ファイル脅威対策タスクの動作分析

ファイル脅威対策タスクの動作を分析するには:

  1. すべてのスキャンタスクと監視タスク停止します。
  2. オンデマンドスキャンタスクがスキャン中に実行されないこと、または実行スケジュールが設定されていないことを確認してください。Kaspersky Security Center を使用するか、次の手順を実行してローカルで実行できます:
    1. すべてのアプリケーションタスクの一覧を取得します。次のコマンドを実行します:

      kesl-control --get-task-list

    2. マルウェアのスキャンタスクのスケジュール設定を取得します。次のコマンドを実行します:

      kesl-control --get-schedule <タスク ID>

      コマンドの出力が RuleType=Manual の場合、タスクは手動でのみ開始できます。

    3. すべてのマルウェアのスキャンタスクのスケジュール設定を取得し、手動での開始に設定します。次のコマンドを実行します:

      kesl-control --set-schedule <タスク ID> RuleType=Manual

  3. 次のコマンドを実行して、高レベルの詳細を含むアプリケーション トレース ファイルの生成を有効にします:

    kesl-control --set-app-settings TraceLevel=Detailed

  4. ファイル脅威対策タスクが開始されていない場合は開始します。次のコマンドを実行します:

    kesl-control --start-task 1

  5. パフォーマンスの問題を引き起こしたモードでシステムをロードします。数時間で十分です。

    ロード中、製品はトレースファイルに多くの情報を書き込みます。ただし、既定では 500MB のファイルが 5 つしか保存されないため、古い情報は上書きされます。パフォーマンスとリソース消費の問題が発生しなくなった場合は、オンデマンドスキャンタスクが原因である可能性が高く、ContainerScan および ODS スキャンタスクの動作の分析に進むことができます。

  6. 製品トレースファイルの作成を無効にします。次のコマンドを実行します:

    kesl-control --set-app-settings TraceLevel=None

  7. 最も頻繁にスキャンされたオブジェクトのリストを確認します。次のコマンドを実行します:

    fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | sort | uniq -c | sort -k1 -n -r|less

    結果は、テキストビューアーユーティリティである less に読み込まれ、最も多くスキャンされたオブジェクトが最初に表示されます。

  8. 最も多くスキャンされたオブジェクトが危険かどうかを判断します。問題がある場合は、テクニカルサポートにお問い合わせください。

    たとえば、信頼するプロセスがディレクトリとログファイルに書き込む場合、それらのディレクトリとログファイルは安全であると判断することができ、データベースファイルも安全であると考えられます。

  9. 安全と思われるオブジェクトのパスを控えておいてください。スキャン範囲からの除外を設定するには、パスが必要になります。
  10. 様々なサービスがシステム内のファイルにデータを頻繁に書き込む場合、そのようなファイルは保留中のキューで再度スキャンされます。保留中のキューで最も頻繁にスキャンされたパスのリストを確認します。次のコマンドを実行します:

    fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r

    最も頻繁にスキャンされたファイルがリストの最初に表示されます。

  11. ファイルのカウンターが数時間で数千を超える場合は、スキャンから除外するために、このファイルが信頼できるかどうかを確認する必要があります。

    それを決定するロジックは、前の調査(ステップ 8 を参照)と同じです。ログファイルは起動できないため、安全であると判断することができます。

  12. 一部のファイルがリアルタイム保護タスクのスキャンから除外されたとしても、それらのファイルは本製品によってインターセプトされる可能性があります。特定のファイルをリアルタイム保護から除外してもパフォーマンスが大幅に向上しない場合は、これらのファイルが配置されているマウントポイントを本製品のインターセプトの範囲から完全に除外できます。除外するには、次の手順を実行します:
    1. 次のコマンドを実行し、本製品がインターセプトしたファイルのリストを取得します:

      grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r

    2. このリストを使用して、ほとんどのファイル操作のインターセプトに使用されるパスを特定し、インターセプトの例外を設定します。
ページのトップに戻る