このトピックの情報を使用して、NSX 分散マルウェア防止サービスの展開、サービス インスタンスの健全性状態、ESXi エージェンシーなどの関連する問題をデバッグを行います。

ESX Agent Manager の健全性状態の確認

vSphere ESX Agent Manager (EAM) の健全性状態が正常かどうかを確認するには、次の手順を実行します。
  1. vSphere Client で、[管理] > [vCenter Server 拡張機能] の順に移動します。[vSphere ESX Agent Manager] をクリックします。
  2. [構成] タブをクリックします。

    このページには、NSX Malware Preventionソリューションのホスト上の ESX エージェンシーの健全性状態と、エージェンシーで検出された問題(ある場合)が表示されます。

ESXi Agency Manager (EAM) サービスが実行されている必要があります。次の URL にアクセスできるかどうか確認します。

https://vCenter_Server_IP_Address/eam/mob

vCenter_Server_IP_Address は、ネットワーク内の VMware vCenter の IP アドレスに置き換えます。

ポート グループ、インターフェイス、コンテキスト マルチプレクサの接続の確認

vSphere Client で次の操作を行います。
  • サービス仮想マシンの名前を選択して、[ネットワーク] タブをクリックします。[vmservice-vhsield-pg] ポート グループが表示されていることを確認します。
  • サービス仮想マシン名を右クリックし、[設定の編集] をクリックします。[仮想ハードウェア] ページで、ネットワーク アダプタ 1 とネットワーク アダプタ 2 が接続されていることを確認します。ネットワーク アダプタ 1 はサービス仮想マシンを管理ネットワークに接続し、ネットワーク アダプタ 2 はサービス仮想マシンをサービス展開中に自動的に作成された NSX [vmservice-vshield-pg] ポート グループに接続します。ネットワーク アダプタ 2 は、コンテキスト マルチプレクサ (MUX) と SVM 間の通信に使用される SVM の制御インターフェイスです。NSX Malware Prevention SVM の場合、制御インターフェイスの IP は 169.254.1.22 です。

コンテキスト マルチプレクサ サービスは、各 ESXi ホストで実行されている必要があります。nsx-context-mux サービスがホストで実行されているかどうかを確認するには、root ユーザーとして各 ESXi ホストの CLI にログインし、次の CLI コマンドを実行します。

# /etc/init.d/nsx-context-mux  status

サービスが実行されていない場合は、次の CLI コマンドを使用してサービスを開始または再起動します。

/etc/init.d/nsx-context-mux start

または

/etc/init.d/nsx-context-mux restart
注: サービスの再起動には大きな影響がないため、このサービスを本番環境の時間帯に再起動しても安全です。サービスが数秒後に再起動します。

ESX Agent Managerの問題の解決

ESX Agent Manager は、ESX エージェンシーで問題を検出すると、エラーの詳細を NSX Manager に通知します。問題を解決するには、NSX Manager ユーザー インターフェイスで [解決] をクリックします。次の表では、ESX Agent Manager の問題について説明します。

問題 カテゴリ 説明 解決方法

エージェント OVF にアクセスできない

仮想マシンが展開されない

エージェント仮想マシンがホストに展開されることが期待されたにも関わらず、ESXi Agent Manager がエージェントの OVF パッケージにアクセスできないため、エージェント仮想マシンを展開できません。この問題は、OVF パッケージを提供する Web サーバが停止している場合に発生することがあります。この Web サーバは通常、エージェンシーを作成したソリューションの内部に配置されます。

ESXi Agency Manager (EAM) サービスによって、OVF のダウンロード操作が再試行されます。[解決] をクリックします。

ホストのバージョンに互換性がない

仮想マシンが展開されない

エージェント仮想マシンがホストに展開されている必要があります。ただし、互換性の問題のため、エージェントがホストに展開されていません。

エージェントとホストとの互換性を確保するため、ホストまたはソリューションをアップグレードしてください。サービス仮想マシンの互換性を確認します。[解決] をクリックします。

リソース不足

仮想マシンが展開されない

エージェント仮想マシンがホストに展開されている必要があります。ただし、ホストの CPU またはメモリ リソースが少ないため、ESXi Agency Manager (EAM) サービスはエージェント仮想マシンを展開しませんでした。

ESXi Agency Manager (EAM) サービスは、仮想マシンの再展開を試みます。CPU とメモリ リソースが使用可能であることを確認します。ホストを確認して、一部のリソースを解放します。[解決] をクリックします。

容量不足

仮想マシンが展開されない

エージェント仮想マシンがホストに展開されている必要があります。ただし、ホストのエージェント データストアに十分な空き容量がないため、エージェント仮想マシンは展開されませんでした。

