Kaspersky Managed Detection and Response EPP エージェントの問題を診断およびトラブルシューティングする方法
更新日: 2024年8月20日
Article ID: 16092
本記事の対象となるアプリケーションとバージョンを表示する
- Kaspersky Managed Detection and Response
- Kaspersky Endpoint Security 12 for Windows
- Kaspersky Endpoint Security 11 for Windows
- Kaspersky Endpoint Security 12 for Linux
- Kaspersky Endpoint Security 11 for Linux
- Kaspersky Endpoint Security 12 for Mac
- Kaspersky Endpoint Security 11 for Mac
- Kaspersky Endpoint Agent
- Kaspersky Security for Virtualization Light Agent
- Kaspersky Anti Targeted Attack Platform
この記事は、Kaspersky Managed Detection and Response(以降、MDR)にデータを送信する ЕРР アプリケーション (英語) のトレースのファイルを分析して起こりうる問題を特定し、解決するのに役立ちます。
診断に必要なファイル
- Kaspersky Endpoint Security for Windows の トレースファイル。必要となる頻度が最も高いのは、ファイル KES*SRV*.log です。
- Kaspersky Endpoint Security for Linux の トレースファイル。必要となる頻度が最も高いのは、ファイル kesl*.log です。
- Kaspersky Managed Detection and Response 設定情報ファイル (英語)。
テレメトリデータの損失を診断してトラブルシューティングする方法
診断
任意のテキストエディターでトレースファイルを開き、「Errcount」を含む行を探します。
- データの損失がない場合、値「0」が表示されます。例:
15:34:21.177 231473 INF ksnclnt SetRouteStatus for service FR succeeded: address = dc1-file.ksn.kaspersky-labs.com Errcount: 0
21:24:09.344 2053788 INF ksnclnt SetRouteStatus for service FR succeeded: address = dc1-file.ksn.kaspersky-labs.com Errcount: 0 - 部分的なデータ損失がある場合、一部のメッセージには「0」が表示され、他のメッセージにはエラーの数が表示されます。例:
12:11:22.180 0x1af4 INF ksnclnt SetRouteStatus for service P2P succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 0
12:11:35.196 0x18cc INF ksnclnt SetRouteStatus for service S succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
12:11:43.482 0x1c88 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 0
12:12:06.456 0x1c88 INF ksnclnt SetRouteStatus for service S succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 6 - データが受信されない場合は、すべてのメッセージにエラーの数が表示されます。例:
12:24:54.801 0x1540 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
12:24:55.943 0x1af4 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 6
12:24:56.853 0x1418 INF ksnclnt SetRouteStatus for service U succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 7
12:25:08.039 0xde4 INF ksnclnt SetRouteStatus for service I succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
解決方法
- デバイスで MDR サービスが有効になっていることを確認します。
- Kaspersky Endpoint Security for Windows トレースファイルが保存されているフォルダーを開き、次のコマンドを実行します:
grep -i "allowed services" KES*SRV*.log | tail -1MDR サービスが有効になっている場合は、次のように表示されます:
kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.097 2946539 INF ksnclnt Ping: Allowed Services = {V, U, P2P, FR, S, MDR} - Kaspersky Endpoint Security for Linuxトレースファイルが保存されているフォルダーを開き、次のコマンドを実行します:
grep -ai 'allowed services' kesl* | tail -1MDR サービスが有効になっている場合は、次のように表示されます:
KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:24:30.569 0x1540 INF ksnclnt Ping: Allowed Services = {U, S, P2P, CERTINFO, F, FR, I, MDR, V}
- Kaspersky Endpoint Security for Windows トレースファイルが保存されているフォルダーを開き、次のコマンドを実行します:
- 次の手順に従って、デバイス上ですべての必須コンポーネントが有効になっていることを確認します。オプションで、推奨コンポーネントを有効化してテレメトリデータをリッチ化することができます:
- Kaspersky Endpoint Security for Windows
- Kaspersky Endpoint Security for Linux
- Kaspersky Endpoint Security for Mac
- Kaspersky Security for Virtualization
Kaspersky Endpoint Agent (英語) または Kaspersky Anti Targeted Attack Platform (英語) からのテレメトリで損失が発生した場合は、MDR との連携が設定されていることを確認してください。 - Managed Detection and Response ポリシーがデバイスに適用されていることを確認します。
