- Kaspersky Endpoint Security 12.0 for Linux ヘルプ
- Kaspersky Endpoint Security 12.0 for Linux
- 主な変更点
- 製品をインストールするための準備
- 本製品のインストール
- 旧バージョンからの本製品のアップデート
- 本製品のアンインストール
- 本製品のライセンス管理
- データの提供
- コマンドラインを使用した本製品の管理
- ファイル脅威対策タスク(File_Threat_Protection、ID:1)
- マルウェアのスキャンタスク(Scan_My_Computer、ID:2)
- オブジェクトスキャンタスク(Scan_File、ID:3)
- 簡易スキャンタスク(Critical_Areas_Scan、ID:4)
- アップデートタスク(Update、ID:6)
- ロールバックタスク(Rollback、ID:7)
- ライセンスタスク(License、ID:9)
- 保管領域の管理タスク(Backup、ID:10)
- システム変更監視タスク(System_Integrity_Monitoring、ID:11)
- ファイアウォール管理タスク(Firewall_Management、ID:12)
- アンチクリプタータスク(Anti_Cryptor、ID:13)
- ウェブ脅威対策タスク(Web_Threat_Protection、ID:14)
- デバイスコントロールタスク(Device_Control、ID:15)
- リムーバブルドライブのスキャンタスク(Removable_Drives_Scan、ID:16)
- ネットワーク脅威対策タスク(Network_Threat_Protection、ID:17)
- コンテナースキャンタスク(Container_Scan、ID:18)
- コンテナのカスタムスキャンタスク(Custom_Container_Scan、ID:19)
- ふるまい検知タスク(Behavior_Detection、ID:20)
- アプリケーションコントロールタスク(Application_Control、ID:21)
- インベントリスキャンタスク(Inventory_Scan、ID:22)
- Kaspersky Managed Detection and Response(KATA)との連携タスク(KATAEDR、ID:24)
- Kaspersky Security Network を使用する
- Kaspersky Managed Detection and Response との連携
- KESL コンテナ
- イベントとレポート
- 管理コンソールを使用した本製品の管理
- クライアントコンピューター上の本製品の起動と停止
- デバイスの保護ステータスを表示する
- 製品設定の表示
- アプリケーションデータベースとモジュールのアップデート
- 管理コンソールでのポリシーの管理
- ポリシーの設定
- ファイル脅威対策
- 除外範囲
- プロセスによる除外
- ファイアウォール管理
- ウェブ脅威対策
- ネットワーク脅威対策
- Kaspersky Security Network
- アプリケーションコントロール
- アンチクリプター
- システム変更監視
- デバイスコントロール
- ふるまい検知
- タスク管理
- リムーバブルドライブのスキャン
- プロキシサーバー設定
- アプリケーション設定
- コンテナのスキャン設定
- Managed Detection and Response
- ネットワーク設定
- グローバル除外リスト
- プロセスメモリを除外
- 保管領域の設定
- Kaspersky Endpoint Detection and Response(KATA)統合
- Light Agent モード
- 管理コンソールでのタスクの管理
- タスク設定
- Kaspersky Managed Detection and Response との連携の設定
- KESL コンテナの設定
- 手動による管理サーバーへの接続の確認:Klnagchk ユーティリティ
- 手動による管理サーバーへの接続:Klmover ユーティリティ
- クライアントデバイスのリモート診断。Kaspersky Security Center リモート診断ユーティリティ
- Kaspersky Security Center Web コンソールと Cloud コンソールを使用したアプリケーションのリモート管理
- Web コンソール、Cloud コンソールへのログインとログアウト
- クライアントコンピューター上の本製品の起動と停止
- デバイスの保護ステータスを表示する
- アプリケーションデータベースとモジュールのアップデート
- Web コンソールでのポリシーの管理
- ポリシーの設定
- Web コンソールでのタスクの管理
- タスク設定
- Kaspersky Managed Detection and Response との連携の設定
- KESL コンテナの設定
- クライアントデバイスのリモート診断の設定
- グラフィカルユーザーインターフェイスを使用した製品の管理
- アプリケーションコンポーネントの変更チェック
- テクニカルサポートへの問い合わせ
- 付録
- 付録 1:リソース消費の最適化
- 付録 2:製品の設定情報ファイル
- 製品の設定情報ファイル
- 製品タスクの設定情報ファイルの編集ルール
- ファイル脅威対策タスクの設定情報ファイル
- マルウェアのスキャンタスクの設定情報ファイル
- オブジェクトスキャンタスクの設定情報ファイル
- 簡易スキャンタスクの設定情報ファイル
- アップデートタスクの設定情報ファイル
- 保管領域の管理タスクの設定情報ファイル
- システム変更監視タスクの設定情報ファイル
- ファイアウォール管理タスクの設定情報ファイル
- アンチクリプタータスクの設定情報ファイル
- ウェブ脅威対策タスクの設定情報ファイル
