ファイル脅威対策タスクの設定
ファイル脅威対策タスクの動作の分析後に、スキャン範囲から除外できるディレクトリとファイルのリストを作成した場合は、それらを除外に追加する必要があります。
スキャンの除外
/tmp/logs ディレクトリとすべてのサブディレクトリおよびファイルを再帰的に除外するには、次のコマンドを実行します:
kesl-control --set-settings 1 --add-exclusion /tmp/logs
/tmp/logs ディレクトリ内の特定のファイルをマスクで除外するには、次のコマンドを実行します:
kesl-control --set-settings 1 --add-exclusion /tmp/logs/*.log
再帰マスクを使用して、/tmp/ ディレクトリおよびサブディレクトリ内の拡張子が .log のすべてのファイルを除外するには、次のコマンドを実行します:
kesl-control --set-settings 1 --add-exclusion /tmp/**/*.log
インターセプターの除外
特定のディレクトリ内のファイルをスキャンだけでなくインターセプターからも除外する場合は、マウントポイント全体を除外できます。
マウントポイント全体を除外するには:
- ディレクトリがマウントポイントでない場合は、そこからマウントポイントを作成します。たとえば、/tmp ディレクトリからマウントポイントを作成するには、次のコマンドを実行します:
mount --bind /tmp/ /tmp
- サーバーの再起動後もマウントポイントを維持するには、/etc/fstab ファイルに次の行を追加します:
/tmp /tmp none defaults,bind 0 0
- /tmp ディレクトリをグローバル除外リストに追加します。次のコマンドを実行します:
kesl-control --set-app-settings ExcludedMountPoint.item_0000=/tmp
- 複数のディレクトリを追加する場合は、item_0000 カウンターを 1 つ増やします(item_0001、item_0002 など)。
接続が不安定または速度が遅いリモートリソースにマウントされているマウントポイントも除外することを推奨します。
スキャン種別の変更
既定では、ファイル脅威対策タスクは、ファイルを開いたり閉じたりする時にそのファイルをスキャンできます。ファイル脅威保護タスクのパフォーマンス分析で、書き込まれているファイルが多すぎることが判明した場合は、次のコマンドを実行して、ファイルが開かれているときにのみタスクが実行されるようにできます。
kesl-control --set-set 1 ScanByAccessType=Open
この動作モードでは、ファイルを開いた後に加えられた変更は、次にファイルを開くまでスキャンされません。