オンデマンドファイル変更監視(ODFIM)

ODFIM タスクの実行中、各オブジェクトの変更は、ファイルハッシュ、ファイル変更時間、ファイルサイズの基準に基づいて、監視対象オブジェクトの現在の状態と、ベースラインとして以前に確立された元の状態とを比較することによって決定されます。

ベースラインはデバイスで ODFIM タスクを初めて実行する時に作成されます。複数の ODFIM タスクを作成できます。ODFIM タスクごとに、個別のベースラインが作成されます。タスクはベースラインが監視範囲に対応する場合にのみ実行されます。ベースラインが監視範囲に一致しない場合、Kaspersky Endpoint Security はシステム変更違反のイベントを作成します。ベースラインには、監視対象オブジェクトとそのメタデータへのパスが含まれます。ベースラインには個人データが含まれる場合もあります。

ODFIM タスクの完了後にベースラインが再構築されます。RebuildBaseline 設定を使用して、タスクのベースラインを再構築できます。また、タスクの設定が変更された時(新しい監視範囲が追加された時など)に、ベースラインを再構築します。次のタスクの実行中にベースラインが再構築されます。ベースラインを削除するには、対応する ODFIM タスクを削除します。

ODFIM タスクは、システム変更監視コンポーネントがインストールされたデバイス上にベースラインの保管領域を作成します。既定では、ベースラインの保管領域は /var/opt/kaspersky/kesl/private/fim.db にあります。ベースラインを含むデータベースにアクセスするには、root 権限が必要です。

ページのトップに戻る