程度の空き容量が必要
です。デフォルトの場合は、すべてのシステムドライブ上のフォルダーが設定されており、合計3.3GB程度の空き容量が必要です。
・ FJQSS(資料採取ツール)で採取する資料の出力先フォルダーおよび作業フォルダーは、環境変数または環境設定ファイルを設
定することで変更できます。
FJQSS(資料採取ツール)の詳細、出力先フォルダーおよび作業フォルダーの変更方法については、以下のマニュアルを参照してくだ
さい。
[スタート]/[アプリ]-[FJQSS(資料採取ツール)]-[FJQSS ユーザーズガイド]
-1-
第2章 インシデントに関するトラブルシューティング
本章では、Systemwalker Security Controlのインシデントに関するトラブルの対処方法について説明します。
2.1 セキュリティアラートに関するトラブルシューティング
Systemwalker Security Controlのセキュリティアラートに関するトラブルの対処方法について説明します。
2.1.1 セキュリティアラートが送信されない
現象
検知製品(センサー)からセキュリティアラートが送信されません。
以下の原因が考えられます。
・ 管理サーバに対する通信がファイアーウォールで遮断されている
・ 検知製品(センサー)に対する設定が誤っている
確認ポイント
・ 検知製品(センサー)側のファイアーウォールの設定を確認し、管理サーバにセキュリティアラートの送信が可能かを確認します。
・ “Systemwalker Security Control 導入ガイド”および使用している検知製品(センサー)のマニュアルを参照し、セキュリティアラート
送信の設定を確認します。
対処方法
・ ファイアーウォールの設定に誤りがある場合は、管理サーバにセキュリティアラートの送信が遮断されないように設定を変更してく
ださい。
・ “Systemwalker Security Control 導入ガイド”および使用している検知製品(センサー)のマニュアルを参照し、設定を変更してくだ
さい。
2.1.2 セキュリティアラートを受信できない
現象
管理サーバがセキュリティアラートを受信できません。
以下の原因が考えられます。
・ 管理サーバが停止している
・ 管理サーバのファイアーウォールの設定で、セキュリティアラートの受信が遮断されている
確認ポイント
・ 管理サーバが起動しているかを確認します。
・ 管理サーバのファイアーウォールの設定で、セキュリティアラートの受信ポートへの通信が可能かを確認します。
対処方法
・ 管理サーバが停止している場合は、管理サーバを起動してください。
・ 管理サーバのファイアーウォールの設定で、セキュリティアラートの受信ポートへの通信を許可してください。
2.2 インシデント発行に関するトラブルシューティング
Systemwalker Security Controlのインシデント発行に関するトラブルの対処方法について説明します。
-2-
2.2.1 インシデントが発行されない
現象
インシデントが発行されません。
以下の原因が考えられます。
・ インシデント対処方法定義ファイルの設定に誤りがある
・ セキュリティ運用を行うユーザーを追加登録した際に、既存のユーザーと同じuidをもつユーザーを登録した
確認ポイント
・ インシデント対処方法定義ファイルの設計に誤りがある場合
インシデント対処方法定義ファイルの設定で、アラートに対する対処シナリオ名が正しいかを確認します。
・ セキュリティ運用を行うユーザーを追加登録した際に、既存のユーザーと同じuidをもつユーザーを登録した場合
イベントログに以下のメッセージが出力されていないかを確認します。
FSP_SW/SECCNTL_SCSV: ERROR: 00901: インシデントの発行に失敗しました。 インシデントID:xxxxxxx-xxxxx アラート名:xxxxx ア
ラート発生時刻:yyyy/mm/dd hh:mm:ss 詳細情報:Process Instance Start Request Failed.
