IBM Support

ReaQta: Windows エージェントの問題のトラブルシューティング

Question & Answer


Question

 Windows エージェント・エンドポイントの一般的なトラブルシューティングとして、どのような手順があるのでしょうか?

Answer

ブルー・スクリーン

ブルー・スクリーンが発生した場合は、以下の情報を収集してください。

  1. ダッシュボードまたはクライアント名 (MSSP 環境の場合 ) 。
  2. 事象が発生したエンドポイント名、または複数のエンドポイント名。
  3. ブルー・スクリーンが再現可能な場合は、再現する手順とエラー発生時に関連したソフトウェアのバージョンを収集してください。
  4. 事象が発生した時刻と日付。
エンドポイント上の対処:
以下のディレクトリーにクラッシュ・ダンプがあるか確認します。
  • C:\Windows\Minidump
  • C:\Windows\MEMORY.DMP
ブルー・スクリーンが繰り返し発生する場合の対処:
ブルー・スクリーンが繰り返し発生する場合は、根本原因が ReaQta Hive サーバーにあるかどうかを ReaQta サポートへ確認する必要があります。確認の際は、次の手順を行ってください。
  1. 前述の「ブルー・スクリーン」セクションの 1. から 4. の情報を収集します。
  2. セーフモードを起動します。
  3. 「 C:\windows\system32\drivers\rqtsentry.sys 」にある「 rqtsentry.sys 」のファイル名を「 rqtsentry-off.sys 」に変更します。
  4. 「 C:\windows\system32\drivers\rqtnetsentry.sys 」にある「 rqtnetsentry.sys 」のファイル名を「 rqtnetsentry-off.sys 」に変更します。
  5. 「 C:\windows\system32\drivers\i00.sys 」にある「 i00.sys 」のファイル名を「 i00-off.sys 」に変更します。
  6. 再起動します。
  7. 「ブルー・スクリーン」セクションの情報を ReaQta サポートへご提供ください。

フォレンジック・キット( Forensics Kit )の障害

フォレンジックの生成に失敗する場合は、以下を実施してください。

  1. 「 ENDPOINTS 」タブの該当エージェントを選択して「 ENDPOINTS DETAILS 」ページを開き、「 Status 」の列にある「 Failed 」アイコンの上にマウス・カーソルを合わせます。
  2. エラー文字列を収集します。
  3. 以下のメッセージが表示される場合は、エンドポイント・レベルで PowerShell の実行がブロックされていることを意味します。ブロックを解除することを IT 管理者へ連絡の上、再試行してください。 
    Package generation failed: Launch script failed: 669
  4. エラーが異なる場合は、ReaQta サポートへお問い合わせください。

エージェント・サービス

※以下の定められた開始と停止の順番を確認の上、順守してください。

ReaQta サービスを停止するには、以下の順に実行します。

  1. Keeper
  2. Rqtsentry
  3. i00
注: rqtnetsentry は順番による影響がないため、いつでもオフに切り替えることができます。

ReaQta サービスを開始するには、以下の順に実行します。
 
  1. i00
  2. Rqtsentry
  3. Keeper
注: rqtnetsentry は順番による影響がないため、いつでもオンに切り替えることができます。

一般的な注意点: すべてのサービスがシステムとして実行されているため、変更することはできません。

キーパー( Keeper ) クラッシュ

イベント・ビューアーおよび(または)システム・クラッシュの場所から「キーパー( keeper )」クラッシュを見つけた場合は、以下の手順を行ってください。

  1. admin 権限でエージェントにアクセスして、「 services.msc 」または「 cmd.exe 」から「 sc query keeper 」を実行します。keeper が稼働し続けているかどうかを確認します。
  2. keeper のイベントが安定した状態を保つことができない場合は、以下のフォルダーにある「 keeper 」で始まるダンプ・ファイルを収集します。
    C:\Windows\System32\config\systemprofile\AppData\Local\CrashDump
  3. ReaQta サポートへ連絡の上、収集したクラッシュ・ダンプ・ファイルをご提供ください。
重要な注意点: Keeper は、自動的に再起動することで、内部クラッシュから自動再起動および修復ができます。この処理により、エンドポイントを確実に保護し続けることができます。

パフォーマンス

 