ESXi Agency Manager (EAM) サービスは、仮想マシンの再展開を試みます。データストアの領域を解放します。[解決] をクリックします。

エージェント仮想マシン ネットワークがない

仮想マシンが展開されない

エージェント仮想マシンがホストに展開されることが期待されたにも関わらず、ホストにエージェント ネットワークが構成されていなかったため、エージェントを展開できません。

カスタム エージェント仮想マシン ネットワークに表示されているネットワークのいずれかをホストに追加します。この問題は、データストアが使用可能になった後に自動的に解決されます。

OVF 形式が無効

仮想マシンが展開されない

エージェント仮想マシンがホストでプロビジョニングされることが期待されたにも関わらず、OVF パッケージのプロビジョニングに失敗したため、プロビジョニングできません。OVF パッケージを提供するソリューションがアップグレードされるか、パッチが適用されて、エージェント仮想マシンに有効な OVF パッケージが提供されるようになるまで、プロビジョニングが成功する確率は低くなります。

ESXi Agency Manager (EAM) サービスは、サービス仮想マシンの再展開を試みます。有効な OVF パッケージがサービス展開に使用されていることを確認します。[解決] をクリックします。

エージェント IP アドレス プールが見つからない

仮想マシンがパワーオフ状態

エージェント仮想マシンがパワーオンすることが期待されたにも関わらず、エージェントの仮想マシン ネットワーク上に定義された IP アドレスがないため、エージェント仮想マシンがパワーオフされました。

仮想マシン ネットワークの IP アドレスを定義します。[解決] をクリックします。

エージェント仮想マシン データストアがない

仮想マシンがパワーオフ状態

エージェント仮想マシンはホストに展開されることが期待されたにも関わらず、ホストにエージェント データストアが構成されていなかったため、エージェントを展開できません。

カスタム エージェント仮想マシン データストアに表示されているデータストアのいずれかをホストに追加します。この問題は、データストアが使用可能になった後に自動的に解決されます。

カスタム エージェント仮想マシン ネットワークがない

エージェント仮想マシン ネットワークがない

エージェント仮想マシンがホストに展開されることが期待されたにも関わらず、ホストにエージェント ネットワークが構成されていなかったため、エージェントを展開できません。

カスタム エージェント仮想マシン ネットワークに一覧表示されているネットワークのいずれかにホストを追加します。この問題は、カスタム仮想マシン ネットワークが使用可能になった後に自動的に解決されます。

カスタム エージェント仮想マシン データストアがない

エージェント仮想マシン データストアがない

エージェント仮想マシンはホストに展開されることが期待されたにも関わらず、ホストにエージェント データストアが構成されていなかったため、エージェントを展開できません。

カスタム エージェント仮想マシン データストアに一覧表示されているデータストアのいずれかにホストを追加します。この問題は自動的に解決されます。

DvFilter スイッチが見あたらない

ホストの問題

dvFilter スイッチはホスト上にありますが、ホスト上のどのエージェントも dvFilter に依存していません。これは、エージェンシーの構成を変更したときにホストが切断された場合に発生します。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスが、エージェンシーの構成が更新される前にホストに接続しようとします。

エージェント仮想マシンが不明

ホストの問題

エージェント仮想マシンが vCenter Server インベントリ内に見つかりましたが、このインベントリはこの vSphere ESX Agent Manager サーバ インスタンス内のどのエージェンシーにも属していません。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスが、仮想マシンが属するインベントリに仮想マシンを配置しようとしています。

OVF のプロパティが無効

仮想マシンの問題

エージェント仮想マシンをパワーオンする必要があるにもかかわらず、OVF プロパティが見つからないか、値が無効です。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、正しい OVF プロパティの再構成を試みます。

仮想マシンが破損している

仮想マシンの問題

エージェント仮想マシンが破損しています。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、仮想マシンの修復を試みます。

仮想マシンの実体が見あたらない

仮想マシンの問題

ホスト上にエージェント仮想マシンがありますが、このホストはエージェンシーの範囲から除外されています。これは、エージェンシーの構成を変更したときにホストが切断された場合に発生します。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスがホストをエージェンシー構成に再接続しようとしています。

仮想マシンがデプロイされる

仮想マシンの問題

エージェント仮想マシンがホストから削除されることが期待されたにも関わらず、削除されません。vSphere ESX Agent Manager がエージェント仮想マシンを削除できなかった具体的な理由です(ホストがメンテナンス モードである、パワーオフされた、スタンバイ モードであるなど)。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスがホストからエージェント仮想マシンを削除しようとしています。