対処方法
・ インシデント対処方法定義ファイルの設計に誤りがある場合
インシデント対処方法定義ファイルを正しく設定し、管理サーバに登録してください。
・ セキュリティ運用を行うユーザーを追加登録した際に、既存のユーザーと同じuidをもつユーザーを登録した場合
誤って登録したユーザーを削除後、再度正しく登録し、管理サーバを再起動してください。
インシデントが発行されなかったアラートについては、swsc_analyzeコマンドで出力されるアラート情報およびセンサー機器側の情報を
参照し、対処してください。swsc_analyzeコマンドの詳細は、“Systemwalker Security Control リファレンスマニュアル”を参照してくださ
い。
2.3 インシデント対処に関するトラブルシューティング
Systemwalker Security Controlのインシデント対処に関するトラブルの対処方法について説明します。
2.3.1 インシデント対処中に管理サーバがダウンした
現象
インシデントの動作中に管理サーバでシステムダウンなどの異常が発生した場合には、インシデントの進行が停止します。このような場
合は、管理サーバを異常状態から復旧したあとに、swsc_recoverprocessコマンド(インシデントのリカバリーコマンド)を利用してインシデ
ントをリカバリーします。
確認ポイント
管理サーバが異常状態から復旧したことを確認し、対処方法を実施します。
対処方法
以下の手順で実施します。
1. 異常状態からの復旧後に、管理サーバにログインします。
2. コマンドプロンプトを管理者権限で起動します。
3. swsc_statusコマンドで、Systemwalker Security Controlが正常に起動していることを確認します。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_status
-3-
30分以上経過しても起動していることを確認できない場合、“4.1.1 Systemwalker Security Controlの起動に失敗する(1)”で対処
できることがあります。
4. swsc_recoverprocessコマンドを実行して、異常になったインシデントをリカバリーします。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_recoverprocess
5. リカバリーに失敗したインシデントについては、インシデント管理コンソールの各コンテンツ内のタスクを確認し、表示されている
指示に従って対処してください。
2.3.2 ネットワーク対処中にエラーが発生した
現象
インシデントのネットワーク対処中に対処機器やネットワークなどの異常でエラーが発生した場合は、インシデント管理コンソールの詳
細エリアに表示される[ネットワーク対処]タブの[結果詳細]にメッセージが表示されます。
メッセージの内容を参照し、エラー原因を取り除きます。
・ メッセージ1
parts00002: The communication method with the business server was not able to be decided.
parts00074: It is not possible to connect to the server. type=(SSH) detail=(Connection refused - Connection refused)
・ メッセージ2
parts09106: failed to execute the command. command was not executed.
または、
parts09107: Failed to execute the operation. detail=(Command terminated abnormally)
・ メッセージ3
parts00003: It was not possible to switch to the execution user. detail=(sudo failed)
確認ポイント
表示されるメッセージに応じて、以下を確認します。
・ メッセージ1
a. Systemwalker Security Controlの運用の準備で登録した、対処機器の値が正しく登録されているか
- 対処機器のIPアドレス
- 対処機器への接続ユーザーとパスワード
b. 対処機器が動作しているか
c. 対処機器へのネットワークアクセスに問題がないか
・ メッセージ2
a. Systemwalker Security Controlの運用の準備で登録した、対処機器の値が正しく登録されているか
- 対処機器への実行ユーザーとパスワード
・ メッセージ3
a. Systemwalker Security Controlの導入時に設定した、接続ユーザーと実行ユーザーが異なる場合の対処機器側のsudoファ
イルの設定が正しいか
対処方法
表示されるメッセージとその確認ポイントに応じて、以下を実施します。
・ メッセージ1
a. 対処機器の登録内容に誤りがないか、データベースに登録されている対処機器の構成アイテムの内容を見直してください。
-4-
b. 対処機器を動作させてください。
c. 対処機器へのネットワークアクセスの問題を解決してください。
・ メッセージ2
a. 対処機器の登録内容に誤りがないか、データベースに登録されている対処機器の構成アイテムの内容を見直してください。
・ メッセージ3
a. 接続ユーザーと実行ユーザーが異なる場合の対処機器側のsudoファイルを正しく設定してください。
