FAQ

yaraiを導入してから遅延、クラッシュ、異常終了、BSODなどが発生した場合の切り分け方法を教えてください

目次

■はじめに
 事前注意事項
■切り分けの流れ
 1. yaraiをアンインストールする
 2. 他社製アンチウイルスソフトをアンインストールする
 3. 他社製アンチウイルスソフトと同居に必要な設定が行われているか確認する
 4. 利用しているすべてのドライブを例外リストに登録する
 5. 干渉している検出エンジンの特定
 6. 干渉しているZDPエンジンのサブ機能の特定
 7. 各ドライバの停止
 8. 結果のご報告

■はじめに

yaraiを導入後にシステム全体や特定のアプリケーションが遅延する場合や異常終了する場合、あるいはBSODが発生した際に、yaraiが原因か調査する方法をご案内します。

‼ 重要

yaraiの導入直後から急にマシン全体が遅くなった場合や、CPU使用率が高くなっている場合は、初期フルスキャンが実行されている可能性があります。その場合は、以下のFAQをご参照ください。
yarai導入直後からマシンの動作が遅くなる、CPU使用率が高くなる

また、発生している問題によっては、新バージョンで不具合修正されている可能性があります。
以下のFAQをご参照いただき、該当するような問題が無いかをご確認ください。
各バージョンで追加された新機能および不具合修正について

⚠ 注意

yaraiの仕組み上、ログ出力モードでも監視動作は実施しているため、監視処理が干渉・競合してプロセス内で内部的なエラーが発生することがあります。そのような場合でも、本FAQの切り分け作業は有効です。

✔ 情報

EDR機能を使用している場合は、「EDR機能導入後にパフォーマンスが悪化した場合の切り分け方法を教えてください」もご参照ください。

事前注意事項

‼ 重要

以降の手順では、yaraiのクライアント画面側の操作方法を記載しています。
AMC/EMCで管理されたクライアントの場合、AMC/EMCから該当する設定を変更したポリシーを配布してください。

■切り分けの流れ

1. yaraiをアンインストールする

事象が生じている端末から、yaraiをアンインストールしてください。
こちらで事象が改善する場合は、お客様の環境においてyaraiが何らかのアプリケーション等と競合している可能性が考えられます。「2. 他社製アンチウイルスソフトをアンインストールする」へお進みください。
事象が改善しない場合、yaraiが事象の直接的な原因ではないと考えられます。

2. 他社製アンチウイルスソフトをアンインストールする

事象が生じている端末に他社製アンチウイルスソフトがインストールされている場合、yaraiと干渉することで問題が生じている可能性があります。
他社製アンチウイルスソフトをアンインストールして事象が改善する場合は、yaraiと他社製アンチウイルスソフトが干渉して事象が生じている可能性が考えられます。「3. 他社製アンチウイルスソフトと同居に必要な設定が行われているか確認する」へお進みください。
事象が改善しない場合は、「4. 利用しているすべてのドライブを例外リストに登録する」へお進みください。

3. 他社製アンチウイルスソフトと同居に必要な設定が行われているか確認する

他社製アンチウイルスソフトとyaraiを同居する場合、特定の設定を行う必要がある場合もあります。
カスタマーサイトの「FFRI_yarai_システム要件ガイド」の「FFRI yarai 日本語 OS への導入時の同居可能なウイルス対策ソフト」、あるいは「FFRI yarai 英語 OS への導入時の同居可能なウイルス対策ソフト」の項をご参照いただき、以下の点をご確認ください。

  • yaraiと同居が可能なセキュリティ対策製品であるか
  • 同居が可能な場合、同居に必要な設定が行われているか

また、こちらのFAQもご確認ください。

必要な設定が行われているにもかかわらず事象が改善しない場合は「4. 利用しているすべてのドライブを例外リストに登録する」へお進みください。

4. 利用しているすべてのドライブを例外リストに登録する

特定のディレクトリやファイルとyaraiが干渉している場合にも、事象が生じる場合があります。
利用しているすべてのドライブまたはファイルサーバを例外リストに登録してください。
以下の図の例であれば C:\ (Cドライブ)、 D:\ (Dドライブ)が対象となります。

なお、例外リストの作成方法については、以下のFAQをご参照ください。
例外リストの作成方法を教えてください

‼ 重要

この際、必ず例外リストの詳細設定より、以下の点を有効にしてください。

  • このプログラムの脆弱性を防御しない
  • このプログラムが出力するファイルを信頼する
⚠ 注意

必ず事前に問題が発生しているアプリケーション(関連するアプリケーションやサービスなども含めて)は全て終了させてください。
また、その他のアプリケーションも可能な限り全て終了させてください。
その上で、例外リストの登録後にアプリケーションを起動して事象が改善するかお試しください。

⚠ 注意

例外リストの仕組み上、ハッシュ値による例外は切り分けにならない場合があります。必ずファイルやフォルダを例外リストに入れてください。

✔ 情報

ネットワークドライブやファイルサーバで遅延が発生している場合は、以下の対処も併せてご実施ください。

・以下のようなネットワーク上の全てのファイルを対象とした例外リストを登録してください。
\\*\*

・以下のFAQをご参照ください。
エクスプローラーの表示が遅い、ファイルサーバーの表示が遅い
ネットワークドライブへのディスクIO/トラフィックが高負荷になります

image

image

image

こちらで事象が改善する場合、徐々に例外リストへ登録する範囲を狭め、事象の原因となっているディレクトリ、ファイルを特定してください。
以下の例では、 C:\ に絞り込み、さらに C:\Program Files に絞り込んでいます。

image

image

すべてのドライブを例外リストに登録しても事象が解消しない場合は「5. 干渉している検出エンジンの特定」へお進みください。
また、ディレクトリ、ファイルの特定が困難な場合は、絞り込めたパスをメモして「5. 干渉している検出エンジンの特定」へお進みください。

