サポート

法人向けアプリケーション

Kaspersky Endpoint Security 11 for Linux

付録

付録 1:リソース消費の最適化

リソースを消費するタスクの判定

ファイル脅威対策タスクの動作分析
Kaspersky Endpoint Security 11 for Linux
Нет результатов
Нет результатов
サポートサイト オンラインヘルプ
よくある質問まとめ (FAQ) 購入 更新 フォーラム (英語) サポートへ問い合わせる 無料ツール

ファイル脅威対策タスクの動作分析

2023年4月20日

ID 248489

ファイル脅威対策タスクの動作を分析するには:

  1. すべてのスキャンタスクと監視タスク停止します。
  2. オンデマンドスキャンタスクがスキャン中に実行されないこと、または実行スケジュールが設定されていないことを確認してください。Kaspersky Security Center を使用するか、次の手順を実行してローカルで実行できます:
    1. すべてのアプリケーションタスクの一覧を取得します。次のコマンドを実行します:

      kesl-control --get-task-list

    2. マルウェアのスキャンタスクのスケジュール設定を取得します。次のコマンドを実行します:

      kesl-control --get-schedule <タスク ID>

      コマンドの出力が RuleType=Manual の場合、タスクは手動でのみ開始できます。

    3. すべてのマルウェアスキャンタスクのスケジュール設定を取得し、手動での開始に設定します。次のコマンドを実行します:

      kesl-control --set-schedule <タスク ID> RuleType=Manual

  3. 次のコマンドを実行して、高レベルの詳細を含むアプリケーション トレース ファイルの生成を有効にします:

    kesl-control --set-app-settings TraceLevel=Detailed

  4. ファイル脅威対策タスクが開始されていない場合は開始します。次のコマンドを実行します:

    kesl-control --start-task 1

  5. パフォーマンスの問題を引き起こしたモードでシステムをロードします。数時間で十分です。

    ロード中、製品はトレースファイルに多くの情報を書き込みます。ただし、既定では 500MB のファイルが 5 つしか保存されないため、古い情報は上書きされます。パフォーマンスとリソース消費の問題が発生しなくなった場合は、オンデマンドスキャンタスクが原因である可能性が高く、ContainerScan および ODS スキャンタスクの動作の分析に進むことができます。

  6. 製品トレースファイルの作成を無効にします。次のコマンドを実行します:

    kesl-control --set-app-settings TraceLevel=None

  7. 最も頻繁にスキャンされたオブジェクトのリストを確認します。次のコマンドを実行します:

    fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | sort | uniq -c | sort -k1 -n -r|less

    結果は、テキスト ビューアー ユーティリティである less に読み込まれ、最も多くスキャンされたオブジェクトが最初に表示されます。

  8. 最も多くスキャンされたオブジェクトが危険かどうかを判断します。問題がある場合は、テクニカルサポートにお問い合わせください。

    たとえば、信頼するプロセスがディレクトリとログファイルに書き込む場合、それらのディレクトリとログファイルは安全であると判断することができ、データベースファイルも安全であると考えられます。

  9. 安全と思われるオブジェクトのパスを控えておいてください。スキャン範囲からの除外を設定するには、パスが必要になります。
  10. 様々なサービスがシステム内のファイルにデータを頻繁に書き込む場合、そのようなファイルは保留中のキューで再度スキャンされます。保留中のキューで最も頻繁にスキャンされたパスのリストを確認します。次のコマンドを実行します:

    fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r

    最も頻繁にスキャンされたファイルがリストの最初に表示されます。

  11. ファイルのカウンターが数時間で数千を超える場合は、スキャンから除外するために、このファイルが信頼できるかどうかを確認する必要があります。

    それを決定するロジックは、前の調査(ステップ 8 を参照)と同じです。ログファイルは起動できないため、安全であると判断することができます。

  12. 一部のファイルがリアルタイム保護タスクのスキャンから除外されたとしても、それらのファイルは本製品によってインターセプトされる可能性があります。特定のファイルをリアルタイム保護から除外してもパフォーマンスが大幅に向上しない場合は、これらのファイルが配置されているマウントポイントを本製品のインターセプトの範囲から完全に除外できます。除外するには、次の手順を実行します:
    1. 次のコマンドを実行し、本製品がインターセプトしたファイルのリストを取得します:

      grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $7}' | sort | uniq -c | sort -k1 -n -r

    2. このリストを使用して、ほとんどのファイル操作のインターセプトに使用されるパスを特定し、インターセプトの例外を設定します。

Kaspersky Endpoint Security for Linux:パフォーマンスを低下させることなく高度な保護を提供
高度な脅威を検知してブロック。Endpoint Security for Business Advanced の一部として購入。
拡張テクニカルサポート(MSA):優先度の高いインシデント対応
電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約(MSA)をアクティブ化。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。