- ポリシー設定で [ Managed Detection and Response ] チェックボックスがオンになっており、設定の編集がブロック(鍵アイコンが閉じた状態)されています。
- BLOB ファイルがアップロードされ、[ 削除 ] ボタンがアクティブになります。Kaspersky Endpoint Security for Windows および Kaspersky Endpoint Security for Linux の手順を参照してください。
- Kaspersky Private Security Network 設定情報ファイル が、Kaspersky Security Center にアップロードされます。
- デバイスのポート 443 および 1443 でカスペルスキーの サーバー (英語) への暗号化されていない送信ネットワークトラフィックを許可し、トラフィックスキャンを無効にします。
- 推奨事項 (英語) に従って、デバイスによるテレメトリデータの転送が安定するように設定してください。
ライセンスの問題を診断してトラブルシューティングする方法
トラブルシューティング
- KESW の場合:
- Kaspersky Endpoint Security for Windows のトレースファイルが保存されているフォルダーを開きます。
- 次のコマンドを使用してライセンスの有効期限を確認します:
grep -i "expiration date" KES*SRV*.log | head -1例:KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF aveng klavsys: #41900993 expiration date: 2026-08-06T00-00-00Z (0x1DD25368624C000)
- 次のコマンドを使用して、BLOB ファイル内のライセンスの有効期限を確認します:
grep -i "MdrBlobKeeper::UpdateBlob" KES*SRV*.log例:KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:01.531 0x53c INF bl [MdrBlobKeeper] mdr product::component::mdr::MdrBlobKeeper::UpdateBlob: new blob size: 2313, content: status: 0, version: 1, expirationDate: 2026-08-06T00:00:00.000Z, ignoreKpsn: true
- KESL の場合:
- Kaspersky Endpoint Security for Linux のトレースファイルが保存されているフォルダーを開きます。
- 次のコマンドを使用してライセンスの有効期限を確認します:
grep -ai 'expiration date' kesl* | tail -n 1例:kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.578 2946458 INF aveng klavsys: #41900993 expiration date: 2026-08-06T00-00-00Z (0x1DD25368624C000)
- 次のコマンドを使用して、BLOB ファイルのステータスがアクティブであることを確認します:
grep -ai 'Blob status' kesl* | tail -1例:kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.578 2946458 DBG mdr Blob status: Valid, version: 1, signerpk size: 550, payload size: 48
解決方法
- ライセンスの有効期限が切れている場合は更新してください。
- BLOB ファイルが無効であるか、ライセンスの有効期限が正しくない場合は、BLOB ファイルを更新してください。次の手順を実行します:
- MDR 設定情報ファイルを含むアーカイブ (英語) を再度ダウンロードします。
- アーカイブを解凍して BLOB ファイルを抽出します。
- BLOB ファイルをポリシー設定にアップロードします。Kaspersky Endpoint Security for Windows および Kaspersky Endpoint Security for Linux の手順を参照してください。
- ポリシーをデバイスに配信します。
重複したデバイス ID を診断して修正する方法
問題
MDR コンソール (英語) に 2 つのデバイスが 1 つずつ表示されてから非表示になります。
原因
この問題は多くの場合、2 つのデバイス上の ID が同一であること(仮想マシーンのクローンなど)が原因で発生します。
トラブルシューティング
理由が重複した ID であることを確認するには:
- 両方のデバイスでトレースファイルを収集します。
- トレースファイルが保存されているフォルダーを開きます。
- デバイスの ID 値を比較します。
- Kaspersky Endpoint Security for Windowsトレースで、次のコマンドを使用して マシン ID または ベースマシン ID の値を見つけます。
grep -i 'machine id' KES*SRV*.log例:KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF ksvla ksvla::virtual_machine::CurrentDevice::MachineId: Machine id: 06A3481D-D433-47F8-91AE-571B1734912B
KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF bl product::VirtualMachineInfoProvider::TryLoadBaseMachineIdFromPersistentCacheOrSaveDefult: base machine id (from persistent storage): 06A3481D-D433-47F8-91AE-571B1734912B - Kaspersky Endpoint Security for Linux トレースで、次のコマンドを使用して KVS 値から読み込まれたマシン ID のソルト を見つけます。
grep -ai 'machine id' kesl*例:kesl.2053651.2023-08-12T002406.log:2023.08.11 21:24:09.442 2053671 INF aveng apsmdr: #51926414 Machine ID salt loaded from KVS: 62472cf2-4ac8-11de-2f18-5b186731a4d0
- Kaspersky Endpoint Security for Windowsトレースで、次のコマンドを使用して マシン ID または ベースマシン ID の値を見つけます。
解決方法
いずれかのデバイスの ID を変更します。
- Kaspersky Endpoint Security for Windows 12.5、12.4、12.3、または 12.2 のパッチを入手するには、 カスペルスキーテクニカルサポート までご連絡ください。
- Kaspersky Endpoint Security for Linux を再インストールします。