カーネル・モジュールまたは他のファイル・モニタリングの問題のデバッグ

カーネル・モジュールに関する問題は、次の方法で検出できます。

行われたはずのファイル変更に関して、Enterprise Managerコンソールにリアルタイム・ファイル変更が表示されていない場合があります。
ユーザー・インタフェースの「コンプライアンス標準ターゲット・アソシエーション」または「リアルタイム監視」ページに、カーネル・モジュールの問題を示すエージェント警告が表示されていることがあります。
AGENT_INST/sysman/logs内のnmxcf.logファイルを調べると、様々な理由でカーネル・モジュールをロードまたは使用できなかったことを示すエラーが表示されていることがあります。

このいずれかの問題が発生した場合、実行時にLinuxカーネル・モジュールのコンパイルまたは挿入に関連する問題があった可能性があります。

次のコマンドを実行すると、監査モジュールが適切にロードされたかどうかを確認できます。

grep -i auditmodule /proc/modules

出力が得られない場合、監査モジュールがロードされず、エージェントによってリアルタイム・ファイル・モニタリングは実行されません。

監査モジュール・ファイルが適切に生成されているのに、前述のモジュール・リストに表示されていない場合、手動でモジュールのロードを試行してエラーがないか確認してください。次のコマンドを使用します。{audit module file name}の箇所は、compmod.shから作成された.koファイルの名前全部で置き換えます。

insmod {audit module file name}

このコマンドでエラーが発生しなかった場合は、前述のgrepコマンドを使用して、モジュール・リストを再び確認します。監査モジュールが表示されれば、ファイル監査機能に問題はありません。エージェントは再起動する必要があります。ただし、ファイル・モニタリング・プロセスで.koファイルの検出に関する問題が残っている可能性があり、ホストを次に再起動してもこの問題は再び発生します。

ファイル監視プロセスに関する問題をデバッグする追加ステップの1つは、これを手動で実行する方法です。これを実行するには、次のステップに従います。

エージェントのTMMainプロセスのプロセスIDを取得します。

ps -eaf |grep TMMain
{}内の値を、正しいパス要素または前のコマンドからのプロセスIDに置き換え、次のコマンドを使用して、nmxcfプロセスを実行します。

sudo {agent_home}/core/{agent_version}/bin/nmxcf -e {agent_home}/agent_inst/ -m {agent_home}/agent_inst/sysman/emd/state/fetchlet_state/CCCDataFetchlet -w {process id of TMMAIN}

nmxcfプロセスをこの方法で実行しても、エージェントの再起動時に再開されないため、長期的にはこの方法は機能しませんが、プロセスを開始できない理由に関して問題をデバッグしようとする上で役立ちます。

モジュールがまだロードされず、この問題についてOracleサポートに連絡する場合は、必ず次の情報をサポート・チケットとともに提供してください。

コマンドの出力: uname -a
コマンドの出力: grep –i auditmodule /proc/modules
コマンドの出力: rpm –q –a |grep –i kernel-devel
compmod.shを実行した/opt/fileauditmoduleディレクトリからのmake.logファイルとbuild.logファイル(独自の.koファイルを作成した場合)
ファイルAGENT_INST/sysman/log/nmxc*.log
nmxcfを手動で開始しようとするときに受け取る任意の警告またはエラー

この情報は、エージェントのリアルタイム・ファイル・モニタリングの監査モジュールを環境内に作成できるかどうかをOracleサポートが判断する際に役立ちます。

ノート:

カーネル・モジュールをアンロードするために使用されるLinux OSコマンドrmmodを使用する場合は注意が必要です。nmxcfバイナリの実行中にrmmodを使用する場合、使用中のカーネル・モジュールをアンロードしようとするとカーネル・パニックが発生する可能性があります。どのようなモジュールをアンロードする場合でも、Linuxでrmmodを使用する場合は慎重に作業する必要があります。