トラブルシューティング
本ページでは、Keeperエンドポイント特権マネージャー展開後に管理者が遭遇する最も一般的な問題の解決方法を取り扱います。ここでカバーされていない問題がある場合は、Keeperサポートに連絡し、ログの確認に記載のパスから関連ログファイルをお送りください。
トラブルシューティングのトピック
プラグインが読み込まれない、またはFailedステータスが表示される
エージェントサービスが起動しない
表示される症状: サービスが実行状態に到達しない、起動直後に停止する、またはシステムイベントログにエラーが表示される。
一般的な原因と確認事項
ポート競合: エージェントはlocalhost上で3つのポートを必要とします: 6888 (HTTP)、6889 (HTTPS)、8675 (内部MQTTブローカー)。いずれかが別プロセスで使用中の場合、サービスは起動に失敗します。
ポートの空き状況を確認するには、以下を実行します。
powershell
bash
ポートが使用中の場合は、競合プロセスを停止するか、別ポートを使うよう再構成してください。
構成の形式エラー: appsettings.json またはプラグイン/ジョブ構成ファイルのJSON構文エラーは、サービスの読み込みを妨げます。JSONバリデータでファイルを検証し、カンマの欠落、括弧の不一致、無効な値がないか確認してください。
.NETランタイムの欠如: KEPMには.NET 8.0のインストールが必要です。存在を確認するには、以下を実行します。
bash
ファイル権限の問題: サービスアカウントはインストールディレクトリとそのストレージサブディレクトリへの読み書きアクセスが必要です。以下の権限を確認してください。
Windows:
C:\Program Files\Keeper Security\Endpoint Privilege Management\Linux:
/opt/keeper/sbin/macOS:
/Library/Keeper/sbin/
プラグインが読み込まれない、またはFailedステータスが表示される
表示される症状: 管理コンソールで1つ以上のプラグインが「Stopped」または「Failed」と表示される、またはサービスは起動するがポリシー評価が機能しない。
証明書検証の失敗: すべてのKEPMプラグインはデジタル署名が必要です。プラグインの証明書サムプリントが信頼リストにない場合、読み込まれません。サービスログで Plugin failed security validation を含むメッセージを確認してください。カスタムまたはサードパーティプラグインを実行している場合は、署名付き証明書のサポートで証明書を信頼リストに追加する方法をご参照ください。
実行可能ファイルが見つからない: プラグインのJSON構成ファイルで指定されたパスにプラグイン実行可能ファイルが存在し、サービスアカウントが実行権限を持つことを確認してください。
MQTT接続の失敗: プラグインはポート8675の組み込みMQTTブローカー経由で内部通信します。ブローカーが起動に失敗した場合 (サービスログを確認)、プラグインは接続できません。最も一般的な原因はポート8675の使用中です。上記のポート競合手順をご参照ください。
ポリシー評価が想定どおりに動作しない
表示される症状: 制御されるべきアクションがプロンプトなしで実行される、または許可されるべきアクションが拒否される。
KeeperPolicyプラグインが実行されていない: KeeperPolicyプラグインが実行状態でない場合、ポリシー評価は完全に停止します。実行中であることを確認するには、以下を実行します。
bash
期待される出力: Running
エージェントが未登録: ポリシーはエージェントが登録を完了した後にKeeperサーバーから配信されます。登録状態を確認するには、以下を実行します。
bash
レスポンスに "IsRegistered": true が含まれる必要があります。含まれない場合は、KeeperRegistrationHelper で登録を完了してください。OS別のデプロイガイドをご参照ください。
ポリシーがまだ同期されていない: 登録後、最初のポリシー同期には最大数分かかる場合があります。KeeperPolicyプラグインディレクトリ内の currentPolicies.json のタイムスタンプを確認し、ポリシーが受信されたことを確認してください。
ポリシーが監視モードである: 監視または監視&通知状態のポリシーはイベントをログに記録しますが、コントロールは適用しません。管理コンソールでポリシーのステータスフィールドを確認し、ブロックまたはプロンプトを意図している場合は適用に変更してください。
エージェント登録が失敗する
表示される症状: 登録リクエストがエラーを返す、またはインストーラー実行後もエージェントが未登録のままである。
サービスが完全に初期化されていない: サービス起動後、すべてのプラグインの読み込みとKeeperAPIプラグインの登録リクエスト受付準備まで15–30秒かかります。待ってから再試行してください。
デプロイメントトークンが誤っているか期限切れ: トークン形式は hostname:deployment-uid:private-key です。管理コンソールで期限切れまたは削除されたデプロイパッケージのトークンは拒否されます。新しいデプロイパッケージを生成し、新しいトークンを使用してください。
Keeperへの外向き接続がない: 登録にはKeeperクラウドバックエンドへのHTTPSアクセスが必要です。マシンがポート443で keepersecurity.com に到達できることを確認してください。エアギャップ環境の場合は、エアギャップ対応ガイドをご参照ください。
別のトークンですでに登録済み: エージェントがすでに登録されており、別のデプロイパッケージで再登録する必要がある場合は、force=true パラメータを使用します。
bash
エージェントは登録済みだがポリシーが表示されない
表示される症状: 登録は成功するが、エンドユーザー向けのポリシーコントロールが表示されない、または currentPolicies.json が空である。
まず数分待ってください。初回ポリシー同期は登録直後に実行されます。ポリシーがまだ表示されない場合は、以下を確認してください。
登録に使用したデプロイパッケージに、管理コンソールでポリシーが割り当てられていること
マシンのコレクションがこのデバイスを正しく含むよう構成されていること
KeeperPolicyプラグインが実行中であること (上記のプラグイン確認を参照)
サービスログに
Local policy merge complete: N server + N local = N total policiesに類似する行があること。Nが0の場合、サーバーからポリシーが受信されていません
HTTP APIリクエストが拒否される
表示される症状: https://localhost:6889 へのAPI呼び出しが 401 Unauthorized または 403 Forbidden を返す。
KEPMはローカルAPIにプロセスベース認証を使用します。呼び出し元プロセスは、KEPM起動プロセス (プロセスレジストリで追跡) であるか、管理者権限で実行されている必要があります。非特権コンテキストからは以下は機能しません。
Windowsで非昇格ターミナルから
curlを実行するKPMが起動していない非管理者ユーザープロセスからAPIを呼び出す
トラブルシューティング中の直接API呼び出しには、昇格ターミナル (Windowsでは [管理者として実行]、Linux/macOSでは sudo) を使用してください。
サービスの正常性を確認する
サービスが完全に稼働していることを確認するため、以下のチェックを順に実行してください。
bash
ログファイルの場所
ログファイルの場所は以下のとおりです。
Windows
C:\Program Files\Keeper Security\Endpoint Privilege Management\Plugins\bin\KeeperLogger\Log
Linux
/opt/keeper/sbin/Plugins/bin/KeeperLogger/Log
macOS
/Library/Keeper/sbin/Plugins/bin/KeeperLogger/Log
新しいログファイルは毎日作成されます。ログファイルは15日経過後に自動削除されます。ログ内容の読み取りと解釈については、ログの確認をご参照ください。
最終更新