コンテンツにスキップ

Red Cloak エンドポイントエージェント トラブルシューティング🔗

本ドキュメントは、エージェントのパフォーマンス、Secureworks® Taegis™ XDR への接続、インストールに関する問題について、Secureworks サポート へ支援依頼を行う前に実施できる初期トラブルシューティング手順を案内します。案内は Windows および Linux エージェント の両方に対応しています。

Windows エージェントのトラブルシューティング🔗

パフォーマンス問題のトラブルシューティング🔗

CPUやメモリのスパイク、ブルースクリーン(BSoD)、アプリケーションのクラッシュなどのパフォーマンス問題をトラブルシューティングするために、以下の情報およびログを Secureworks サポートに提供してください。ログファイルが大きすぎる場合は、Secureworks にファイル共有リンクの提供を依頼してください。

以下の情報を提供してください🔗

  • マシンのホスト名
  • エージェントのバージョン
  • マシンのメモリ容量
  • CPUコア数
  • 現在起動しているサービスの一覧: net start
  • ホストの簡単な説明およびその役割・機能
  • ホストにどのような影響が出ているかの説明(例:パフォーマンス低下、特定アプリケーションの問題など)
  • タスクマネージャーの [詳細] タブの出力。タスクマネージャーの [プロセス] タブではすべて Secureworks Red Cloak と表示されるため、[説明] でソートしてどのモジュール exe が実際に動作し問題を引き起こしているかを特定してください。

注意

プロセスの説明を Secureworks Red Cloak として表示するには、管理者権限でタスクマネージャーを起動してください。

タスクマネージャーの詳細タブ

  • 仮想マシンか物理ハードウェアか
  • ホスト上で動作しているアンチウイルス/エンドポイントソフトウェアで、以下の Red Cloak ディレクトリが除外されていることを確認してください:
    • C:\Program Files (x86)\Dell SecureWorks\Red Cloak\
    • C:\Program Files (x86)\Dell SecureWorks\Ignition\

以下のログを提供してください🔗

  • Windows ログ(イベントファイルとして保存、*.evt または *.evtx):
    • すべての種類: Application, Security, System など
  • Red Cloak ログ:
    • C:\Program Files (x86)\Dell SecureWorks\Red Cloak\*.log
    • C:\Program Files (x86)\Dell SecureWorks\Ignition\*.log
    • C:\Program Files (x86)\Dell SecureWorks\Red Cloak\*.dmp
  • エンドポイントでブルースクリーン(BSoD)が発生した場合のクラッシュダンプ:
    • 可能であれば、完全なメモリダンプを作成するようエンドポイントを設定してください。これにより最も多くの情報が得られます。
    • C:\Windows\Memory.dmp の完全なメモリダンプを提供してください。
    • C:\Windows\Minidump\ の最近のミニダンプも提供してください。
  • Secureworks サポートから依頼があった場合の Process Monitor ログ:
  1. Process Monitor をダウンロード: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
  2. Procmon.exe を起動します。
  3. Procmon で収集を開始します(CTRL+E)。
  4. 問題を再現します:
    • Secureworks に提供するため、再現手順を正確に記録してください。
    • テスト開始時のローカルマシン時刻とマシンのタイムゾーンを記録してください。
    • 問題が発生したローカル時刻を記録してください。
  5. Procmon で収集を停止し(CTRL+E)、File > Save を選択してログを保存します。
  6. Events to save: All events および Format: PML を選択します。
  7. ファイル名を Active_<devicename> に変更します。
  8. OK を選択します。
  9. Procmon で現在のログをクリアします(CTRL+X)。
  10. 管理者コマンドプロンプトから以下のコマンドを実行し、センサーをセーフモードにします: C:\Program Files (x86)\Dell SecureWorks\Red Cloak\redcloak.exe --enter-safe-mode
  11. 手順3~9を繰り返し、新しいログを SafeMode_<devicename>.PML として保存します。
  12. 以下のコマンドを実行してセンサーをセーフモードから解除します:
    C:\Program Files (x86)\Dell SecureWorks\Red Cloak\redcloak.exe --exit-safe-mode

