オンアクセスファイル変更監視(OAFIM)
2023年4月20日
ID 197994
OAFIM タスクの実行中、各オブジェクトの変更は、リアルタイムモードでのファイル操作を随時読み取り、決定されます。オブジェクトが変更されると、Kaspersky Endpoint Security は Kaspersky Security Center の管理サーバーにイベントを送信します。タスクの実行中、ファイルのチェックサムは計算されません。アプリケーションタスクは、監視範囲外にあるハードリンクを持つファイルの変更(属性と内容)を監視しません。本製品は、特定のファイルやタスク設定で指定された監視範囲の操作を監視します。
監視範囲
システム変更監視タスクには、監視範囲を指定する必要があります。管理者は、リアルタイムモードで監視範囲を変更できます。複数の監視範囲を指定できます。監視範囲が指定されていない場合、設定ファイルにタスク設定を保存することはできません。
監視からの除外
監視範囲の除外を作成できます。除外は各個別の範囲に対して指定され、示された監視範囲に対してのみ機能します。複数の監視除外を指定できます。
除外は監視範囲よりも優先度が高く、指定されたディレクトリまたはファイルが監視範囲にある場合でも、タスクによって監視されません。ルールの 1 つの設定が指定する監視範囲が、除外で指定されたディレクトリよりも下のレベルである場合、タスクが実行される時にこの監視範囲は考慮されません。
除外を指定するには、監視範囲を指定するために使用するのと同じコマンドラインのシェルマスクを使用できます。
監視範囲または除外範囲が追加される時、本製品は指定されたディレクトリの存在有無を確認しません。
監視対象設定
システム変更監視タスクの実行時には、次の設定の変更が監視されます:
- コンテンツ(write ()、truncate () など)
- メタデータ(所有者権限(chmod / chown))
- タイムスタンプ(utimensat)
- 拡張属性(setxattr)など
Linux オペレーティングシステムの技術的な制限により、どの管理者またはどのプロセスがシステムに変更を加えたのか見つけることはできません。