このトピックの情報を使用して、NSX 分散マルウェア防止サービスの展開、サービス インスタンスの健全性状態、ESXi エージェンシーなどの関連する問題をデバッグを行います。
ESX Agent Manager の健全性状態の確認
- vSphere Client で、 の順に移動します。[vSphere ESX Agent Manager] をクリックします。
- [構成] タブをクリックします。
このページには、NSX マルウェア防止ソリューションのホスト上の ESX エージェンシーの健全性状態と、エージェンシーで検出された問題(ある場合)が表示されます。
ESXi Agency Manager (EAM) サービスが実行されている必要があります。次の URL にアクセスできるかどうか確認します。
https://vCenter_Server_IP_Address/eam/mob
vCenter_Server_IP_Address は、ネットワーク内の VMware vCenter の IP アドレスに置き換えます。
ポート グループ、インターフェイス、コンテキスト マルチプレクサの接続の確認
- サービス仮想マシンの名前を選択して、[ネットワーク] タブをクリックします。[vmservice-vhsield-pg] ポート グループが表示されていることを確認します。
- サービス仮想マシン名を右クリックし、[設定の編集] をクリックします。[仮想ハードウェア] ページで、ネットワーク アダプタ 1 とネットワーク アダプタ 2 が接続されていることを確認します。ネットワーク アダプタ 1 はサービス仮想マシンを管理ネットワークに接続し、ネットワーク アダプタ 2 はサービス仮想マシンをサービス展開中に自動的に作成された NSX [vmservice-vshield-pg] ポート グループに接続します。ネットワーク アダプタ 2 は、コンテキスト マルチプレクサ (MUX) と SVM 間の通信に使用される SVM の制御インターフェイスです。NSX マルウェア防止 SVM の場合、制御インターフェイスの IP は 169.254.1.22 です。
コンテキスト マルチプレクサ サービスは、各 ESXi ホストで実行されている必要があります。nsx-context-mux
サービスがホストで実行されているかどうかを確認するには、root ユーザーとして各 ESXi ホストの CLI にログインし、次の CLI コマンドを実行します。
# /etc/init.d/nsx-context-mux status
サービスが実行されていない場合は、次の CLI コマンドを使用してサービスを開始または再起動します。
/etc/init.d/nsx-context-mux start
または
/etc/init.d/nsx-context-mux restart
ESX Agent Managerの問題の解決
ESX Agent Manager は、ESX エージェンシーで問題を検出すると、エラーの詳細を NSX Manager に通知します。問題を解決するには、NSX Manager ユーザー インターフェイスで [解決] をクリックします。次の表では、ESX Agent Manager の問題について説明します。
問題 | カテゴリ | 説明 | 解決方法 |
---|---|---|---|
エージェント OVF にアクセスできない |
仮想マシンが展開されない |
エージェント仮想マシンがホストに展開されることが期待されたにも関わらず、ESXi Agent Manager がエージェントの OVF パッケージにアクセスできないため、エージェント仮想マシンを展開できません。この問題は、OVF パッケージを提供する Web サーバが停止している場合に発生することがあります。この Web サーバは通常、エージェンシーを作成したソリューションの内部に配置されます。 |
ESXi Agency Manager (EAM) サービスによって、OVF のダウンロード操作が再試行されます。[解決] をクリックします。 |
ホストのバージョンに互換性がない |
仮想マシンが展開されない |
エージェント仮想マシンがホストに展開されている必要があります。ただし、互換性の問題のため、エージェントがホストに展開されていません。 |
エージェントとホストとの互換性を確保するため、ホストまたはソリューションをアップグレードしてください。サービス仮想マシンの互換性を確認します。[解決] をクリックします。 |
リソース不足 |
仮想マシンが展開されない |
エージェント仮想マシンがホストに展開されている必要があります。ただし、ホストの CPU またはメモリ リソースが少ないため、ESXi Agency Manager (EAM) サービスはエージェント仮想マシンを展開しませんでした。 |
ESXi Agency Manager (EAM) サービスは、仮想マシンの再展開を試みます。CPU とメモリ リソースが使用可能であることを確認します。ホストを確認して、一部のリソースを解放します。[解決] をクリックします。 |
容量不足 |
仮想マシンが展開されない |
エージェント仮想マシンがホストに展開されている必要があります。ただし、ホストのエージェント データストアに十分な空き容量がないため、エージェント仮想マシンは展開されませんでした。 |
ESXi Agency Manager (EAM) サービスは、仮想マシンの再展開を試みます。データストアの領域を解放します。[解決] をクリックします。 |
エージェント仮想マシン ネットワークがない |
仮想マシンが展開されない |
エージェント仮想マシンがホストに展開されることが期待されたにも関わらず、ホストにエージェント ネットワークが構成されていなかったため、エージェントを展開できません。 |
カスタム エージェント仮想マシン ネットワークに表示されているネットワークのいずれかをホストに追加します。この問題は、データストアが使用可能になった後に自動的に解決されます。 |
OVF 形式が無効 |
仮想マシンが展開されない |
エージェント仮想マシンがホストでプロビジョニングされることが期待されたにも関わらず、OVF パッケージのプロビジョニングに失敗したため、プロビジョニングできません。OVF パッケージを提供するソリューションがアップグレードされるか、パッチが適用されて、エージェント仮想マシンに有効な OVF パッケージが提供されるようになるまで、プロビジョニングが成功する確率は低くなります。 |
ESXi Agency Manager (EAM) サービスは、サービス仮想マシンの再展開を試みます。有効な OVF パッケージがサービス展開に使用されていることを確認します。[解決] をクリックします。 |
エージェント IP アドレス プールが見つからない |
仮想マシンがパワーオフ状態 |
エージェント仮想マシンがパワーオンすることが期待されたにも関わらず、エージェントの仮想マシン ネットワーク上に定義された IP アドレスがないため、エージェント仮想マシンがパワーオフされました。 |
仮想マシン ネットワークの IP アドレスを定義します。[解決] をクリックします。 |
エージェント仮想マシン データストアがない |
仮想マシンがパワーオフ状態 |
エージェント仮想マシンはホストに展開されることが期待されたにも関わらず、ホストにエージェント データストアが構成されていなかったため、エージェントを展開できません。 |
カスタム エージェント仮想マシン データストアに表示されているデータストアのいずれかをホストに追加します。この問題は、データストアが使用可能になった後に自動的に解決されます。 |
カスタム エージェント仮想マシン ネットワークがない |
エージェント仮想マシン ネットワークがない |
エージェント仮想マシンがホストに展開されることが期待されたにも関わらず、ホストにエージェント ネットワークが構成されていなかったため、エージェントを展開できません。 |
カスタム エージェント仮想マシン ネットワークに一覧表示されているネットワークのいずれかにホストを追加します。この問題は、カスタム仮想マシン ネットワークが使用可能になった後に自動的に解決されます。 |
カスタム エージェント仮想マシン データストアがない |
エージェント仮想マシン データストアがない |
エージェント仮想マシンはホストに展開されることが期待されたにも関わらず、ホストにエージェント データストアが構成されていなかったため、エージェントを展開できません。 |
カスタム エージェント仮想マシン データストアに一覧表示されているデータストアのいずれかにホストを追加します。この問題は自動的に解決されます。 |
DvFilter スイッチが見あたらない |
ホストの問題 |
dvFilter スイッチはホスト上にありますが、ホスト上のどのエージェントも dvFilter に依存していません。これは、エージェンシーの構成を変更したときにホストが切断された場合に発生します。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスが、エージェンシーの構成が更新される前にホストに接続しようとします。 |
エージェント仮想マシンが不明 |
ホストの問題 |
エージェント仮想マシンが vCenter Server インベントリ内に見つかりましたが、このインベントリはこの vSphere ESX Agent Manager サーバ インスタンス内のどのエージェンシーにも属していません。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスが、仮想マシンが属するインベントリに仮想マシンを配置しようとしています。 |
OVF のプロパティが無効 |
仮想マシンの問題 |
エージェント仮想マシンをパワーオンする必要があるにもかかわらず、OVF プロパティが見つからないか、値が無効です。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、正しい OVF プロパティの再構成を試みます。 |
仮想マシンが破損している |
仮想マシンの問題 |
エージェント仮想マシンが破損しています。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、仮想マシンの修復を試みます。 |
仮想マシンの実体が見あたらない |
仮想マシンの問題 |
