エージェントのトラブルシューティング機能の使用 - Security Center

Security Center エージェントがオフラインになる、インストールまたはアンインストールに失敗する、あるいは CPU 使用率が高くなるなどの問題が発生した場合、自動トラブルシューティングツールを使用して迅速に診断するか、手動のトラブルシューティング手順に従って項目を一つずつ確認してください。

背景情報

Security Center コンソールでエージェントが未インストールまたはオフラインと表示された場合、サーバーは Security Center の保護を失い、侵入リスクにさらされる可能性があります。次の表に、エージェントのオフライン問題の一般的な原因を示します。

原因	説明
エージェントプロセスの異常	コアエージェントプロセス (`AliYunDun` または `AliYunDunUpdate`) が正常に実行されていません。考えられる原因には、プロセスのクラッシュ、手動終了、またはシステムエラーが含まれます。
ネットワーク接続の失敗	サーバーと Security Center バックエンド間のネットワークが切断され、ハートビートのレポートが妨げられています。
DNS 名前解決の失敗	サーバー上の DNS サービスが異常で、Security Center バックエンドのドメイン名を解決できません。
ファイアウォールまたはセキュリティグループの制限	サーバー上のファイアウォール ACL ルールまたは Alibaba Cloud セキュリティグループルールが、エージェントと Security Center バックエンド間の通信をブロックしています。
サーバーリソースの不足	サーバーリソース (CPU またはメモリが 95% 超) の継続的な高使用率が、エージェントの動作を妨害しています。
サードパーティのセキュリティソフトウェアの競合	サーバーにインストールされているサードパーティのウイルス対策ソフトウェアが、Security Center エージェントのネットワークアクセスをブロックしています。

トラブルシューティング方法

方法	利用シーン	説明
コンソール	サーバーが Security Center に接続されている。	コンソールのエージェントトラブルシューティング機能を使用して、エージェントデータを自動的に収集および分析します。
CLI	サーバーが Security Center に接続されていない。	サーバー上で `aegis_checker` トラブルシューティングツールを実行して、エージェントの問題を自動的に診断します。
マニュアル	サーバーが Agent Troubleshooting または `aegis_checker` トラブルシューティングツールをサポートしていません。	エージェントプロセス、ネットワーク接続、システムリソースを一つずつ確認し、オフライン問題の原因を特定します。

コンソールでのトラブルシューティング

Security Center コンソールで、Agent Troubleshooting 機能を使用して、エージェントの問題を自動的に検出し、分析します。

適用範囲

サポートされているオペレーティングシステム：
- Windows Server 2008 以降
- 64 ビット Linux (CentOS 5 以前はサポート対象外)
サーバーが Security Center に接続されている。

手順

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、アセットセンター > ホストアセット を選択します。コンソールの左上隅で、資産が所在するリージョン ([Chinese Mainland] または [Outside Chinese Mainland]) を選択します。
[ホストアセット] ページで、[サーバー] タブをクリックします。サーバーリストで、トラブルシューティング対象のサーバーを選択し、リストの下にある [Agent Troubleshooting] をクリックします。

[Agent Troubleshooting] ダイアログボックスで、エージェントトラブルシューティングタスクの [Issue Type] と [Mode] を選択し、[Start Check] をクリックします。

パラメーター

説明

Issue Type

エージェントが経験している問題のタイプを選択します。問題が不明な場合は、[Overall Check (Unknown Issues)] を選択します。

Mode

トラブルシューティングモードを選択します。以下のモードが利用可能です：

[Standard Mode]：標準モードでは、エージェント関連のログデータを収集し、分析のために Security Center にレポートします。トラブルシューティングには約 1 分かかります。
[Enhancement Mode]：拡張モードでは、エージェント関連のネットワーク、プロセス、ログデータを収集し、分析のために Security Center にレポートします。トラブルシューティングには約 5 分かかります。

