概要

Cloud Security Management (CSM) Vulnerabilities に関する問題が発生した場合は、以下のトラブルシューティングガイドラインを使用してください。さらにサポートが必要な場合は、Datadog サポートにお問い合わせください。

CSM Vulnerabilities が有効になっていることを確認する

Agent を脆弱性スキャン用に構成するためのドキュメントを確認し、ホストとコンテナがソフトウェア部品表 (SBOM) の収集用に構成されていることを確認してください。さらに、アプリ内の Cloud Security Management の説明を確認し、初期セットアップのすべての手順が完了していることを確認してください。

前提条件

CSM Vulnerabilities の前提条件がすべて満たされていることを確認します。

コンポーネントバージョン/要件
Helm Chartv3.49.6 以降 (Kubernetes のみ)
containerdv1.5.6 以降 (Kubernetes とホストのみ)

CSM Vulnerabilities は以下の環境では利用できません

  • ログの収集
  • AWS Fargate
  • CRI-O ランタイム
  • podman ランタイム

エラーメッセージ

ディスク容量要件

最大のコンテナイメージのサイズに等しいディスクの空き容量があることを確認してください。この空き容量は、Datadog Agent がコンテナイメージの脆弱性をスキャンするために必要です (デフォルトでは 1 GB)。

その結果、次のようなエラーが表示されます。

Error: failed to check current disk usage: not enough disk space to safely collect sbom, 192108482560 available, 1073741824000 required

回避策:

  • 利用可能なディスク容量を少なくとも 1 GB に増やしてください。イメージが 1 GB を超える場合は、それに応じてディスク容量を増やしてください。
  • すべてのイメージが 1 GB 未満の場合、環境変数 DD_SBOM_CONTAINER_IMAGE_MIN_AVAILABLE_DISK を使用して、デフォルトの Agent 要求ディスク容量を減らすことができます (デフォルト値は 1GB です)。

非圧縮コンテナイメージレイヤー

SBOM スキャンは、非圧縮コンテナイメージレイヤーでのみ動作します。一部の Kubernetes ディストリビューション (AWS EKS、minikube、kind など) では、コンテナランタイムが非圧縮レイヤーを破棄するように構成されているため、スキャンに失敗します。

その結果、次のようなエラーが表示されます。

ERROR | (pkg/workloadmeta/collectors/internal/containerd/image_sbom_trivy.go:80 in func2) | Failed to generate SBOM for containerd image: unable to marshal report to sbom format, err: analyze error: failed to analyze layer:  : unable to get uncompressed layer

この問題の回避策は、containerd コンフィギュレーションファイルで discard_unpacked_layers=false という構成オプションを設定することです。

関連メトリクスを表示

  1. Datadog の Metrics > Summary に移動します。
  2. トラブルシューティングに役立つ以下のメトリクスを検索します。
    • datadog.agent.sbom_attempts: sbom 収集の試行を sourcetype で追跡します。
    • datadog.agent.sbom_generation_duration: SBOM の生成にかかる時間を秒単位で測定します。
    • datadog.agent.sbom_errors: sourcetypereason ごとの sbom の失敗数。
    • datadog.agent.export_size: ディスクに書き込まれるアーカイブのサイズ。

その他の参考資料