2.3.3 端末対処中にエラーが発生した
現象
インシデントの端末対処中にSMTPサーバやネットワークなどの異常でエラーが発生した場合は、インシデント管理コンソールの詳細
エリアに表示される[端末対処]タブの[送信結果詳細]にメッセージが表示されます。
メッセージの内容を参照し、エラー原因を取り除きます。
・ メッセージ
parts00077: Mail was not able to send. detail=(xxxxxxx) (注)
注) detailに出力されるメッセージは不定です。
確認ポイント
以下を確認します。
a. Systemwalker Security Controlの導入時に設定した、SMTPサーバの値が正しく設定されているか
- SMTPサーバのホスト名
- SMTPサーバの受付ポート
- SMTP認証のユーザー名
- SMTP認証のユーザーパスワード
b. SMTPサーバが動作しているか
c. SMTPサーバへのネットワークアクセスに問題がないか
対処方法
確認ポイントに応じて、以下を実施します。
a. SMTPサーバの値に誤りがないか、対処シナリオ環境設定ファイルの設定を見直してください。
b. SMTPサーバを動作させてください。
c. SMTPサーバへのネットワークアクセスの問題を解決してください。
2.3.4 タスクが表示されない
現象
タスク発生後にSystemwalker Security Controlに追加されたユーザー(インシデント対応者またはインシデント管理者)には、一部のイン
シデントのタスクが表示されません。
確認ポイント
ユーザーの追加がタスク発生後か確認します。
-5-
対処方法
タスクが表示されているユーザーでインシデントの作業を実施してください。
2.3.5 受付やエスカレーションができない
現象
タスク発生後にSystemwalker Security Controlに追加されたユーザー(インシデント対応者またはインシデント管理者)は、一部のインシ
デントに対して、受付やエスカレーションができません。
確認ポイント
受付やエスカレーションをした場合に、以下のメッセージがダイアログに表示されることを確認します。
インシデントを更新する権限がありません。インシデントID=%s
%s: インシデントID
対処方法
タスクが表示されているユーザーで受付やエスカレーションをしてください。
-6-
第3章 導入に関するトラブルシューティング
本章では、Systemwalker Security Controlの導入に関するトラブルの対処方法について説明します。
3.1 インストール/アンインストールに関するトラブルシューティング
Systemwalker Security Controlのインストール/アンインストールに関するトラブルの対処方法について説明します。
3.1.1 インストール/アンインストールの処理が進まない
現象
Systemwalker Security Controlのインストール/アンインストールの処理が進みません。
以下の原因が考えられます。
・ Windows Server 2012の自動メンテナンスが実施されている
確認ポイント
[スタート]/[アプリ]-[コントロールパネル]-[システムとセキュリティ]-[アクション センター]で、[メンテナンス]を開き、[自動メンテナンス]の
状態を確認してください。
・ 「メンテナンスは進行中です」となっている場合は、自動メンテナンスが実施されています。対処方法を実施して自動メンテナンス
を停止します。
・ 「操作は不要です」となっている場合は、自動メンテナンスは実施されていません。そのままお待ちください。
対処方法
[スタート]/[アプリ]-[コントロールパネル]-[システムとセキュリティ]-[アクション センター]で、[メンテナンス]を開き、[メンテナンスの停止]
をクリックします。
-7-
第4章 運用に関するトラブルシューティング
本章では、Systemwalker Security Controlの運用に関するトラブルの対処方法について説明します。
4.1 起動に関するトラブルシューティング
Systemwalker Security Controlの起動に関するトラブルの対処方法について説明します。
4.1.1 Systemwalker Security Controlの起動に失敗する(1)
現象
Systemwalker Security Controlの起動に失敗するとき、Systemwalker Security Controlを停止してから起動することで対処できる場合が
あります。
起動に失敗する原因として、以下が考えられます。
・ 停電、サーバ故障、および誤操作が原因で、実行中のSystemwalker Security Controlプロセス停止などにより、Systemwalker
Security Controlの処理が突然中断された
確認ポイント
・ OS起動後30分以上経過しているとき、swsc_statusコマンドを実行すると、以下のメッセージが出力されます。
Error:Systemwalker Security Control の動作に必要なプロセスが一部起動されていません。
また、イベントログに以下の2つのメッセージが出力されます。
OpenDS failed in startup. OpenDS is in [Systemwalker Security Controlのインストールディレクトリ]\SWSC\etc\share\OpenDJ.
