スキャンから除外されたファイルでも、ファイル脅威対策およびスキャンタスク中にアプリケーションによって読み取られる可能性があります。アプリケーションはファイル操作イベントを読み取り、イベントが処理されるまで処理をブロックします。スキャン後、本製品でできる操作は次の通りです:
イベントの読み取りには時間がかかり、他のアプリケーションや OS のパフォーマンスに影響します。
次のコマンドを使用して、ファイル読み取りの統計を取得できます。
kesl-control --get-statistic --files
このコマンドを使用すると、過去 24 時間のファイル操作読み取りの統計を表示できます。
必要に応じて、本製品のトレースファイルを使用してより詳細な分析を行うことができます。既定では、本製品はトレースファイルを生成しません。次のコマンドを使用してトレースを有効にできます:
kesl-control --set-app-settings TraceLevel=Detailed
トレースを有効にすると、システム全体のパフォーマンスに影響する可能性があります。トレースファイルが不要になった場合は、トレースを無効にすることを推奨します。
次のコマンドを使用してトレースを無効にすることができます:
kesl-control --set-app-settings TraceLevel=None
トレースファイルを分析することで、アプリケーションによって読み取られたファイルのリストを取得し、多数のファイル操作の読み取りに関連付けられたパスを特定できます。次のコマンドを実行すると、読み取られたファイルのリストを取得できます:
grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $9}' | tr -d '}'|awk -F':' '{print $2}'|sort | uniq -c | sort -k1 -n -r
ルートディレクトリ / から特定の深さまでのサブディレクトリ内のファイル操作の読み取り統計を集計する必要がある場合は、コマンドに cut -d/ -f 1-X を追加します。ここで、X はネストの深さです。次に例を示します:
grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $9}' | tr -d '}'|awk -F':' '{print $2}'| cut -d/ -f 1-3|sort | uniq -c | sort -k1 -n -r|less
特定のディレクトリ内のファイルをスキャンだけでなく読み取りからも除外する場合は、マウントポイント全体を除外する必要があります。マウントポイントを除外(グローバル除外)すると、デバイスにマウントされたローカルディレクトリまたはリモートディレクトリをファイル操作の読み取りから除外できます。
グローバル除外はマウントポイントではないパスには影響しません。
カスペルスキーのエキスパートは、次のような場合にグローバル除外を使用することを推奨しています:
共有ネットワークリソースを保護するには、リソースが物理的に保存されているデバイスで Kaspersky Endpoint Security 製品を使用します。
グローバル除外は、Web コンソールまたは管理コンソールを使用してポリシー内で設定することも、コマンドラインを使用してデバイス上でローカルに設定することもできます。
コマンドラインを使用したファイル操作の読み取りの除外リストの設定例は次の通りです。
/tmp ディレクトリ内のすべてのファイルを読み取りから除外する場合:
mount --bind /tmp/ /tmp
/tmp /tmp none defaults,bind 0 0
kesl-control --set-app-settings ExcludedMountPoint.item_0000=/tmp