XDR への接続問題のトラブルシューティング🔗

XDR へのエージェント接続問題をトラブルシューティングするために、以下の情報を提供してください。

  • Red Cloak インストールディレクトリに移動し、管理者権限のコマンドプロンプトで以下のコマンドを実行し、出力結果を提供してください: redcloak.exe --check
  • 以下の Red Cloak ログを提供してください:
    • C:\Program Files (x86)\Dell SecureWorks\Red Cloak\*.log
    • C:\Program Files (x86)\Dell SecureWorks\Ignition\*.log

インストール問題のトラブルシューティング🔗

エージェントのインストール問題をトラブルシューティングするために、以下の情報を提供してください。

  • 以下のログを提供してください:
    • C:\Program Files (x86)\Dell SecureWorks\Red Cloak\*.log
    • C:\Program Files (x86)\Dell SecureWorks\Ignition\*.log
  • Windows ログ(イベントファイルとして保存、*.evt または *.evtx):
    • すべての種類: Application, Security, System など
  • Red Cloak エージェントはどのようにインストールされていますか?ソフトウェア配布ツール経由ですか、それとも手動インストールですか?
  • 現在起動しているサービスの一覧: net start
  • インストールされているエージェントのバージョン
  • ホストは物理サーバーですか、それとも VDI ホストですか?

注意

Windows Server 2008 R2 または Windows 7 に Red Cloak Endpoint Agent をインストールする場合、以下の Microsoft サポート記事で説明されているパッチが必要になる場合があります。

Red Cloak デバッグログの収集🔗

接続やパフォーマンス問題のトラブルシューティング時に、Secureworks サポートからエンドポイントのデバッグログの提供を求められる場合があります。Secureworks から依頼があった場合、以下の手順で Red Cloak のデバッグモードログを収集してください。

  1. Red Cloak サービスを停止します。
  2. レジストリエディタを開きます。
  3. 以下のエントリを探します:
    • キー名: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\redcloak
    • クラス名: ImagePath

  4. ImagePath の元の値に --debug=2 パラメータを追加します。debug の前にハイフン2つ(--)があることに注意してください。

    元の値: C:\Program Files (x86)\Dell SecureWorks\Red Cloak\redcloak.exe" --run-service --override-root "C:\Program Files (x86)\Dell SecureWorks\Red Cloak\\

    --debug=2 パラメータ追加後: C:\Program Files (x86)\Dell SecureWorks\Red Cloak\redcloak.exe" --run-service --debug=2 --override-root "C:\Program Files (x86)\Dell SecureWorks\Red Cloak\\

  5. Red Cloak サービスを開始します。

  6. エージェントはデバッグモードで起動し、詳細な情報をログファイルに書き込みます。動作自体は変わりませんが、ログファイルにより多くの情報が記録され、ファイルの増加速度が速くなります。
  7. ログ収集が完了したら、変更を元に戻してください。デバッグモードは Secureworks サポートが推奨する期間以上の長時間実行は推奨されません。

Linux エージェントのトラブルシューティング🔗

パフォーマンス問題のトラブルシューティング🔗

CPUやメモリのスパイク、アプリケーションのクラッシュなどのパフォーマンス問題をトラブルシューティングするために、以下の情報およびログを Secureworks サポートに提供してください。ログファイルが大きすぎる場合は、Secureworks にファイル共有リンクの提供を依頼してください。

以下の情報を提供してください🔗

  • マシンのホスト名
  • エージェントのバージョン
  • Irix モードをオフにした top コマンドの結果(top 実行後 Shift + i を押下)
  • どのモジュールが最も CPU を消費しているか(Procwall または Lacuna、20~30% 程度が平均)
  • cat /proc/cpuinfo コマンドの結果
  • free -m コマンドの結果
  • エージェントが実行しているアプリケーション
  • 仮想マシンか物理ハードウェアか
  • サーバーの役割と機能
  • エンドポイントの OS およびカーネル情報
  • service --status-all | more コマンドの結果

