ファイル変更監視タスクについて

ファイル変更監視タスクは、タスク設定で指定した監視範囲にある指定したファイルおよびフォルダーで実行される処理を追跡します。このタスクを使用して、保護対象デバイスでセキュリティ違反を示した可能性があるファイル変更を検知できます。監視中断期間のファイル変更を追跡するよう設定することもできます。

監視の中断は、監視範囲が一時的にタスク範囲を外れる、たとえばタスクが停止された場合や、外部デバイスが保護対象デバイスに物理的に存在しない場合に発生します。外部デバイスが再接続されるとすぐに、Kaspersky Embedded Systems Security は監視範囲で検知したファイル操作を報告します。

ファイル変更監視の再インストールのためにタスクが指定した監視範囲で実行を停止した場合は、監視の中断は発生しません。この場合、ファイル変更監視タスクは実行されません。

環境に関する要件

ファイル変更監視タスクを開始するには、次の条件が満たされている必要があります：

• ReFS または NTFS ファイルシステムを、保護対象デバイスに使用する必要があります。
• Windows USN ジャーナルが有効である。このコンポーネントはこのジャーナルに対してクエリを行って、ファイル操作に関する情報を受け取ります。

  ボリュームに対してルールが作成され、ファイル変更監視タスクが開始された後で USN ジャーナルを有効化した場合、タスクを再起動する必要があります。そうでない場合、ルールは監視時に適用されません。

除外された監視範囲

監視範囲の除外を作成できます。除外は別々のルール各々に対して指定され、指定した監視範囲に対してのみ機能します。各ルールに対して個数の制限なく除外を指定できます。

指定したフォルダーまたはファイルが監視範囲内の場合でも、除外は監視範囲より優先度が高いため、タスクによって監視されません。ルールのいずれかの設定が、除外で指定したフォルダーより下位のレベルで監視範囲を指定している場合、タスクの実行時に監視範囲は考慮されません。

除外を指定するために、監視範囲を指定するために使用したのと同じマスクを使用できます。