パフォーマンスの問題を切り分けするには、以下のどのカテゴリーに該当するかを確認してください。

  • アプリケーションの問題: 特定のアプリケーションまたはアプリケーションのグループのパフォーマンスが低下している。
  • システム全体の問題: システム全体のパフォーマンスが低下している。
パフォーマンスの問題が特定のアプリケーションに関連している場合、次の手順が行えます。
  1. アプリケーションによって実行されるアクション、および該当する実行ファイルのフルパスを特定します。
  2. 特定した場合は、そのエージェントの「 Live Response 」ボタンから「 antiransomware off 」コマンドを実行して、アンチランサムウェアを無効にします。
    image-20220329160821-3
    image-20220329160905-4
  3. 問題が解決されたかどうかを確認します。
  4. 問題が解決された場合は、「 App Directory 」または「 Binary Hash 」を使用して「 behaviour-based 」の Allowlist を作成の上、該当のアプリケーションのトリガー・タイプとして「 Ransomware Behavior 」を選択します。
    image-20220329160459-2
  5. 「 antiransomware on 」コマンドを実行して、アンチランサムウェアを再度有効にします。
    image-20220329161444-5
  6. 前述 2. から 5. で問題が解決しない場合は、「 THREAT HUNT 」から同じ時間帯で関連性のある余分なプロセスがあるか確認して、追加でランサムウェアの「 behavior-based 」の Allowlist を作成します。
  7. 前述 2. から 6. で問題が解決しない場合は、admin 権限で「 cmd.exe 」から「 sc stop keeper 」コマンドを実行して、keeper を無効にします。
  8. 再度アプリケーションを試行して、パフォーマンスに変化があるかどうかを確認します。
  9. 前述 7. から 8. で問題が解決しない場合は、admin 権限で「 cmd.exe 」から「 sc stop rqtsentry 」コマンドを実行して、rqtsentry を無効にします。
  10. 再度アプリケーションを試行して、パフォーマンスに変化があるかどうかを確認します。
  11. 確認後に「 cmd.exe 」から「 sc start rqtsentry 」>「 sc start keeper 」の順にコマンドを実行して、再び keeper を有効にします。
  12. 前述のいずれの内容でも解決しない場合は、問題が発生した日付、時間、エンドポイント名、アプリケーションのフルパスを確認の上、ReaQta サポートへお問い合わせください。

一般的な遅延

  1. メモリ、CPU、影響のある特定の操作など、パフォーマンスへの影響に関連する情報を収集します。Windows タスクマネージャーまたはプロセスハッカー( Process Hacker )を使用して、「 keeper.exe 」プロセスのメモリ消費量を収集することができます。

    image-20220330085234-2
  2. Microsoft Windows Performance Analyzer をインストールします。
  3. xperf を使用して、admin 権限で「 cmd.exe 」から以下のコマンドを実行します。 
    xperf -on PROC_THREAD+LOADER+PROFILE+FLT_IO_INIT+FLT_IO+FLT_FASTIO+FLT_IO_FAILURE+FILENAME+DISK_IO+DISK_IO_INIT -stackwalk Profile+MiniFilterPreOpInit+MiniFilterPostOpInit+DiskReadInit+DiskWriteInit+DiskFlushInit -BufferSize 1024 -MinBuffers 256 -MaxBuffers 256 -MaxFile 256 -FileMode Circular
  4. 5 分ほど待機した後、以下のコマンドを実行してキャプチャーを停止させます。特定のアプリケーションの動作が著しく遅い場合は、xperf のキャプチャー中に該当のアプリケーションを開いて使用してください。 
    xperf -stop -d minifilter_and_diskio.etl
    ​​​​​​image-20220329154407-3
このコマンドは、xperf ツールが実行されている現在の作業ディレクトリに.etl ファイルを保存します。
image-20220329155309-1

ReaQta サービスがエンドポイントでどのように実行されるか ?

Windows エンドポイントで実行されるサービスは以下のとおりです。

  • Keeper
  • Rqtsentry
  • Rqtnetsentry
  • i00
Windows エージェント・サービスの簡単な説明:
 
[ Keeper ]
キーパー( Keeper )はエージェントのコア・サービスであり、システム権限で実行する user mod サービスです。
Keeper は重要なコンポーネントであるため、このサービスがないインストールは、失敗するか正しく機能しない可能性があります。
役割:
  • NanoOs、カーネル、ドライバーからすべてのデータを収集する。
  • アラート・データを作成するために収集データを組み立てる。
  • Hive サーバーと通信する。
  • rqtsentry にポリシーを伝搬する。
  • 有効な新規ビルド・パッケージのデプロイ時にエージェントのアップデートを実行する。
注: システムにログインしているユーザーごとに、子キーパーのサービスがあります。これは、1 個のメイン・キーパーと n 個のキーパー・サービス( n = ログインユーザ)を意味します。
 
[ rqtsentry ]
rqtsentry は、メインのサービスとなるフィルタリング・ドライバーです。rqtsentry は重要なコンポーネントであるため、このコンポーネントがないインストールは、失敗する可能性があります。
 
役割:
  • カーネルからデータを収集する。
  • ポリシーを適用する。
  • プロセスを Kill する。
  • rqtnetsentry と i00 と通信する。
     
[ rqtnetsentry ]
rqtnetsentry は、ネットワークのフィルタリング・サービスです。rqtnetsentry は動作に必須なコンポーネントではないため、このサービスが無くてもインストールは成功して正しく動作します。

役割:
  • ネットワーク接続データを収集する。
注: ReaQta ソリューションはこのサービスが無くても動作しますが、ネットワーク接続のアクティビティ内が見づらくなります。

 
[ i00 ]
NanoOS のサービスです。

役割:
  • rqtsentry と通信する。
注: i00 がシステム上で ACTIVE である場合、手動で停止するとシステムが不安定になる可能性があります。一方で ACTIVE ではない場合は、サービスを停止しても問題ありません。このサービスは使用されていなく( Active でなく)とも、常に稼動します。

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSLAA2","label":"Agent-\u003EPerformance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
08 July 2022

UID

ibm16590937

Page Feedback