【Windows】Symantec Endpoint Protectionのログファイルが肥大化してしまう

Windows

こんにちは!今回はSymantec社のセキュリティソフトであるSymantec Endpoint Protection:以下SEP にて困ったことが発生したので、その事象と解決方法を紹介します。

事象

ローカルディスクの下記パスにSQ_{########-####-####-####-############}(#は恐らくユニークな文字列)というフォルダが作成される。

%ProgramData%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\ErrMgmt\Queue\Incoming

フォルダの中には「.dmp」「.etl」「.dlist」「.plist」「.dat」などといった一般的ではない拡張子のファイルがあり、合わせて数十~数百MB程度のサイズがある。

このファイル類が大量に作成されてしまい、ディスクを圧迫してしまう。

※私の場合ですと約30GBものディスクを消費していました。

原因

SEPにはエラーを検知した際に、Symantec社へエラー情報を送信する機能があり、この報告するためのファイルがこのIncomingに保管されていくようです。

Large disk usage under ...\Data\ErrMgmt\Queue\Incoming by the Endpoint Protection client
The Symantec Endpoint Protection (SEP) client generates many folders in the C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\ErrMgmt\Qu...

これが蓄積していくことでディスクの空き領域を消費していってしまうのです。

こうなってしまう原因として、考えられる問題は2つあります。

Windowsにエラーを出すような問題がある(SEP以外の問題)

Windowsから出力されるエラー情報SEPが取得してファイルを生成するようです。
そのため、Windowsのイベントログに出力されるであろうエラーはこの問題に直結してくる可能性があります。よくある問題としては、OSの破損ドライバの不具合ソフトウェアの異常な動き等が挙げられます。改善するためにはそれぞれを一つ一つ改善する必要があります。

Symantec社へデータの送信が失敗している

本来であれば、送信完了後にこのファイルは削除されるため、ディスクを圧迫することはありません。何かしらの要因で送信失敗していることが挙げられるでしょう。つまりは、ネットワーク的にSymantec社通信できないことが問題になります。

解決方法

Windowsのエラーを特定し、修復する

Incomingフォルダの中に「.dmp」がある場合、そのファイル名を見ればエラーを出しているアプリケーションを特定することができると思います。該当するソフトウェアの修復や再インストールが一つの方法かと思います。

また、ドライバに含まれるアプリケーションの場合もありますので、その場合はドライバを更新してあげることで改善する可能性があります。

別の方法として、フォルダの生成時間とWindowsのイベントログの出力時間を比較してあげれば、どのエラーが原因なのかも推定できるでしょう。

これらをヒントに修復してみましょう。

※このエラーは多岐に渡るため、全く同じものを原因とすることは稀です。
それぞれのケースに応じて対応は変わりますのでご注意ください。

ネットワークのエラー

インターネットに確実に接続できているか確認してください。プロキシの設定ファイアーウォールの設定等によって接続できないこともあります。会社の貸与PC等ではそういうケースはままありますので、ネットワークの担当者に相談してみるのが良いと思います。

SEPのエラー報告を送信する機能を無効化する

レジストリを編集することで、Windowsのエラーを送信する機能を無効にすることができます。

  1. SEPを無効にする
  2. 「%ProgramData%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\ErrMgmt\Queue\Incoming」に溜まってしまったファイル・フォルダを削除する
  3. 「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps」のバックアップを取る
  4. 配下にある、監視したくないアプリケーションのサブキーを削除する
  5. SEPを有効にする

これにより、エラーを出力してしまうプロセスの監視を回避することができます。

あとがき

今回はSEPのファイルが肥大化してしまう件について、原因と解説策について紹介させていただきました。

本件は、セキュリティソフトのエラーレポートが蓄積してしまうために起こったているのですが、本来はWindowsに何らかの不具合が発生していることが原因です。それを解消しない限りファイルを削除したところでまた蓄積していくという無限ループに陥ってしまいます。

しかしながら、Windowsのエラーも一筋縄ではありません。簡単なものであればいいのですが、大規模なシステムですから、個人で解決が難しい場合も多いはずです。

よほどの理由がない限り、素直にプロフェッショナルに依頼するか、クリーンインストールしなおしたほうが結果的には早いのではないでしょうか・・・。

Windowsのエラーに関しては解決したものであれば記事にしていこうと思いますので、応援していただければ嬉しいです。

何かのお役に立てれば幸いです。

コメント

Translate »
タイトルとURLをコピーしました