リアルタイムのシステム整合性監視
リアルタイムのシステム整合性監視
システム変更監視は、ファイル操作をリアルタイムで傍受することにより、監視範囲内のオブジェクトへの各変更を検出します。
システム変更監視が実行されると、アプリケーションは次のファイル設定の変更を監視します:
- コンテンツ(write ()、truncate () など)
- メタデータ(所有者権限(chmod / chown))
- タイムスタンプ(utimensat)
- 拡張属性(setxattr)など
チェックサムのファイルは計算されていません。
Linuxオペレーティングシステムの技術的制限により、アプリケーションはファイルに変更を加えたユーザーやプロセスを特定することができません。
既定では、システム変更監視は無効になっています。システム変更監視を有効、無効、および設定できます:
- システム変更監視の監視範囲を定義するアプリケーションは、システム変更監視の設定で定義された監視範囲内のファイルに対する操作を監視します。コンポーネントが動作するためには、少なくとも1つの監視範囲を指定する必要があります。既定では、カスペルスキー内部オブジェクト(/opt/kaspersky/kesl/)の監視範囲が定義されています。
複数の監視範囲を指定できます。リアルタイムモードで監視範囲を変更できます。
アプリケーションタスクは、監視範囲外にあるハードリンクを持つファイルの変更(属性と内容)を監視しません。
- 名前のマスクを使用して、監視対象からオブジェクトを除外することができます。
- システム変更監視の除外範囲を設定します。除外は各個別の範囲に対して定義され、示された範囲に対してのみ機能します。複数の監視除外を指定できます。
除外は監視範囲よりも優先順位が高く、除外されたオブジェクトは監視範囲内であってもスキップされます。監視範囲が除外されたディレクトリよりも低いレベルで定義されている場合、アプリケーションはシステム変更監視中にこの監視範囲をスキップします。
ディレクトリが監視または除外範囲に追加されると、アプリケーションはそのディレクトリが存在するかどうかをチェックしません。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。