説明

診断プログラムは、サーバーからエージェント関連のネットワーク、プロセス、ログデータを収集し、分析のために Security Center にレポートします。

[Note] ダイアログボックスで [OK] をクリックして [タスク管理] パネルを開き、すべてのエージェントトラブルシューティングタスクを表示します。
説明
[ホストアセット] ページの右上隅にある [Agent Task Management] をクリックして、[タスク管理] パネルを開きます。

表示したいトラブルシューティングタスクを見つけ、[操作する] 列の [詳細] をクリックして [実行ログ] パネルを開きます。 [実行ログ] パネルには、各サーバーのトラブルシューティングの詳細が表示されます。

列	説明
Start Time/End Time	エージェントトラブルシューティングタスクの開始時刻と終了時刻。
サーバー基本情報	トラブルシューティングタスクに含まれるサーバーに関する情報。
ステータス	トラブルシューティングタスクのステータス。有効な値：開始済み：トラブルシューティングコマンドが送信されました。タイムアウト：トラブルシューティングコマンドが期待される時間内に結果を返しませんでした。成功：トラブルシューティング結果が生成されました。
Issue	トラブルシューティングタスク中に検出された問題。
Result	トラブルシューティングタスク中に検出された問題のソリューション。
操作する	トラブルシューティングタスクの診断ログ。さらなる分析のために診断ログをダウンロードします。

結果の分析：
- 検出された問題の一部については、[Result] 列にソリューションが提供されます。提供されたソリューションに従って問題を解決してください。
- [Result] 列にソリューションが提供されていない場合は、[操作する] 列の [Download Diagnostic Logs] をクリックして診断ログをダウンロードします。エクスポートした診断ログとご自身の AliUid を Alibaba Cloud テクニカルサポートに提供し、さらなる分析を依頼してください。

CLI でのトラブルシューティング

サーバーでトラブルシューティングツールのコマンドを実行して、エージェントの問題を自動的に診断します。

適用範囲

サポートされているサーバーのオペレーティングシステム：
- Windows Server 2008 以降
- 64 ビット Linux (CentOS 5 以前はサポート対象外)
サーバーが Security Center に接続されている。

手順

サーバーにログインします。
説明
- 管理者権限で Windows にログインします。
- root 権限で Linux にログインします。

サーバーで次のコマンドを実行します。

Alibaba Cloud ECS - Linux

標準モード (約 1 分)：
- ECS インスタンスがネットワーク経由で Security Center に接続できる場合は、root として次のコマンドを実行します：
```
wget "http://update2.aegis.aliyun.com/download/aegis_client_self_check/linux64/aegis_checker.bin" && chmod +x aegis_checker.bin && ./aegis_checker.bin
```
- ECS インスタンスがネットワーク経由で Security Center に接続できない場合は、aegis_checker をダウンロードしてサーバーにコピーします。その後、root として次のコマンドを実行します：
```
chmod +x aegis_checker.bin
 ./aegis_checker.bin
```

拡張モード (約 5 分)：root として次のコマンドを実行します：

wget "http://update2.aegis.aliyun.com/download/aegis_client_self_check/linux64/aegis_checker.bin" && chmod +x aegis_checker.bin && ./aegis_checker.bin -b "ew0KICAgICJ1dWlkIjogIiIsDQogICAgImNtZF9pZHgiOiAiIiwNCiAgICAiaXNzdWUiOiAib3RoZXJfaXNzdWUiLA0KICAgICJtb2RlIjogMywNCiAgICAianNydl9kb21haW4iOiBbXSwNCiAgICAidXBkYXRlX2RvbWFpbiI6IFtdDQp9"

Alibaba Cloud ECS - Windows

標準モード (約 1 分)：以下のいずれかの方法でトラブルシューティングを行います：

aegis_checker プログラムをダウンロードし、管理者として実行します。

管理者として cmd ウィンドウで次のコマンドを実行します：

powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://update2.aegis.aliyun.com/download/aegis_client_self_check/win32/aegis_checker.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\aegis_checker.exe'))"; "./aegis_checker.exe"

