- 発生している問題によっては、新バージョンで修正されている可能性があります。ログ取得や切り分けを行っていただく前に、製品のリリースノートや「FAQ:各バージョンで追加された新機能および不具合修正について」をご確認ください。また、可能であれば、新バージョンにアップデートして問題が改善されるかをご確認ください。
- もしAMCとyarai間の通信や接続に関する問題の場合には、本FAQではなく、「FAQ:yaraiが管理コンソールに表示されない、管理コンソールと通信できない、ライセンスが配布されないような場合」をご確認ください。
- もしライセンスに関する問題の場合には、本FAQではなく、「FAQ:ライセンスに関するよくあるお問い合わせ」をご確認ください。
- もし例外リストや過検出に関する問題の場合には、本FAQではなく、「FAQ:例外リストとその関連トラブル(過検出、遅延、競合など)に関するよくあるお問い合わせ」をご確認ください。
- 上記に該当しない場合でも、既知の問題の場合には、本FAQサイトで問題の症状やエラーメッセージなどで検索していただければ、対処方法が見つかる可能性がありますため、ログ取得や切り分けを行っていただく前に、ご確認をお願いできますでしょうか。
世界トップレベルのセキュリティ・リサーチ・チームを作り、
コンピュータ社会の健全な運営に寄与します。株式会社FFRIセキュリティ
FAQ
キーワードから探す
カテゴリから探す
yaraiを導入してから遅延、クラッシュ、異常終了、BSODなどが発生した場合の切り分け方法を教えてください
最終更新日:2024/10/30目次
■はじめに
事前注意事項
■切り分けの流れ
1. yaraiをアンインストールする
2. 他社製アンチウイルスソフトをアンインストールする
3. 他社製アンチウイルスソフトと同居に必要な設定が行われているか確認する
4. 特定の機能に依存した問題であるかを確認する
5. 利用しているすべてのドライブを例外リストに登録する
6. 各検出エンジンの停止
7. 各ドライバーの停止
8. 弊社側での調査をご希望の場合(※必要な場合のみ)
■はじめに
yaraiを導入後にシステム全体や特定のアプリケーションが遅延する場合や異常終了する場合、あるいはBSODが発生した際に、yaraiが原因か調査する方法をご案内します。
‼ 重要
⚠ 注意
yaraiの仕組み上、ログ出力モードでも監視動作は実施しているため、監視処理が干渉・競合してプロセス内で内部的なエラーが発生することがあります。そのような場合でも、本FAQの切り分け作業は有効です。
事前注意事項
‼ 重要
- 以降の手順では、AMCで管理されたクライアントを前提として、AMCの管理コンソールの画面例を掲載しています。
EMCで管理されたクライアントの場合や、独立したクライアントの場合は、ご利用の環境に応じて、画面や設定を読み替えてください。 - 以降の手順では、切り分けのために各種設定の無効化などを行いますが、切り分けが完了した後は必ず元の設定に戻してください。
その上で、業務に不要な機能のみ無効にする、絞り込んだフォルダーを例外リストに登録する、切り分け結果をご報告いただく、などの対処をお願いします。
■切り分けの流れ
1. yaraiをアンインストールする
問題が発生している端末から、yaraiをアンインストールしてください。
こちらで問題が改善する場合は、お客様の環境においてyaraiが何らかのアプリケーション等と競合している可能性が考えられます。「2. 他社製アンチウイルスソフトをアンインストールする」へお進みください。
yaraiをアンインストールしても問題が改善しない場合、yaraiが問題の直接的な原因でないことが確認できます。まずは、こちらの切り分けをお願いします。
2. 他社製アンチウイルスソフトをアンインストールする
問題が発生している端末から、他社製アンチウイルスソフトをアンインストールしてください。
他社製アンチウイルスソフトをアンインストールして問題が改善する場合は、yaraiと他社製アンチウイルスソフトが干渉して問題が発生している可能性が考えられます。「3. 他社製アンチウイルスソフトと同居に必要な設定が行われているか確認する」へお進みください。
問題が改善しない場合は、「4. 特定の機能に依存した問題であるかを確認する」へお進みください。