ホスト上にエージェント仮想マシンがありますが、このホストはエージェンシーの範囲から除外されています。これは、エージェンシーの構成を変更したときにホストが切断された場合に発生します。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスがホストをエージェンシー構成に再接続しようとしています。 |
仮想マシンがデプロイされる |
仮想マシンの問題 |
エージェント仮想マシンがホストから削除されることが期待されたにも関わらず、削除されません。vSphere ESX Agent Manager がエージェント仮想マシンを削除できなかった具体的な理由です(ホストがメンテナンス モードである、パワーオフされた、スタンバイ モードであるなど)。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスがホストからエージェント仮想マシンを削除しようとしています。 |
仮想マシンがパワーオフ状態 |
仮想マシンの問題 |
エージェント仮想マシンがパワーオン状態になることが期待されたにも関わらず、パワーオフ状態です。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、仮想マシンのパワーオンを試みます。 |
仮想マシンがパワーオン状態 |
仮想マシンの問題 |
エージェント仮想マシンがパワーオフ状態になることが期待されたにも関わらず、パワーオン状態です。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、仮想マシンのパワーオフを試みます。 |
仮想マシンがサスペンド中 |
仮想マシンの問題 |
エージェント仮想マシンがパワーオン状態になることが期待されたにも関わらず、サスペンドされています。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、仮想マシンのパワーオンを試みます。 |
仮想マシンのフォルダが正しくない |
仮想マシンの問題 |
エージェント仮想マシンが指定したエージェント仮想マシン フォルダにあることが期待されたにも関わらず、別のフォルダ内に見つかりました。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスが、指定されたフォルダにエージェント仮想マシンの配置を試みています。 |
仮想マシンのリソース プールが正しくない |
仮想マシンの問題 |
エージェント仮想マシンが指定したエージェント仮想マシンのリソース プール内にあることが期待されたにも関わらず、別のリソース プール内に見つかりました。 |
[解決] をクリックします。ESXi Agency Manager (EAM) サービスが、指定されたリソース プールにエージェント仮想マシンを配置しようとしています。 |
仮想マシンが展開されない |
エージェントの問題 |
エージェント仮想マシンがホストに展開されることが期待されたにも関わらず、展開されません。ESXi Agent Manager がエージェントを展開できなかった具体的な理由(エージェントの OVF パッケージにアクセスできない、またはホストの構成ミスなど)です。この問題は、エージェント仮想マシンがホストから明示的に削除されている場合も発生することがあります。 |
[解決] をクリックして、エージェント仮想マシンを展開します。 |
NSX Manager の問題の解決
サービス インスタンスの健全性状態の確認
NSX Manager は、各サービス インスタンスの健全性状態の詳細を受信します。健全性状態を受信した最新のタイムスタンプが NSX Manager ユーザー インターフェイスに表示されます。最新の健全性状態を取得するために、[サービス インスタンス] ページの更新が数回必要になる場合があります。
- ソリューションの状態
- サービス仮想マシンで実行されている NSX 分散マルウェア防止ソリューションの状態。「稼動中」状態はソリューションが正常に実行されていることを示します。
- NSX Guest Introspection Agent とコンテキスト エンジン間の接続
- NSX Guest Introspection Agent(コンテキスト マルチプレクサ)が NSX Ops Agent(コンテキスト エンジンを含む)に接続されている場合に状態が「稼動中」になります。コンテキスト マルチプレクサは、サービス仮想マシンの健全性情報をコンテキスト エンジンに転送します。MUX と NSX Ops Agent は、サービス仮想マシン間の構成を共有し、SVM によって保護されているワークロード仮想マシンを確認します。
- サービス仮想マシン プロトコルのバージョン
- 問題のトラブルシューティングを行う際に内部で使用されるトランスポート プロトコルのバージョン。
- NSX Guest Introspection Agent の情報
- NSX Guest Introspection Agent とサービス仮想マシン間のプロトコル バージョンの互換性を表します。
- に移動します。
- [健全性状態] 列で、[上へ] または [下へ] の横にあるアイコンをクリックします。