仮想マシンがパワーオフ状態

仮想マシンの問題

エージェント仮想マシンがパワーオン状態になることが期待されたにも関わらず、パワーオフ状態です。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、仮想マシンのパワーオンを試みます。

仮想マシンがパワーオン状態

仮想マシンの問題

エージェント仮想マシンがパワーオフ状態になることが期待されたにも関わらず、パワーオン状態です。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、仮想マシンのパワーオフを試みます。

仮想マシンがサスペンド中

仮想マシンの問題

エージェント仮想マシンがパワーオン状態になることが期待されたにも関わらず、サスペンドされています。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスは、仮想マシンのパワーオンを試みます。

仮想マシンのフォルダが正しくない

仮想マシンの問題

エージェント仮想マシンが指定したエージェント仮想マシン フォルダにあることが期待されたにも関わらず、別のフォルダ内に見つかりました。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスが、指定されたフォルダにエージェント仮想マシンの配置を試みています。

仮想マシンのリソース プールが正しくない

仮想マシンの問題

エージェント仮想マシンが指定したエージェント仮想マシンのリソース プール内にあることが期待されたにも関わらず、別のリソース プール内に見つかりました。

[解決] をクリックします。ESXi Agency Manager (EAM) サービスが、指定されたリソース プールにエージェント仮想マシンを配置しようとしています。

仮想マシンが展開されない

エージェントの問題

エージェント仮想マシンがホストに展開されることが期待されたにも関わらず、展開されません。ESXi Agent Manager がエージェントを展開できなかった具体的な理由(エージェントの OVF パッケージにアクセスできない、またはホストの構成ミスなど)です。この問題は、エージェント仮想マシンがホストから明示的に削除されている場合も発生することがあります。

[解決] をクリックして、エージェント仮想マシンを展開します。

NSX Manager の問題の解決

問題
IP プールから静的 IP アドレスを割り当てることができません。
説明
プールの IP アドレスが枯渇しているか、割り当てられている IP アドレスがありません。
解決方法
IP プールの問題を修正して、 [解決] をクリックして問題を解決します。

サービス インスタンスの健全性状態の確認

NSX Manager は、各サービス インスタンスの健全性状態の詳細を受信します。健全性状態を受信した最新のタイムスタンプが NSX Manager ユーザー インターフェイスに表示されます。最新の健全性状態を取得するために、[サービス インスタンス] ページの更新が数回必要になる場合があります。

ESXi ホスト上のサービス インスタンスの健全性は、次の要因によって異なります。
ソリューションの状態
サービス仮想マシンで実行されている NSX 分散マルウェア防止ソリューションの状態。「稼動中」状態はソリューションが正常に実行されていることを示します。
NSX Guest Introspection Agent とコンテキスト エンジン間の接続
NSX Guest Introspection Agent(コンテキスト マルチプレクサ)が NSX Ops Agent(コンテキスト エンジンを含む)に接続されている場合に状態が「稼動中」になります。コンテキスト マルチプレクサは、サービス仮想マシンの健全性情報をコンテキスト エンジンに転送します。MUX と NSX Ops Agent は、サービス仮想マシン間の構成を共有し、SVM によって保護されているワークロード仮想マシンを確認します。
サービス仮想マシン プロトコルのバージョン
問題のトラブルシューティングを行う際に内部で使用されるトランスポート プロトコルのバージョン。
NSX Guest Introspection Agent の情報
NSX Guest Introspection Agent とサービス仮想マシン間のプロトコル バージョンの互換性を表します。
サービス インスタンスの健全性状態を表示するには、 NSX Manager で次の手順を実行します。
  1. [システム] > [サービス展開] > [サービス インスタンス] に移動します。
  2. [健全性状態] 列で、[上へ] または [下へ] の横にあるアイコンをクリックします。

NSX Manager でのアラームの表示

アラームは、次の場合に NSX Manager ユーザー インターフェイスの [アラーム] ページに表示されます。
  • NSX コンテキスト マルチプレクサと NSX Malware Prevention SVM 間の接続が停止しています。
  • NSX コンテキスト マルチプレクサが停止または再起動します。

[システム] > [サービス展開] > [サービス インスタンス][サービス インスタンス] ページでアラームを表示することもできます。

NSX Malware Prevention機能の健全性に関するアラームを表示するには、次の手順を実行します。

  1. NSX Manager で、[ホーム] > [アラーム] > [アラーム定義] の順にクリックして、[アラーム定義] ページに移動します。
  2. [名前、パスなどでフィルタリング] テキスト領域をクリックして、[機能] をクリックします。
  3. [マルウェア防止の健全性] チェック ボックスを選択します。