5. 干渉している検出エンジンの特定

次に、どの検出エンジンが事象の原因となっているか調査を行います。
以下の順番で操作し、事象が改善するかご確認ください。

‼ 重要

AMC/EMCで管理されたクライアントの場合、必ずAMC/EMCから該当する設定を変更したポリシーを配布してください。
※ご利用の環境によっては、yaraiのクライアント画面側で変更しても、OS再起動を行うと元に戻ってしまう可能性があります。

⚠ 注意

必ず事前に問題が発生しているアプリケーション(関連するアプリケーションやサービスなども含めて)は全て終了させてください。
また、その他のアプリケーションも可能な限り全て終了させてください。
その上で、検出エンジン停止後にアプリケーションを起動して事象が改善するかお試しください。

  1. 全検出エンジンをONにする
  2. 機械学習エンジンをOFFにする
  3. HIPSエンジンをOFFにする
  4. サンドボックスエンジンをOFFにする
  5. スタティック分析エンジンをOFFにする
  6. ZDPエンジンをOFFにする

以下の例では、すべて動作している状態から、徐々にHIPSエンジンまで停止を行っています。

image

image

ZDPエンジンを停止して事象が改善する場合は、「6. 干渉しているZDPエンジンのサブ機能の特定」へお進みください。
すべてのエンジンを停止しても事象が改善しない場合は、「7. 各ドライバの停止」へお進みください。

6. 干渉しているZDPエンジンのサブ機能の特定

本手順で使用するバッチファイルについては、セキュリティ上の理由により、別途弊社より提供させていただきます。
大変お手数ですが、ご購入いただいた販売店までお問い合わせください。
以下につきましては、提供させていただくバッチファイルの使用方法です。

‼ 重要

本切り分けは、上記の切り分けでZDPエンジンを停止して事象が改善した場合のみ行ってください。

⚠ 注意

提供させていただくバッチファイルは、右クリックから「管理者として実行」してください。

⚠ 注意

必ず事前に問題が発生しているアプリケーション(関連するアプリケーションやサービスなども含めて)は全て終了させてください。
また、その他のアプリケーションも可能な限り全て終了させてください。

✔ 情報

本手順はZDPエンジン自体は有効なままでご実施いただくものとなりますため、yaraiのクライアント画面側が変化しなくても問題ありません。

  1. 「ZDP全機能無効化.bat」を実行する
  2. アプリケーションを起動して、事象が解消することを確認する
  3. アプリケーションを終了して、「1_vad_on.bat」を実行する
  4. アプリケーションを起動して、事象が再現するかを確認する
  5. 3.から4.と同じ手順で「2_spray_on.bat」~「8_tls_on.bat」まで繰り返す

「1_vad_on.bat」~「8_tls_on.bat」までのどこかで事象が再現するようになるかと存じます。
どのバッチファイルで再現したかをお知らせください。

7. 各ドライバの停止

本手順で使用するバッチファイルについては、セキュリティ上の理由により、別途弊社より提供させていただきます。
大変お手数ですが、ご購入いただいた販売店までお問い合わせください。
以下につきましては、提供させていただくバッチファイルの使用方法です。

⚠ 注意

提供させていただくバッチファイルは、右クリックから「管理者として実行」してください。

  1. 「enable_all.bat」「disable_tracer.bat」を順に実行して、OSを再起動する
  2. 事象が解消しているか、再現するかを確認する
  3. 「enable_all.bat」「disable_scan.bat」を順に実行して、OSを再起動する
  4. 事象が解消しているか、再現するかを確認する
  5. 「enable_all.bat」「disable_registry.bat」を順に実行して、OSを再起動する
  6. 事象が解消しているか、再現するかを確認する
  7. 「enable_all.bat」「disable_injector.bat」を順に実行して、OSを再起動する
  8. 事象が解消しているか、再現するかを確認する
  9. ⚠ 注意

    以降の手順9.~10.については、yarai 3.2.x以降のバージョンでのみ実施してください。
    ※yarai 3.2.x未満のバージョンでは実行しないでください。

  10. 「enable_all.bat」「disable_isolator.bat」を順に実行して、OSを再起動する
  11. 事象が解消しているか、再現するかを確認する

上記の手順のどこかで事象が解消する場合、どの手順で事象が解消したかお知らせください。

‼ 重要

確認後は「enable_all.bat」を実行してOSを再起動することで、yaraiの動作を復元してください。

8. 結果のご報告

上記の手順4以降をご実施いただいている場合は大変お手数ですが、上記の切り分けを行った結果と、以下の全ての情報を合わせて、ご購入いただいた販売店までお問い合わせください。

  • 該当クライアントのログ
    ログ収集ツールについては、セキュリティ上の理由により、別途弊社より提供させていただきます。
  • 問題が発生しているソフトウェア名とバージョン
  • 問題が発生しているソフトウェアのファイルパスまたはインストールディレクトリ
  • yaraiがアンインストールされた状態と比較して、どのくらい遅延しているか(※遅延の場合のみ)
  • yaraiをインストールした全端末で同事象が発生しているか
  • 問題が始まったと考えられる契機(yaraiをアップデートした、該当ソフトウェアをバージョンアップしたなど)
  • およそ何台中の何台程度で問題が発生しているか

お問い合わせいただいた情報を基に、弊社側で最適な改善方法を確認させていただきます。


この内容は参考になりましたか?
  • このフォームにお寄せいただいたご意見への回答は行っておりません(回答が必要な場合は販売店までお問い合わせください)
  • お名前、ご連絡先等の個人情報は入力しないようお願いいたします
  • 250文字以内でご記入をお願いいたします
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop