NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

エラー: 不正プログラム対策 エンジンオフラインの対処方法

不正プログラム対策 エンジンオフラインについて

Deep Seuciry(Agent レス)において、「不正プログラム対策エンジンがオフライン」のエラーが発生する場合があります。このエラーが発生した場合、対象の仮想マシンは「無保護」状態となるため、放置していると感染リスクが高まります。
基本的には、トラブルシューティングガイドに沿って診断と対処を行いますが、経験上、最も多いのはソフトウェアの不具合とリソース不足になります。ソフトウェアが最新かつ、リソースも問題ない場合、以下の対処が解決することがあります。*1

特定の仮想マシンのみで事象が発生している場合

考えられる原因
・仮想マシンがスリープ状態になっている。
・VMware Tools が起動していない。
・vsepflt/vmci ドライバーが停止している。
・NSX のセキュリティグループ/セキュリティポリシー設定に誤りがある。
特典

対処方法
vsepflt/vmci ドライバーの状態は、対象の仮想マシンにログインして、コマンドで確認できます。

sc query vsepflt
sc query vmci

STATE が RUNNING になっていれば問題ありませんが、それ以外の場合は、VMware Tools の再インストールを実施する必要があります。

特定の ESX(DSVA)上のすべての仮想マシンで事象が発生している場合

考えられる原因
・DSVA に CPU/メモリ負荷がかかり、Deep Security Agent のプロセスが正常に動作していない。
・NSX に CPU/メモリ負荷がかかり、vShield-Endpoint-Mux プロセスが正常に動作していない。

対処方法
●Deep Security Agent の再起動
対象の DSVA へログインして、Deep Security Agent の再起動を以下の手順で実施します。

service ds_agent restart

(参考)Deep Security Manager/Deep Security Agent サービスの再起動/開始/停止方法

●vShield-Endpoint-Mux の再起動
対象の ESX にログインして、vShield-Endpoint-Mux の再起動を以下の手順で実施します。

/etc/init.d/vShield-Endpoint-Mux restart

(参考)ESX ゲスト イントロスペクションモジュール (MUX) のトラブルシューティング

上記を実施しても解決しない場合、診断ログを取得して、サポートへ問い合わせすることをおすすめします。

以上

*1:Deep Security 11.0 と NSX 6.4.4 の組み合わせが前提です。