パフォーマンスキャプチャ用 rc_collect スクリプト🔗

Linux エージェント バージョン 1.2.13.0 以上では、パフォーマンスキャプチャ用の rc_collect スクリプトがインストールされています。これを使用して一定期間の情報を取得でき、Secureworks サポートや開発チームがパフォーマンス分析に利用します。スクリプトは5分間実行できます。

使用例: <agent_install_path>/bin/rc_collect <実行時間(秒)> <出力パス>

例: sudo /opt/secureworks/redcloak/bin/rc_collect

時間と出力先を指定する例: sudo /opt/secureworks/redcloak/bin/rc_collect 360 /var/tmp

注意

時間指定に 0 を入力するとスナップショット取得となります。

以下のログを提供してください🔗

  • Linux エージェント バージョン 1.2.12.0 未満: /var/opt/secureworks/redcloak/log
  • Linux エージェント バージョン 1.2.12.0 以上: /opt/secureworks/redcloak/log

XDR への接続問題のトラブルシューティング🔗

XDR へのエージェント接続問題について、以下の情報を提供してください。

  • 接続チェックの出力:
    • Linux エージェント バージョン 1.2.12.0 未満: /var/opt/secureworks/redcloak/bin/redcloak --check
    • Linux エージェント バージョン 1.2.12.0 以上: /opt/secureworks/redcloak/bin/redcloak --check
  • Linux Red Cloak ログ:
    • Linux エージェント バージョン 1.2.12.0 未満: /var/opt/secureworks/redcloak/log
    • Linux エージェント バージョン 1.2.12.0 以上: /opt/secureworks/redcloak/log

インストール問題のトラブルシューティング🔗

エージェントのインストール問題をトラブルシューティングするために、以下の情報を提供してください。

  • エンドポイントの OS バージョン
  • インストールされているエージェントのバージョン
  • エラーを含む完全なインストールログを提供してください:
    • CentOS/Red Hat/Oracle: yum localinstall <redcloak_filename>.rpm(エラーを含む完全なログ)
    • Ubuntu: sudo apt install PATH_TO_DEB(エラーを含む完全なログ)
  • 以下のログを提供してください:
    • Linux エージェント バージョン 1.2.12.0 未満: /var/opt/secureworks/redcloak/log
    • Linux エージェント バージョン 1.2.12.0 以上: /opt/secureworks/redcloak/log
  • Red Cloak エージェントはどのようにインストールされていますか?ソフトウェア配布ツール経由ですか、それとも手動インストールですか?

Red Cloak デバッグログの収集🔗

接続やパフォーマンス問題のトラブルシューティング時に、Secureworks サポートからエンドポイントのデバッグログの提供を求められる場合があります。Secureworks から依頼があった場合、以下の手順で Red Cloak のデバッグモードログを収集してください。

  1. コマンドラインから以下を実行します:

    vi /opt/secureworks/redcloak/bin/redcloak_start.sh

  2. vim(または vi)内で、以下の行を探し --debug=2 を追加します:

    元の行: ${prefix}/bin/redcloak --run-service --override-root "${prefix}" > /dev/null 2>&1 &

    --debug=2 パラメータ追加後: ${prefix}/bin/redcloak --run-service --debug=2 --override-root "${prefix}" > /dev/null 2>&1 &

    注意

    "Warning: Changing a readonly file" というメッセージが表示される場合がありますが、root 権限であれば問題ありません。

  3. ESC を押して :wq! と入力し、保存して終了します。

  4. Red Cloak サービスを再起動します: systemctl restart redcloak
  5. エージェントはデバッグモードで起動し、詳細な情報をログファイルに書き込みます。動作自体は変わりませんが、ログファイルにより多くの情報が記録され、ファイルの増加速度が速くなります。
  6. ログ収集が完了したら、変更を元に戻してください。デバッグモードは Secureworks サポートが推奨する期間以上の長時間実行は推奨されません。