- デバイスコントロールタスクの設定情報ファイル
- リムーバブルドライブのスキャンタスクの設定情報ファイル
- ネットワーク脅威対策タスクの設定情報ファイル
- コンテナースキャンタスクの設定情報ファイル
- ふるまい検知タスクの設定情報ファイル
- アプリケーションコントロールタスクの設定情報ファイル
- インベントリスキャンタスクの設定情報ファイル
- Kaspersky Managed Detection and Response(KATA)との連携タスク設定情報ファイル
- 付録 3:コマンドラインの戻りコード
- 付録 4:REST API を使用した KESL コンテナの管理
- 付録 5:Kaspersky Anti-Virus for Linux Mail Server との対話の設定
- Kaspersky Endpoint Security に関する情報源
- 用語解説
- サードパーティ製のコードに関する情報
- 商標に関する通知
ファイル脅威対策タスクの動作分析
ファイル脅威対策タスクの動作を分析するには:
- すべてのスキャンタスクと監視タスクを停止します。
- オンデマンドスキャンタスクがスキャン中に実行されないこと、または実行スケジュールが設定されていないことを確認してください。Kaspersky Security Center を使用するか、次の手順を実行してローカルで実行できます:
- すべてのアプリケーションタスクの一覧を取得します。次のコマンドを実行します:
kesl-control --get-task-list - マルウェアのスキャンタスクのスケジュール設定を取得します。次のコマンドを実行します:
kesl-control --get-schedule <タスク ID>コマンドの出力が
RuleType=Manualの場合、タスクは手動でのみ開始できます。 - すべてのマルウェアのスキャンタスクのスケジュール設定を取得し、手動での開始に設定します。次のコマンドを実行します:
kesl-control --set-schedule <タスク ID> RuleType=Manual
- すべてのアプリケーションタスクの一覧を取得します。次のコマンドを実行します:
- 次のコマンドを実行して、高レベルの詳細を含むアプリケーション トレース ファイルの生成を有効にします:
kesl-control --set-app-settings TraceLevel=Detailed - ファイル脅威対策タスクが開始されていない場合は開始します。次のコマンドを実行します:
kesl-control --start-task 1 - パフォーマンスの問題を引き起こしたモードでシステムをロードします。数時間で十分です。
ロード中、製品はトレースファイルに多くの情報を書き込みます。ただし、既定では 500MB のファイルが 5 つしか保存されないため、古い情報は上書きされます。パフォーマンスとリソース消費の問題が発生しなくなった場合は、オンデマンドスキャンタスクが原因である可能性が高く、ContainerScan および ODS スキャンタスクの動作の分析に進むことができます。
- 製品トレースファイルの作成を無効にします。次のコマンドを実行します:
kesl-control --set-app-settings TraceLevel=None - 最も頻繁にスキャンされたオブジェクトのリストを確認します。次のコマンドを実行します:
fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | sort | uniq -c | sort -k1 -n -r|less結果は、テキスト ビューアー ユーティリティである less に読み込まれ、最も多くスキャンされたオブジェクトが最初に表示されます。
- 最も多くスキャンされたオブジェクトが危険かどうかを判断します。問題がある場合は、テクニカルサポートにお問い合わせください。
たとえば、信頼するプロセスがディレクトリとログファイルに書き込む場合、それらのディレクトリとログファイルは安全であると判断することができ、データベースファイルも安全であると考えられます。
- 安全と思われるオブジェクトのパスを控えておいてください。スキャン範囲からの除外を設定するには、パスが必要になります。
- 様々なサービスがシステム内のファイルにデータを頻繁に書き込む場合、そのようなファイルは保留中のキューで再度スキャンされます。保留中のキューで最も頻繁にスキャンされたパスのリストを確認します。次のコマンドを実行します:
fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r最も頻繁にスキャンされたファイルがリストの最初に表示されます。
- ファイルのカウンターが数時間で数千を超える場合は、スキャンから除外するために、このファイルが信頼できるかどうかを確認する必要があります。
それを決定するロジックは、前の調査(ステップ 8 を参照)と同じです。ログファイルは起動できないため、安全であると判断することができます。
- 一部のファイルがリアルタイム保護タスクのスキャンから除外されたとしても、それらのファイルは本製品によってインターセプトされる可能性があります。特定のファイルをリアルタイム保護から除外してもパフォーマンスが大幅に向上しない場合は、これらのファイルが配置されているマウントポイントを本製品のインターセプトの範囲から完全に除外できます。除外するには、次の手順を実行します:
- 次のコマンドを実行し、本製品がインターセプトしたファイルのリストを取得します:
grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r - このリストを使用して、ほとんどのファイル操作のインターセプトに使用されるパスを特定し、インターセプトの例外を設定します。
- 次のコマンドを実行し、本製品がインターセプトしたファイルのリストを取得します: