ファイル変更監視からのメッセージの受信設定
2023年4月17日
ID 150772
Kaspersky Security for Windows Server や Kaspersky Security for Virtualization Light Agent などの管理対象製品は、ファイル変更監視コンポーネントからのメッセージを Kaspersky Security Center に転送します。また、Kaspersky Security Center を使用すると、システムの基幹コンポーネント(Web サーバーや ATM など)への変更を監視し、そのようなシステムの整合性違反に迅速に対応できます。監視と迅速な対応のために、ファイル変更監視からメッセージを受信できます。ファイル変更監視コンポーネントとの連携により、デバイスのファイルシステムだけでなく、そのレジストリエントリ、ファイアウォールのステータス、接続されたハードウェアのステータスも監視できます。
Kaspersky Security for Windows Server または Kaspersky Security for Virtualization Light Agent を使用せずにファイル変更監視からのメッセージを受信するには、Kaspersky Security Center を設定する必要があります。
ファイル変更監視からのメッセージの受信を設定するには:
- 管理サーバーがインストールされたデバイスのシステムレジストリを開きます(たとえば、ローカルで[スタート]→[ファイル名を指定して実行]で regedit コマンドを使用します)。
- 次のレジストリエントリに移動します:
- 32 ビットシステム:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags
- 64 ビットシステム:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags
- 32 ビットシステム:
- キーを作成します:
- KLSRV_EVP_FIM_PERIOD_SEC キーを作成して、処理されたイベント数を数える期間を指定します。次の設定を指定します:
- キーの名前に KLSRV_EVP_FIM_PERIOD_SEC を指定します。
- キーの種別に DWORD を指定します。
- 43,200 ~ 172,800 秒の間で間隔の値を指定します。既定では、間隔は 86,400 秒です。
- KLSRV_EVP_FIM_LIMIT キーを作成して、指定の期間中に受信するイベント数を制限します。次の設定を指定します:
- キーの名前に KLSRV_EVP_FIM_LIMIT を指定します。
- キーの種別に DWORD を指定します。
- 2,000 ~ 50,000 の間で受信イベントの範囲を指定します。既定のイベント数は 20,000 です。
- KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC キーを作成して、一定の期間の間、イベントを正確に数えます。次の設定を指定します:
- キーの名前に KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC を指定します。
- キーの種別に DWORD を指定します。
- 120 ~ 600 秒の間で範囲を指定します。既定の期間は 300 秒です。
- 一定期間が経過した後、期間中に処理されたイベント数が指定の制限より少ないかどうかをアプリケーションが確認できるように、KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC キーを作成します。この確認は、受信イベント数が制限に達すると実行されます。この条件が満たされると、データベースへのイベントの保存が再開されます。次の設定を指定します:
- キーの名前に KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC を指定します。
- キーの種別に DWORD を指定します。
- 600 ~ 3,600 秒の間で範囲を指定します。既定の期間は 1,800 秒です。
キーを作成しない場合、既定値が使用されます。
- KLSRV_EVP_FIM_PERIOD_SEC キーを作成して、処理されたイベント数を数える期間を指定します。次の設定を指定します:
- 管理サーバーサービスを再起動します。
ファイル変更監視からの受信イベント数の制限が設定されます。ファイル変更監視の結果に関する情報は、「デバイスで適用された回数が多い 10 個のファイル変更監視 / ファイル変更監視ルール」および「ファイル変更監視 / システム整合性監視ルールの適用回数が多い 10 台のデバイス」というレポートで確認できます。