NSX Malware Prevention健全性イベントのドキュメントについては、NSX イベント カタログを参照してください。

セキュリティ概要ダッシュボードでのコンポーネントの問題の表示

NSX Distributed Malware Prevention サービスのいずれかのコンポーネントが停止しているか、機能していない場合、[セキュリティの概要] ダッシュボードのマルウェア防止ウィジェットに問題が表示されます。NSX Manager ユーザー インターフェイスでこの ユーザー インターフェイスウィジェットを表示するには、[セキュリティ] > [セキュリティの概要] > [構成] の順に移動します。

次はその例です。
  • 横棒グラフは、NSX Malware Preventionサービス仮想マシン (SVM) の Security Hub が停止している場合に問題を表示します。バーをポイントすると、次の詳細が表示されます。
    • 影響を受ける NSX Malware Prevention SVM の数。
    • Security Hub が停止したためにマルウェアのセキュリティ保護が失われたホスト上のワークロード仮想マシンの数。
  • ドーナツ グラフには、次の詳細が表示されます。
    • NSX ファイル イントロスペクション ドライバが実行されているワークロード仮想マシンの数。
    • NSX ファイル イントロスペクション ドライバが実行されていないワークロード仮想マシンの数。

    この両方のメトリックでは、NSX Distributed Malware Prevention で有効になっているホスト クラスタ上のワークロード仮想マシンのみが考慮されます。

簡単に識別できるように、キー ペアに正しい名前を付ける

SVM の admin ユーザーへの SSH アクセスは、キーベース(パブリック/プライベート キー のペア)です。ESXi ホスト クラスタに サービスを展開する場合は、パブリック キーが必要です。SVM への SSH セッションを開始する場合は、プライベート キーが必要です。

NSX Distributed Malware Prevention サービスの展開は、ホスト クラスタのレベルで実行されます。そのため、キー ペアはホスト クラスタに関連付けられています。各クラスタのサービス展開用に新しいパブリック/プライベート キー ペアを作成することも、すべてのクラスタのサービス展開に単一のキー ペアを使用することもできます。

クラスタごとにサービス展開に別のパブリック/プライベート キー ペアを使用する場合は、識別しやすいよう、キー ペアに正しい名前が付けられていることを確認します。

コンピュート クラスタ ID を使用して各サービス展開を特定し、キー ペアの名前にクラスタ ID を指定することをお勧めします。たとえば、クラスタ ID が 1234-abcd とします。このクラスタで、サービス展開名を MPS-1234-abcd とすると、このサービス展開にアクセスするためのキー ペアに id_rsa_1234_abcd.pem という名前を付けることができます。この方法により、各サービス展開で使用されるキーの管理と関連付けを簡単に行うことができます。

重要: プライベート キーは安全に保管してください。プライベート キーが失われると、 NSX Malware Prevention SVM への SSH アクセスができなくなります。

プライベート キーが失われても SVM は問題なく機能し続けますが、SVM にログインしてログ ファイルをダウンロードしてトラブルシューティングを行うことはできません。

サポート バンドルの収集

NSX Distributed Malware Prevention サービスに関連する次のコンポーネントの詳細なトラブルシューティングを行うには、分析用のサポート バンドルを収集するか、VMware のサポートに送信します。
  • NSX Manager アプライアンス
  • ESXi ホスト
  • ワークロード仮想マシンでの VMware Tools
  • NSX Malware Prevention SVM

ESXi ホストと NSX Manager アプライアンスのログ ファイルを含むサポート バンドルを収集するには、NSX のサポート バンドル機能を使用します。NSX でサポート バンドルを収集する方法については、サポート バンドルの収集を参照してください。

VMware vCenter で実行されているコンポーネントとサービスのログ ファイルを含むサポート バンドルを収集するには、『vCenter Server の構成』を参照してください。たとえば、VMware vCenter サポート バンドルを使用すると、VMware Tools のログ ファイルを収集できます。

NSX 4.1.2 以降):NSX Distributed Malware Prevention サービスで有効になっている vSphere ホスト クラスタで実行されている NSX Malware Prevention SVM のサポート バンドルを収集するには、SVM で CLI コマンドを実行します。詳細については、「NSX Malware Prevention サービス仮想マシンのサポート バンドルの収集」を参照してください。

NSX 4.1.1 以前):NSX CLI コマンドは、NSX Malware Prevention SVM ではサポートされていません。ただし、SSH 接続を使用して各 NSX Malware Prevention SVM にログインし、SVM の /var/log ディレクトリから Syslog ファイルをコピーできます。たとえば、sftp または scp コマンドを使用して、特定の時点で SVM Syslog ファイルを収集できます。この場所に複数の Syslog ファイルがある場合は、これらのファイルが圧縮され、同じパスに保存されます。