実行時のエラーについて
目次
マルウェアとして検知される問題について
Q: TSS.zip が、マルウェアとして検知されますが安全ですか?
A: TSS.zip は、システムに関する情報を収集するため、セキュリティ対策ソフトウェアによっては、マルウェアとして誤認識されてしまう場合があります。しかし、TSS.zip 内のスクリプトはデジタル署名を行い改ざん防止対策を行っているため安全です。もし、マルウェアとして検知される場合は、お手数ですが除外設定をお願い致します。
署名に関連するエラーが発生する問題について
Q: 署名に関連するエラーが発生して TSS.zip を実行することができません。
A: TSS.zip をダウンロードした際に Zone Identifier が付与されている可能性があります。以下のトラブルシューティングを実施してください。
- TSS.zip を右クリックして[プロパティ]を選択
- [全般]タブの下部に[このファイルは他のコンピューターから取得したものです。このコンピューターを保護するため、このファイルへのアクセスはブロックされる可能性があります]という記載がある場合、右側の [許可する]をチェックし[OK]を押下
- 手順 2 の TSS.zip を解凍
- 既に解凍済みのフォルダがある場合、PowerShell を起動し、以下のコマンドを実行
Get-ChildItem -Recurse -Path <解凍済みフォルダ>\*.ps* | Unblock-File -Confirm:$false
- 再度、担当エンジニアから指定された TSS.zip のコマンドを実行
Update エラーについて
Q: 以下のエラーが発生することがあります。どうすればいいですか?
[PreRequisiteCheckInStage1(13521)] ERROR: TSS script is outdated more than 30 days. Please -Update or download latest version: 'https://aka.ms/getTSS' or 'https://cesdiagtools.blob.core.windows.net/windows/TSS.zip'
A: 以下のトラブルシューティングを実施してください。
- インターネットに接続できる環境の場合、管理者権限の PowerShell もしくはコマンドプロンプトで以下のコマンドを実行
.\TSS.ps1 -update
- インターネットに接続できない環境の場合、インターネットに接続できる環境に移動し、https://aka.ms/getTSS から最新版の TSS.zip ダウンロードし、差し替えを実施
- 再度、担当エンジニアから指定された TSS.zip のコマンドを実行
KernelTrace エラーについて
Q: 以下のいずれかのエラーが発生することがあります。どうすればいいですか?
[ProcessStart(12095)] WARNING: Detected below existing trace(s)
- TSS_WIN_KernelTrace
[ProcessStart(12095)] WARNING: Detected below existing trace(s)
- NT Kernel Logger
A: 以下のトラブルシューティングを実施してください。
- 管理者権限の PowerShell もしくはコマンドプロンプトで以下のコマンドを実行
logman -ets -stop "Circular Kernel Context Logger"
logman -ets -stop "NT Kernel Logger"
- 再度、担当エンジニアから指定された TSS.zip のコマンドを実行
- 手順 2 を実行してもエラーになる場合、管理者権限の PowerShell で以下のコマンドを実行
Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned -Force
.\TSS.ps1 -Stop -noBasiclog -noXray
- PowerShell 上で perfmon [Enter] と入力し、パフォーマンス モニターを起動
- [データ コレクター セット] - [イベント トレース セッション] を選択
- 実行中のトレース一覧で以下の名前のトレースが実行中になっている場合、右クリックして [停止] し、その後再度右クリックして [削除]
TSS_xxx (xxxは任意の文字列) - 再度、担当エンジニアから指定された TSS.zip のコマンドを実行
- 手順 7 を実行してもエラーになる場合、エラーログを添付の上、担当エンジニアにご連絡ください。
Number of trace session エラーについて
Q: 以下のエラーが発生することがあります。どうすればいいですか?
[PreRequisiteCheckForStart(15584)] ERROR: Number of trace session(xxx for TSS and xxx for existing sessions) will be xxx and it exceeds system total maximum number of session(xxx)
※ xxx は任意の数値
A: 以下のトラブルシューティングを実施してください。
- 管理者権限の PowerShell もしくはコマンドプロンプトで以下のコマンドを実行
reg add HKLM\SYSTEM\CurrentControlSet\Control\WMI /v EtwMaxLoggers /t REG_DWORD /d 256
- OS を再起動
- 再度、担当エンジニアから指定された TSS.zip のコマンドを実行
- 手順 3 を実行してもエラーになる場合、エラーログを添付の上、担当エンジニアにご連絡ください。
TSS.zip の実行が終了しない問題について
A: TSS.zip のログ採取の完了操作をしても実行が終了しません。どうすればいいですか?
Q: 対象の環境に採取すべき情報が多くある場合、完了まで時間が要することがあります。例えば、システムイベントログのファイルサイズを既定より大きくしている場合、このイベントログから採取すべき情報の検索に著しく時間を要する場合があります。このような場合も含めて、TSS.zip 実行が終了しない場合は、Ctrl+C でスクリプトの実行を止めて、担当エンジニアにご連絡ください。また、実行中のログであっても、調査が行える場合があるため、ログファイルの保存フォルダ (既定では、C:\MS_DATA) は、削除しないでください。
いずれにも合致しない場合について
Q: 上記のいずれにも該当しないエラーが発生しました。どうすればいいですか?
A: .\TSS.ps1 -Stop
コマンドを実行し、情報採取を停止ください。その後、担当エンジニアに以下の情報をお寄せください。
- エラー内容が確認できるスクリーン ショットもしくは、エラー内容をコピーした情報
- 実行状況の確認のため
.\TSS.ps1 -Status
コマンドの実行結果