FSP_SW/SECCNTL_SCTOOLS: ERROR: 10201: Systemwalker Security Controlの起動処理に失敗しました。
・ swsc_startコマンドを実行すると、以下のメッセージが出力されます。
Error:Systemwalker Security Controlの起動処理に失敗しました。
対処方法
以下の手順で実施します。
1. swsc_stopコマンドで、Systemwalker Security Controlを停止します。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_stop
2. swsc_startコマンドで、Systemwalker Security Controlを起動します。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_start
4.1.2 Systemwalker Security Controlの起動に失敗する(2)
現象
swsc_startコマンドでSystemwalker Security Controlの起動に失敗し、管理サーバが起動しません。
起動に失敗する原因として、以下が考えられます。
・ 管理サーバのIPアドレスを変更した
・ 管理サーバのホスト名を変更した
・ 管理サーバに取り付けられているネットワークインターフェース装置を取り外した
-8-
確認ポイント
swsc_startコマンドを実行すると、以下のメッセージが出力されます。
Error:Systemwalker Security Controlの起動処理に失敗しました。
また、イベントログに以下のメッセージが出力されます。
ISJE6: ERROR: ISJE6_OM1022: Cluster unable to start (ISJE6-STFSCFJJAVAEE)
PCMI: ERROR: PCMI1003: Process unable to start.: INSTANCE=C:\SW_SECCNTL\fjje6\var\pcmi\isje6 ID=SWSCBPMIns
ADAPTER=Gf3PCMIAdapter (STFSCFJJAVAEE)
PCMI: ERROR: PCMI1102: The startup time of process exceeded the process monitoring time.: INSTANCE=C:\SW_SECCNTL\fjje6\var
\pcmi\isje6 ID=SWSCBPMIns ADAPTER=Gf3PCMIAdapter PID=5380 (STFSCFJJAVAEE)
FSP_SW/SECCNTL_SCTOOLS: ERROR: 10201: Systemwalker Security Controlの起動処理に失敗しました。
対処方法
“Systemwalker Security Control 導入ガイド”の“管理サーバのホスト名/IPアドレスの変更”を参照し、変更後のホスト名/IPアドレスを管
理サーバに登録してください。
4.1.3 システム起動後にSystemwalker Security Controlの自動起動に失敗する
現象
管理サーバのホスト名/IPアドレスの変更時に、ホスト名/IPアドレス変更コマンドを-bオプションで実行しないで、ホスト名/IPアドレスの変
更とシステムの再起動を行った場合、システム起動後に、Systemwalker Security Controlの自動起動に失敗します。
確認ポイント
swsc_statusコマンドを実行すると、以下のメッセージが出力されます。
Error:Systemwalker Security Controlの動作に必要なプロセスが一部起動されていません。
対処方法
以下の手順で実施します。
1. swsc_stopコマンドで、Systemwalker Security Controlを停止します。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_stop
2. ホスト名/IPアドレス変更コマンドを-aオプションで実行します。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_chghostinf -a
3. swsc_startコマンドで、Systemwalker Security Controlを起動します。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_start
4.2 リストアに関するトラブルシューティング
Systemwalker Security Controlのリストアに関するトラブルの対処方法について説明します。
4.2.1 リストアコマンド実行中に管理サーバがダウンした
現象
リストアコマンドの動作中に管理サーバでシステムダウンなどの異常が発生し、リストアコマンドが中断した場合には、データの整合性
がとれない状態になり、正常に運用できなくなります。
以下のような現象が発生します。
・ インシデント管理コンソールにログインできない
-9-
このような場合は、管理サーバを異常状態から復旧したあとに、再度リストアを実施してください。
確認ポイント
管理サーバが異常状態から復旧したことを確認し、対処方法を実施します。
対処方法
以下の手順で実施します。
1. 異常状態からの復旧後に、管理サーバにログインします。
2. コマンドプロンプトを管理者権限で起動します。
3. swsc_statusコマンドで、Systemwalker Security Controlの起動状態を確認します。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_status
4. Systemwalker Security Controlの起動状態に応じて、以下の対処を実施します。
- Systemwalker Security Controlが停止している場合
リストアコマンドを実行します。
- Systemwalker Security Controlが起動している場合
以下のコマンドを実行して、アンセットアップします。
[Systemwalker Security Controlのインストールディレクトリ]\SWSC\bin\swsc_setup -u
アンセットアップが完了したあと、リストアコマンドを実行します。
5. リストアコマンドが正常に終了したことを確認します。
コマンドプロンプトに以下の完了メッセージが表示されたことを確認します。
Systemwalker Security Controlのリストア処理が正常に完了しました。
6. swsc_startコマンドを実行して、Systemwalker Security Controlを起動します。
- 10 -