NSX Manager でのアラームの表示
- NSX コンテキスト マルチプレクサと NSX マルウェア防止 SVM 間の接続が停止しています。
- NSX コンテキスト マルチプレクサが停止または再起動します。
[サービス インスタンス] ページでアラームを表示することもできます。
のNSX 4.0.1.1 以降では、NSX マルウェア防止機能の健全性に関するアラームを表示できます。次の操作を行います。
- NSX Manager で、 の順にクリックして、[アラーム定義] ページに移動します。
- [名前、パスなどでフィルタリング] テキスト領域をクリックして、[機能] をクリックします。
- [マルウェア防止の健全性] チェック ボックスを選択します。
NSX マルウェア防止健全性イベントのドキュメントについては、NSX イベント カタログを参照してください。
セキュリティ概要ダッシュボードでのコンポーネントの問題の表示
NSX Distributed Malware Prevention サービスのいずれかのコンポーネントが停止しているか、機能していない場合、[セキュリティの概要] ダッシュボードのマルウェア防止ウィジェットに問題が表示されます。NSX Manager ユーザー インターフェイスでこの ユーザー インターフェイスウィジェットを表示するには、 の順に移動します。
- 横棒グラフは、NSX マルウェア防止サービス仮想マシン (SVM) の Security Hub が停止している場合に問題を表示します。バーをポイントすると、次の詳細が表示されます。
- 影響を受ける NSX マルウェア防止 SVM の数。
- Security Hub が停止したためにマルウェアのセキュリティ保護が失われたホスト上のワークロード仮想マシンの数。
- ドーナツ グラフには、次の詳細が表示されます。
- NSX ファイル イントロスペクション ドライバが実行されているワークロード仮想マシンの数。
- NSX ファイル イントロスペクション ドライバが実行されていないワークロード仮想マシンの数。
この両方のメトリックでは、NSX Distributed Malware Prevention で有効になっているホスト クラスタ上のワークロード仮想マシンのみが考慮されます。
簡単に識別できるように、キー ペアに正しい名前を付ける
SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。
NSX Distributed Malware Prevention サービスの展開は、ホスト クラスタのレベルで実行されます。そのため、キー ペアはホスト クラスタに関連付けられています。各クラスタのサービス展開用に新しいパブリック/プライベート キー ペアを作成することも、すべてのクラスタのサービス展開に単一のキー ペアを使用することもできます。
クラスタごとにサービス展開に別のパブリック/プライベート キー ペアを使用する場合は、識別しやすいよう、キー ペアに正しい名前が付けられていることを確認します。
コンピュート クラスタ ID を使用して各サービス展開を特定し、キー ペアの名前にクラスタ ID を指定することをお勧めします。たとえば、クラスタ ID が 1234-abcd とします。このクラスタで、サービス展開名を MPS-1234-abcd とすると、このサービス展開にアクセスするためのキー ペアに id_rsa_1234_abcd.pem という名前を付けることができます。この方法により、各サービス展開で使用されるキーの管理と関連付けを簡単に行うことができます。
プライベート キーが失われても SVM は問題なく機能し続けますが、SVM にログインしてログ ファイルをダウンロードしてトラブルシューティングを行うことはできません。
サポート バンドルと NSX マルウェア防止 SVM ログの収集
- NSX Manager アプライアンス
- ESXi ホスト
- ワークロード仮想マシンでの VMware Tools
- NSX マルウェア防止 SVM
ESXi ホストと NSX Manager アプライアンスのログ ファイルを含むサポート バンドルを収集するには、NSX のサポート バンドル機能を使用します。NSX でサポート バンドルを収集する方法については、サポート バンドルの収集を参照してください。
VMware vCenter で実行されているコンポーネントとサービスのログ ファイルを含むサポート バンドルを収集するには、『vCenter Server の構成』を参照してください。たとえば、VMware vCenter サポート バンドルを使用すると、VMware Tools のログ ファイルを収集できます。
NSX マルウェア防止 SVM のログ ファイルを収集するには、SVM のプライベート キーを使用して SVM とのリモート SSH セッションを開始します。詳細については、NSX マルウェア防止サービス仮想マシンへのログインを参照してください。
ログ ファイルは、サービス仮想マシンの /var/log にあります。この場所に複数の Syslog ファイルがある場合は、これらのファイルが圧縮され、同じパスに保存されます。