容器扫描任务设置

该表描述了所有容器和映像扫描设置的全部可用值以及默认值。

容器扫描任务设置

设置

描述

ScanContainers

扫描按掩码指定的容器。您可以使用 ContainerNameMask 设置指定掩码。

Yes(默认值)— 扫描由掩码定义的容器。

No — 不扫描由掩码定义的容器。

ContainerNameMask

指定定义要扫描的容器的名称或名称掩码。

掩码以命令 Shell 格式指定。您可以使用 ? 和 * 字符。

在指定此设置之前,请确保 ScanContainers=Yes

默认值:*(扫描所有容器)。

例如:

扫描具有 my_container 名称的容器:

ContainerNameMask=my_container

扫描名称以 my_container 开头的所有容器:

ContainerNameMask=my_container*

扫描所有符合这些条件的容器:名称以 my_ 开头,后接任意五个字符、再接 _container,最后以任意字符序列结尾:

ContainerNameMask=my_?????_container*

 

ScanImages

扫描按掩码指定的映像。您可以使用 ImageNameMask 设置指定掩码。

Yes(默认值)— 扫描由掩码定义的映像。

No — 不扫描由掩码定义的映像。

ImageNameMask

指定定义要扫描的映像的名称或名称掩码。

在指定此设置之前,请确保 ScanImages 设置值已设为 Yes

掩码以命令 Shell 格式指定。

如果要指定多个掩码,则必须在具有指定新索引的新行上指定每个掩码。

默认值:*(扫描所有映像)。

例如:

扫描带有“my_image”名称和“latest”标签的映像:

ImageNameMask=my_image:latest

扫描名称以 my_image_ 开头且带有任何标签的所有映像:

ImageNameMask=my_image*

 

DeepScan

检查所有映像层和正在运行的容器。

Yes – 扫描所有层。

No(默认值)– 不扫描任何层。

ContainerScanAction

检测到受感染对象时要对容器执行的操作。下面介绍了对容器内受感染对象的操作。

StopContainerIfFailed(默认值)– 如果无法清除或删除受感染对象,则应用程序会停止容器。

由于 CRI-O 环境的工作方式,CRI-O 环境中的容器中的受感染对象不会被清除或删除。我们建议选择“StopContainer”操作。

StopContainer — 检测到受感染的对象时,应用程序会停止容器。

Skip – 检测到受感染的对象时,应用程序不会对容器执行任何操作。

ImageAction

指定检测到受感染对象时要对映像执行的操作。下面介绍了对映像内受感染对象的操作。

Skip(默认值)– 检测到受感染的对象时,应用程序不会对映像执行任何操作。

Delete — 当检测到受感染的对象时,应用程序会删除映像(不推荐)。

所有依赖项也将被删除。正在运行的容器将被停止,然后删除。

下面描述的设置适用于容器和映像内的对象。

容器扫描任务设置

设置

描述

ScanArchived

启用存档扫描(包括 SFX 自解压存档)。

应用程序会扫描以下压缩文件:.zip;.7z *;.7-z;.rar;.iso;.cab;.jar;.bz;.bz2;.tbz;.tbz2;.gz;.tgz;.arj。支持的压缩文件格式列表取决于所使用的应用程序数据库。

Yes(默认值)— 扫描压缩文件。如果指定了 FirstAction=Recommended 值,则根据存档类型,应用程序会删除受感染的对象,也可能删除包含威胁的整个存档。

No – 不扫描压缩文件。

ScanSfxArchived

仅允许扫描自解压存档(包含可执行文件提取模块的存档)。

Yes(默认值)– 扫描自解压存档。

No – 不扫描自解压存档。

ScanMailBases

启用对 Microsoft Outlook、Outlook Express、The Bat 和其他邮件客户端的电子邮件数据库的扫描。

Yes — 扫描电子邮件数据库的文件。

No(默认值)— 不扫描电子邮件数据库的文件。

ScanPlainMail

启用对纯文本电子邮件的扫描。

Yes — 扫描纯文本电子邮件。

No(默认值)— 不扫描纯文本电子邮件。

TimeLimit

最长对象扫描持续时间(以秒为单位)。如果扫描对象所花费的时间超过此设置指定的时间,应用程序将停止扫描对象。

0 – 9999

0 — 对象扫描时间不受限制。

默认值:0。

SizeLimit

指定要扫描的对象的最大大小(以 MB 为单位)。如果要扫描的对象大于指定值,应用程序将跳过此对象。

0 – 999999

0 — 应用程序扫描任意大小的对象。

默认值:0。

FirstAction

选择应用程序将对受感染对象执行的第一个操作。

Disinfect — 应用程序尝试清除对象,并将其副本保存到备份。如果清除失败(例如,如果无法清除对象类型或对象中的威胁类型),则应用程序将保持对象不变。如果第一项操作为 Disinfect,推荐使用 SecondAction 设置来指定第二项操作。

