適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。
ProcDump は、Windows コマンド行ユーティリティです。これを使用して、プロセスを監視し、ダンプ ファイルを作成することができます。ProcDump を利用することで、コンピュータの CPU スパイクといった特定の要件が満たされた場合にダンプ ファイルの作成をトリガーすることが可能です。
Microsoft Windows コンピュータで作成したプロセス ダンプ ファイルには、プロセスで使用可能な物理メモリに関する情報が含まれています。また、このファイルには、使用可能なすべてのコンピュータ メモリの状態、およびダンプ ファイル作成時にメモリで発生した事象の記録が含まれています。
PSANHost プロセスのクラッシュ時に PSANHost ダンプ ファイルを作成する方法については、次を参照してください:PSANHost クラッシュ ダンプ ファイルをトラブルシューティングする。
改ざん防止を有効化する
改ざん防止機能により、承認済みユーザー以外は WatchGuard Endpoint Security をインストール、無効化、アンインストールできなくなります。改ざん防止を有効化すると、保護対象コンピュータからローカルで改ざん防止機能を無効化する際に、構成済みのパスワードが必要となります。
ダンプ ファイルを作成する前に、Endpoint コンピュータの WatchGuard Endpoint Security の改ざん防止機能を無効化する必要があります。また、ダンプ ファイルを作成する Endpoint コンピュータを再起動する必要があります。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、コンピュータごとの設定を設定 を行う権限のあるロールを担っている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
改ざん防止を有効化するには、以下の手順を実行します。
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- 左ペインで、コンピュータごとの設定 を選択します。
- 既存の設定プロファイルをコピーし、それを使用してコンピュータごとの新しい設定プロファイルを作成します。詳細については、次を参照してください:コンピュータごとの設定を構成する。
- ダンプ ファイルを作成する Endpoint コンピュータにプロファイルを割り当てます。
- コンピュータごとの新しい設定プロファイルで、改ざん防止を有効化する トグルを無効化します。
- 保存 をクリックします。
- 改ざん防止プロセスをロック解除するには、Endpoint コンピュータを再起動します。
プロセス ダンプ ファイルを収集する
プロセス ダンプ ファイルを収集する方法は複数あります。それぞれのユースケースに最も適した手順を使用してください。
CPU 使用率が一貫して高い場合にプロセス ダンプ ファイルを収集する
ProcDump を使用して、プロセスを監視し、Endpoint コンピュータの CPU 使用率が高いことが ProcDump で検出された場合にダンプ ファイルの作成をトリガーすることができます。
この手順を完了する前に、改ざん防止を有効化する。
CPU 使用率を監視して、これが高い場合にダンプ ファイルを作成するには、以下の手順を実行します。
- Microsoft Web サイトから、ProcDump.exe をダウンロードします。
https://learn.microsoft.com/en-en/sysinternals/downloads/procdump - ダンプ ファイルを作成する Endpoint コンピュータで、管理者権限でコマンド プロンプト ウィンドウを開きます。
- 以下のパラメータを使用して、ProcDump を実行します。
procdump.exe -c <CPUTHRESHOLD> -e -ma -s 30 -w <ProcessName>.exe -accepteula <YourLocation>\<ProcessName>.dmp
この例では、CPU 使用率が 30 秒間連続して 20% を超えた場合に AgentSVC.exe プロセスのダンプ ファイルが作成されるようにします。
procdump.exe -c 20 -e -ma -s 30 -w AgentSVC.exe -accepteula C:\WG\AgentSVC.dmp
ダンプ ファイルの保存先として指定する場所がコンピュータに存在していることを確認します。
- 問題が再現されるまで、コマンド プロンプト ウィンドウを開いたままにして、ProcDump アプリケーションを実行します。
監視を停止するために、キーボードの Ctrl + C キーを押す必要はありません。プロセス ダンプ ファイルは自動的にコンピュータに保存されます。
- フォルダの内容の .ZIP アーカイブを作成して、そのアーカイブをサポートに送信します。
プロセスがクラッシュした場合にプロセス ダンプ ファイルを収集する
Endpoint コンピュータでプロセスがクラッシュした場合に、ProcDump を使用することができます。
この手順を完了する前に、改ざん防止を有効化する。
プロセスがクラッシュした場合にプロセス ダンプ ファイルを収集するには、以下の手順を実行します。
- ダンプ ファイルを作成する Endpoint コンピュータで、管理者権限でコマンド プロンプト ウィンドウを開きます。
- 以下のパラメータを使用して、ProcDump を実行します。
procdump.exe -e -ma -w <ProcessName> -accepteula <YourLocation>\<ProcessName>.dmp
この例では、アプリケーションがクラッシュした際に AgentSVC.exe プロセスのダンプ ファイルが収集されるようにします。
procdump.exe -e -ma -w AgentSVC.exe -accepteula C:\WG\AgentSVC.dmp
ダンプ ファイルの保存先として指定する場所がコンピュータに存在していることを確認します。
- 問題が再現されるまで、コマンド プロンプト ウィンドウを開いたままにして、ProcDump アプリケーションを実行します。
監視を終了するために、キーボードの Ctrl + C キーを押す必要はありません。プロセス ダンプ ファイルは自動的にコンピュータに保存されます。
- フォルダの内容の .ZIP アーカイブを作成して、そのアーカイブをサポートに送信します。
オンデマンドでプロセス ダンプ ファイルを収集する
オンデマンドでダンプ ファイルを作成する場合は、問題が発生した後に Endpoint コンピュータの Microsoft Windows でダンプ ファイルを作成することができます。
この手順を完了する前に、改ざん防止を有効化する。
Endpoint コンピュータの Microsoft Windows でダンプ ファイルを作成するには、以下の手順を実行します。
- 問題が再現されるまで待機します。
- タスク マネージャーを開くには、Ctrl + Alt + Delete キーを押します。
- 詳細 タブで、ダンプ ファイルを作成する対象プロセスを右クリックします。
- ダンプ ファイルを作成する を選択します。
- ファイルの場所を開く をクリックして、ダンプ ファイルを参照します。
- フォルダの内容の .ZIP アーカイブを作成して、そのアーカイブをサポートに送信します。
ProcDump エラーをトラブルシューティングする
ProcDump の使用時にエラーが発生した場合は、プロセスが改ざん防止機能によって保護されている可能性があります。
以下のエラーの例をご覧ください。
Error opening PSANHost.exe (8164):
Access is denied. (0x00000005, 5)
エラーが発生した場合は、Endpoint コンピュータの WatchGuard Endpoint Security の改ざん防止機能を無効化してから、コンピュータを再起動してください。