説明

拡張モードは Windows ではサポートされていません。

Alibaba Cloud 以外 - Linux

標準モード (約 1 分)：root として次のコマンドを実行します：

wget "http://aegis.alicdn.com/download/aegis_client_self_check/linux64/aegis_checker.bin" && chmod +x aegis_checker.bin && ./aegis_checker.bin

拡張モード (約 5 分)：root として次のコマンドを実行します：

wget "http://aegis.alicdn.com/download/aegis_client_self_check/linux64/aegis_checker.bin" && chmod +x aegis_checker.bin && ./aegis_checker.bin -b "ew0KICAgICJ1dWlkIjogIiIsDQogICAgImNtZF9pZHgiOiAiIiwNCiAgICAiaXNzdWUiOiAib3RoZXJfaXNzdWUiLA0KICAgICJtb2RlIjogMywNCiAgICAianNydl9kb21haW4iOiBbXSwNCiAgICAidXBkYXRlX2RvbWFpbiI6IFtdDQp9"

Alibaba Cloud 以外 - Windows

標準モード (約 1 分)：以下のいずれかの方法でトラブルシューティングを行います：

aegis_checker プログラムをダウンロードし、管理者として実行します。

管理者として cmd ウィンドウで次のコマンドを実行します：

powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/aegis_client_self_check/win32/aegis_checker.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\aegis_checker.exe'))"; "./aegis_checker.exe"

説明

拡張モードは Windows ではサポートされていません。

チェックが完了したら、生成されたログアーカイブをエクスポートします。ログアーカイブの保存パスは、サーバーのオペレーティングシステムによって異なります。
- Linux：ログアーカイブは /root/miniconda2/aegis_checker/output ディレクトリに保存されます。
- Windows：ログアーカイブは、カレントディレクトリ下の ./miniconda2/aegis_checker/output ディレクトリに保存されます。
結果の分析：チェック結果のログでは、[root cause] というプレフィックスが付いたエントリが、aegis_checker によって検出された問題を示します。
1. 一部の問題については、ソリューションまたは処理済みのステータスが提供されます。指示に従って問題を解決してください。
2. aegis_checker がソリューションを提供しない場合は、チェック結果のスクリーンショット、ログアーカイブ、およびご自身の AliUid を Alibaba Cloud テクニカルサポートに提供し、さらなる分析を依頼してください。

手動でのトラブルシューティング

エージェントがオフラインの場合は、サーバーにログインし、以下の手順に従って項目を一つずつ確認し、原因を特定します。

エージェントプロセス

診断手順：2 つのコアプロセス、AliYunDun と AliYunDunUpdate が実行中であることを確認します。

Linux： ps -ef | grep AliYunDun コマンドを実行して確認します。
Windows：タスクマネージャーを開き、[詳細] または [サービス] タブに移動して、関連するプロセスとサービスを見つけます。

解決策：エージェントプロセスを手動で再起動します。

Linux

次のコマンドを実行してプロセスを再起動します。

Windows

[サービス] パネルで、2 つの Security Center サービス (Alibaba Security Aegis Detect Service と Alibaba Security Aegis Update Service) を再起動します。これを行うには、各サービスを右クリックして [再起動] を選択します。

ネットワーク接続

診断手順：ご利用のファイアウォールまたはセキュリティグループが、jsrv.aegis.aliyun.com や update.aegis.aliyun.com などの Security Center サービスの IP アドレスまたはドメイン名へのアウトバウンドトラフィックを許可していることを確認します。サーバーが Security Center サービスに接続できない場合も、エージェントはオフラインになることがあります。

説明

Security Center サービスの IP アドレスとドメイン名の詳細については、「付録：エージェント通信エンドポイント (ドメイン名と IP アドレス)」をご参照ください。

解決策：

サーバー上の DNS サービスが正常に実行されていることを確認します。

DNS サービスが実行されていない場合は、サーバーを再起動するか、DNS サービスのトラブルシューティングを行ってください。
サーバーにネットワークアクセスポリシーが設定されているかどうかを確認します。
1. ファイアウォール ACL ルール
  
  ネットワークアクセスを許可するために、ファイアウォールの許可リストに Security Center サービスの IP アドレスまたはドメイン名を追加します。アウトバウンドトラフィックに対してのみルールを設定する必要があります。
  
  説明
  Alibaba Cloud Firewall を使用している場合は、「内部ネットワークからインターネットへのトラフィックに対するアウトバウンドアクセス制御ポリシーの作成」をご参照ください。
  
  ファイアウォール設定例 (iptables)：
```
# 制御サービスへのアクセスを許可
iptables -A OUTPUT -p tcp -d jsrv.aegis.aliyun.com --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -d jsrv.aegis.aliyun.com --dport 80 -j ACCEPT

# 更新サービスへのアクセスを許可
iptables -A OUTPUT -p tcp -d update.aegis.aliyun.com --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -d update.aegis.aliyun.com --dport 80 -j ACCEPT
```
2. Alibaba Cloud セキュリティグループルール
  
  ECS インスタンスを使用している場合は、「セキュリティグループの管理」で具体的な手順をご参照ください。
  
  説明
  Security Center のCIDR ブロックへのアウトバウンドトラフィックを許可します。ポートを無制限にするか、ポート 80 および 443 でのトラフィックを許可することができます。
  
  以下は、100.100.0.0/16 CIDR ブロックの設定例です：
  - 方向：アウトバウンド
  - 認可ポリシー: 許可
  - プロトコルタイプ：TCP
  - ポート範囲：80/443
  - 認証オブジェクト：100.100.0.0/16

システムリソース

診断手順：

サーバーに十分なリソースがあることを確認します。サーバーリソースが枯渇すると、エージェントが停止する可能性があります。

CPU/メモリ： top (Linux) またはタスクマネージャー (Windows) を使用して使用量を確認します。
ディスク領域： df -h (Linux) またはこの PC (Windows) を使用して残りのディスク領域を確認します。

解決策：

高いリソース使用量
- AliYunDun プロセスが原因である場合は、テクニカルサポートに連絡し、関連するログを提供してください。
- 他のビジネスプロセスが原因である場合は、アプリケーションを最適化するか、サーバー構成のアップグレードを検討してください。
ディスク領域の不足： 不要なファイルを削除してディスク領域を解放します。

エージェント ID の重複

診断手順：この問題は、同じシステムイメージから複数のサーバーを作成した場合によく発生します。次の設定ファイルの uuid フィールドが複数のサーバーで重複していないか確認します。

Linux： /usr/local/aegis/aegis_client.conf
Windows：
- 32 ビット： C:\Program Files\Alibaba\aegis\aegis_client.conf
- 64 ビット： C:\Program Files (x86)\Alibaba\aegis\aegis_client.conf

解決策：

単一のテンプレートサーバーから複数のイメージを作成する前に、古いエージェントをアンインストールしてクリーンアップし、その後、新しいインストールコマンドを取得してください。

ソフトウェアの競合

診断手順：サーバーに他のホストベースの侵入検知システム (HIDS)、エンドポイントでの検知と対応 (EDR)、またはウイルス対策ソフトウェアがインストールされているかどうかを確認します。このようなソフトウェアは、Security Center エージェントと競合する可能性があります。

解決策：

サードパーティのセキュリティソフトウェアを無効化またはアンインストールします。Security Center エージェントがインストールされた後、必要に応じて元のソフトウェアを再起動または再インストールできます。

エージェントログ

診断手順：エージェントログで特定のエラーメッセージを確認します。ログファイルは次のディレクトリにあります：

Linux：/usr/local/aegis/aegis_client/aegis_12_xx/data/。

説明
プレースホルダー aegis_xx_xx は、実行中のエージェントのバージョンディレクトリを表します。正確なパスを見つけるには、ps -ef|grep AliYunDun コマンドの出力を確認してください。
Windows：C:\Program Files (x86)\Alibaba\Aegis\aegis_client\aegis_12_xx\data\。

解決策：

ログのエラーメッセージに基づいて問題をトラブルシューティングします。問題を解決できない場合は、テクニカルサポートに連絡し、完全なログファイルを提供してください。