Dateien, die von der Untersuchung ausgeschlossen sind, können von der Anwendung trotzdem im Rahmen des Schutzes vor bedrohlichen Dateien und der Untersuchungsaufgaben abgefangen werden. Die Anwendung fängt die Ereignisse der Dateivorgänge ab und blockiert die Vorgänge so lange, bis die Ereignisse verarbeitet werden. Nach einer Untersuchung kann die Anwendung:
Das Abfangen von Ereignissen nimmt Zeit in Anspruch, was sich auf die Leistung anderer Anwendungen oder des Betriebssystems auswirken kann.
Mit dem folgenden Befehl können Sie Statistiken zu den von der Anwendung abgefangenen Dateien abrufen:
kesl-control --get-statistic --files
Der Befehl gibt die Statistiken zu den abgefangenen Dateivorgängen der letzten 24 Stunden aus.
Bei Bedarf können Sie mithilfe der Anwendungs-Protokolle eine detailliertere Analyse durchführen. Standardmäßig werden keine Protokolldateien erstellt. Sie können die Erstellung von Protokolldateien mit dem folgenden Befehl aktivieren:
kesl-control --set-app-settings TraceLevel=Detailed
Das Aktivieren der Ablaufverfolgung kann sich negativ auf die Gesamtleistung des Systems auswirken. Es wird empfohlen, die Erstellung von Protokolldateien zu deaktivieren, wenn keine Notwendigkeit zur Aufzeichnung von Protokollen besteht.
Die Erstellung von Protokolldateien kann mit dem folgenden Befehl deaktiviert werden:
kesl-control --set-app-settings TraceLevel=None
Durch einer Analyse der Protokolldateien können Sie eine Liste der Dateien bestimmen, die von der Anwendung abgefangen werden, und die Pfade identifizieren, in denen eine große Anzahl von Dateivorgängen abgefangen werden. Die Liste mit den abgefangenen Dateien erhalten Sie durch das Ausführen des folgenden Befehls:
grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $9}' | tr -d '}'|awk -F':' '{print $2}'|sort | uniq -c | sort -k1 -n -r
Wenn Sie in Verzeichnen Statistiken über abgefangene Dateivorgänge in bestimmten Verzeichnisebenen (ausgehend vom Stammverzeichnis /) aggregieren möchten, können Sie den Befehl mit cut -d/ -f 1-X erweitern. Dabei steht das "X" für die Tiefe der Verzeichnisebenen, z. B.:
grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $9}' | tr -d '}'|awk -F':' '{print $2}'| cut -d/ -f 1-3|sort | uniq -c | sort -k1 -n -r|less
Um die Dateien eines bestimmten Verzeichnisses nicht nur von der Untersuchung, sondern auch vom Abfangen auszuschließen, müssen Sie den gesamten Mountpunkt ausschließen. Durch das Ausschließen von Mountpunkten (globale Ausnahme) können Sie lokale oder Remote-Verzeichnisse, die auf dem Gerät gemountet sind, vom Modul zum Abfangen von Dateioperationen ausschließen.
Für Pfade, die keine Mountpunkte darstellen, gelten keine globalen Ausnahmen.
Die Experten von Kaspersky empfehlen die Verwendung globaler Ausnahmen, wenn:
Um gemeinsam genutzte Netzwerkressourcen zu schützen, können Sie Kaspersky Endpoint Security direkt auf dem Gerät verwenden, welches die Ressourcen physisch speichert.
Sie können globale Ausnahmen innerhalb einer Richtlinie über die Web Console, die Verwaltungskonsole oder lokal auf dem Gerät anhand der Befehlszeile konfigurieren.
Nachfolgend ist ein Beispiel für die Konfiguration einer Ausnahme zum Abfangen von Dateivorgängen über die Befehlszeile aufgeführt.
So schließen Sie alle Dateien im Verzeichnis /tmp vom Abfangen aus:
mount --bind /tmp/ /tmp
/tmp /tmp none defaults,bind 0 0
kesl-control --set-app-settings ExcludedMountPoint.item_0000=/tmp