3. 他社製アンチウイルスソフトと同居に必要な設定が行われているか確認する
他社製アンチウイルスソフトとyaraiを同居する場合、特定の設定を行う必要がある場合もあります。
カスタマーサイトの「FFRI_yarai_システム要件ガイド」の「FFRI yarai 日本語 OS への導入時の同居可能なウイルス対策ソフト」、あるいは「FFRI yarai 英語 OS への導入時の同居可能なウイルス対策ソフト」の項をご参照いただき、以下の点をご確認ください。
- yaraiと同居が可能な他社製アンチウイルスソフトであるか
- 同居が可能な場合、同居に必要な設定が行われているか
- FAQ:システム要件に記載されているアンチウイルス製品側の設定をしなかった場合どうなりますか
もし上記に問題がない場合には、続けて、「FAQ:yaraiの導入後、端末の動作が遅くなった場合の対処法を教えてください」に記載の「yaraiと他社製アンチウイルスソフトを、相互に監視対象外として設定しているか」以降をご確認ください。
⚠ 注意
他社製アンチウイルスソフト側で、yaraiを監視対象外/除外/例外に設定する場合は、可能な限り、スキャンや監視を行っている全ての機能で設定をお願いします。
例)「スキャンまたは検索機能」で除外設定するだけでなく、「挙動監視機能」でも除外設定にする
必要な設定が行われているにもかかわらず問題が改善しない場合は「4. 特定の機能に依存した問題であるかを確認する」へお進みください。
4. 特定の機能に依存した問題であるかを確認する
特定の機能をご利用の場合、その機能に依存して問題が発生する場合があります。そのため、以下に合致することがないか、それぞれご確認をお願いします。
- EDR機能またはハンティング機能をご利用の場合には、「FAQ:EDR機能導入後にパフォーマンスが悪化した場合の切り分け方法を教えてください」をご確認いただき、問題が改善するかをご確認ください。
- クラウド連携機能をご利用の場合には、クラウド連携機能を無効にしていただき、問題が改善するかをご確認ください。本機能については、「FAQ:クラウド連携について教えてください」もご参照ください。
- yaraiの導入直後から急にマシン全体が遅くなった場合や、CPU使用率が高くなっている場合は、フルスキャンが実行されている可能性があります。「FAQ:yarai導入直後からマシンの動作が遅くなる、CPUやディスク使用率が高くなる、フルスキャンが終わらない」をご確認いただき、問題が改善するかをご確認ください。
- ネットワークドライブやファイルサーバで遅延が発生している場合や、エクスプローラーの表示が遅い場合には、「FAQ:エクスプローラーの表示が遅い、ファイルサーバーの表示が遅い」および「FAQ:ネットワークドライブへのディスクIO/トラフィックが高負荷になります」をご確認いただき、問題が改善するかをご確認ください。
- 特定のバージョンにアップデートしてから問題が発生している場合は、特定のバージョンの新機能が原因となっている可能性があります。また、発生している問題によっては、新バージョンで修正されている可能性があります。製品のリリースノートや「FAQ:各バージョンで追加された新機能および不具合修正について」をご確認ください。
‼ 重要
上記機能の利用有無によっては、後述の切り分けが不要になる可能性があるため、それぞれご確認をお願いします。
問題が改善しない場合は、「5. 利用しているすべてのドライブを例外リストに登録する」へお進みください。
5. 利用しているすべてのドライブを例外リストに登録する
特定のフォルダーやファイル(アプリケーション)とyaraiが干渉している場合にも、問題が発生する場合があります。まず、利用しているすべてのローカルドライブやネットワークパスを例外リストに登録して配布してください。
例えば、PC上のローカルドライブで問題が発生している場合は、
C:\* や D:\* などを登録します。もし、ファイルサーバ上のネットワークパスまたはネットワークドライブで遅延が発生している場合は、
\\*\* を登録します。
上記で問題が改善する場合は、徐々に例外リストへ登録する範囲を狭め、問題の原因となっているフォルダーやファイルを絞り込んでください。
なお、例外リストの作成方法の詳細については、各製品のマニュアルや「FAQ:例外リストの作成方法を教えてください」をご参照ください。