Remove — 应用程序在创建受感染对象的备份副本后将其删除。

Recommended(执行推荐的操作)— 应用程序根据对象中检测到的威胁的有关信息自动选择该对象并对其执行操作。例如,Kaspersky Endpoint Security 会立即删除木马,因为它们不会将自身整合到其他文件中,因此不需要进行清除。

Skip — 应用程序不会尝试清除或删除受感染的对象。受感染对象的信息会予以记录。

默认值:Recommended

SecondAction

选择应用程序将对受感染对象执行的第二个操作。如果第一项操作失败,则应用程序将执行第二项操作。

SecondAction 设置的可能值与 FirstAction 设置的可能值相同。

如果选择 SkipRemove 作为第一项操作,则无需指定第二项操作。在所有其他情况下,推荐指定两项操作。如果您没有指定第二项操作,则应用程序会将 Skip 用作第二项操作。

默认值:Skip

UseExcludeMasks

ExcludeMasks.item_# 设置指定的对象使用扫描排除项。

Yes — 从扫描中排除 ExcludeMasks.item_# 设置指定的对象。

No(默认值)— 不从扫描中排除 ExcludeMasks.item_# 设置指定的对象。

ExcludeMasks.item_#

按名称或掩码在扫描中排除对象。您可以使用此设置来按名称从指定的扫描范围中排除单个文件,或者使用 Shell 格式的掩码一次性排除多个文件。

默认值为未定义。

示例:

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

对包含 ExcludeThreats.item_# 设置指定的威胁的对象使用扫描排除项。

Yes — 从扫描中排除包含 ExcludeThreats.item_# 设置指定的威胁的对象。

No(默认值)— 不从扫描中排除包含 ExcludeThreats.item_# 设置指定的威胁的对象。

ExcludeThreats.item_#

按对象中检测到的威胁的名称从扫描中排除对象。在为此设置指定值之前,请确保已启用 UseExcludeThreats 设置。

要从扫描中排除对象,请指定在该对象中检测到的威胁的全名 – 包含应用程序确定已感染的对象的字符串。

例如,您可能正在使用实用程序来收集有关您的网络的信息。要防止应用程序对其进行阻止,请将其中包含的威胁的全名添加到排除在扫描范围之外的威胁列表中。

您可以在应用程序日志中或在网站 https://threats.kaspersky.com 上找到在对象中检测到的威胁的全名。

该设置值区分大小写。

默认值为未定义。

示例:

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

 

UseGlobalExclusions

针对扫描启用全局排除项

Yes(默认值)— 使用全局排除项。

No — 不使用全局排除项。

ReportCleanObjects

允许记录有关应用程序报告为未受感染的扫描对象的信息。

例如,您可以启用此设置,以确保应用程序已扫描了特定对象。

Yes — 记录有关未感染的对象的信息。

No(默认值)—不记录有关未感染的对象的信息。

ReportPackedObjects

启用记录作为复合对象一部分的已扫描对象的有关信息。

例如,您可以启用此设置,以确保应用程序已扫描压缩文件中的某个对象。

Yes — 记录有关存档中已扫描对象的信息。

No(默认值)— 不记录有关存档中已扫描对象的信息。

ReportUnprocessedObjects

启用记录由于某种原因尚未处理的对象的有关信息。

Yes — 记录有关未处理对象的信息。

No(默认值)—不记录有关未处理对象的信息。

UseAnalyzer

启用启发式分析。

启发式分析可帮助应用程序检测威胁,甚至在病毒分析人员尚未意识到威胁之前。

Yes(默认值)— 启用启发式分析器。

No — 禁用启发式分析器。

HeuristicLevel

指定启发式分析级别。

您可以指定启发式分析级别。启发式分析级别在威胁搜索的全面性、操作系统资源的负载以及扫描持续时间之间建立平衡。启发式分析级别越高,扫描所需的资源和时间就越多。

Light — 扫描最不全面,系统负载最小。

Medium — 中度启发式分析级别,操作系统负载均衡。

Deep — 最全面的扫描,操作系统负载最大。

Recommended(默认值)— 推荐值。

UseIChecker

启用 iChecker 技术。

Yes(默认值)— 启用 iChecker 技术。

No — 禁用 iChecker 技术。

页面顶部