‼ 重要
この際、必ず例外リストの詳細設定より、以下の点を有効にしてください。
- このプログラムの脆弱性を防御しない
- このプログラムが出力するファイルを信頼する
⚠ 注意
必ず事前に問題が発生しているアプリケーション(関連するアプリケーションやサービスなども含めて)は全て終了させてください。
また、その他のアプリケーションも可能な限り全て終了させてください。
その上で、例外リストの登録後にアプリケーションを起動して問題が改善するかお試しください。
⚠ 注意
例外リストの仕組み上、ハッシュ値による例外は切り分けにならない場合があります。必ずファイルやフォルダーを例外リストに入れてください。
すべてのドライブを例外リストに登録しても問題が解消しない場合は「6. 各検出エンジンの停止」へお進みください。
また、フォルダーやファイルの特定や絞り込みが困難な場合も、「6. 各検出エンジンの停止」へお進みください。
6. 各検出エンジンの停止
次に、どの検出エンジンが問題の原因となっているか調査を行います。
必ず以下の順番で1つずつ検出エンジンを停止していただき、問題が改善するかご確認ください。
⚠ 注意
必ず事前に問題が発生しているアプリケーション(関連するアプリケーションやサービスなども含めて)は全て終了させてください。
また、その他のアプリケーションも可能な限り全て終了させてください。
その上で、検出エンジン停止後にアプリケーションを起動して問題が改善するかお試しください。
- 下記すべての検出エンジンをONにしたポリシーを事前に配布する。
- 「ZDPエンジン」をOFFにしたポリシーを配布して、問題の改善を確認する。
- 「機械学習エンジン」をOFFにしたポリシーを配布して、問題の改善を確認する。
- 「HIPSエンジン」をOFFにしたポリシーを配布して、問題の改善を確認する。
- 「サンドボックスエンジン」をOFFにしたポリシーを配布して、問題の改善を確認する。
- 「スタティック分析エンジン」をOFFにしたポリシーを配布して、問題の改善を確認する。
すべての検出エンジンを停止しても問題が改善しない場合は、「7. 各ドライバーの停止」へお進みください。
7. 各ドライバーの停止
次に、どのドライバーが問題の原因となっているか調査を行います。以下の順番で操作し、問題が改善するかご確認ください。
- 「FFRFileTracer/FFRRegistryTracerドライバー」をOFFにしたポリシーを配布して、必ずOS再起動を行ってから、問題の改善を確認する。
- 「FFRINetIsolatorドライバー」をOFFにしたポリシーを配布して、必ずOS再起動を行ってから、問題の改善を確認する。
- 「プロセス履歴を蓄積する」をOFFにしたポリシーを配布して、問題の改善を確認する。
※「プロセス履歴の蓄積」機能は内部的にドライバーを使用しています。
※「プロセス履歴の蓄積」機能のドライバーに関してはOS再起動は不要となります。
⚠ 注意
本手順の[1][2]を実施するためには、AMCおよびyaraiがそれぞれv3.4.0以上である必要があります。
また、本手順の[3]を実施するためには、AMCおよびyaraiがそれぞれv3.6.1以上である必要があります。
対象外のバージョンにて本手順が必要な場合は、別途弊社より手順をご提供させていただきます。
また、本手順の[3]を実施するためには、AMCおよびyaraiがそれぞれv3.6.1以上である必要があります。
対象外のバージョンにて本手順が必要な場合は、別途弊社より手順をご提供させていただきます。
8. 弊社側での調査をご希望の場合(※必要な場合のみ)
弊社側での調査をご希望の場合には、以下の情報を添えて、ご購入いただいた販売店までお問い合わせください。- 本FAQで切り分けを行った結果
どの手順まで行っていただいたか、どの設定で問題が改善したかなど、可能な限り、詳細な情報のご提供をお願いします。 - ログ、発生日時、発生状況などの各種情報
「FAQ:AMC/yaraiを導入してから遅延、クラッシュ、異常終了、BSOD、エラーなどが発生した場合の調査に必要な情報」の「はじめに」をご確認いただいた上で、「yaraiクライアントで問題が発生している場合」に記載の各種情報(※ログも含めて可能な限り全て)のご提供をお願いします。
カテゴリ
関連するFAQ
