Analyse der Ausführung der Aufgabe zum Schutz vor bedrohlichen Dateien

So analysieren Sie die Ausführung der Aufgabe zum Schutz vor bedrohlichen Dateien:

1. Beenden Sie alle Untersuchungs- und Überwachungsaufgaben.
2. Stellen Sie sicher, dass die Aufgaben zur Untersuchung auf Befehl nicht während dieser Überprüfung und nicht nach Zeitplan gestartet werden. Sie können dies über Kaspersky Security Center oder lokal tun, indem Sie die folgenden Schritte ausführen:
   1. Rufen Sie eine Liste mit allen Aufgaben der App ab, indem Sie den folgenden Befehl ausführen:

      kesl-control --get-task-list

   2. Führen Sie den folgenden Befehl aus, um die Zeitplaneinstellungen für die Aufgabe zur Schadsoftware-Untersuchung abzurufen:

      kesl-control --get-schedule <Aufgaben-ID>

      Wenn der Befehl RuleType=Manual ausgibt, wird die Aufgabe nur manuell ausgeführt.

   3. Rufen Sie die Zeitplaneinstellungen für alle Aufgaben zur Schadsoftware-Untersuchung und zu benutzerdefinierten Untersuchung (falls vorhanden) ab und legen Sie mit dem folgenden Befehl deren manuellen Start fest:

      kesl-control --set-schedule <Aufgaben-ID> RuleType=Manual

3. Aktivieren Sie die Erstellung von Ablaufverfolgungsdateien mit hohem Detaillierungsgrad für die App, indem Sie den folgenden Befehl ausführen:

   kesl-control --set-app-settings TraceLevel=Detailed

4. Starten Sie mit dem folgenden Befehl die Aufgabe zum Schutz vor bedrohlichen Dateien, falls diese nicht bereits läuft:

   kesl-control --start-task 1

5. Sorgen Sie für eine Systemauslastung im gleichen Modus, der die Leistungsprobleme verursacht hat. Es genügen einige Stunden.

   Im Rahmen seiner Auslastung speichert die App viele Informationen in den Protokolldateien. Dabei werden standardmäßig 5 Dateien mit je 500 MB angelegt und die ältesten Informationen überschrieben. Sollten die Probleme mit der Leistung und dem Ressourcenverbrauch dieses Mal nicht auftreten, sind höchstwahrscheinlich die Aufgaben zur Untersuchung auf Befehl für solche Probleme verantwortlich. In diesem Fall können Sie mit der Analyse der Untersuchungsaufgaben vom Typ ContainerScan und ODS fortfahren.

6. Deaktivieren Sie die Erstellung von Ablaufverfolgungsdateien der App, indem Sie den folgenden Befehl ausführen:

   kesl-control --set-app-settings TraceLevel=None

7. Ermitteln Sie, welche Objekte am häufigsten untersucht wurden, indem Sie den folgenden Befehl ausführen:

   fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | sort | uniq -c | sort -k1 -n -r|less

   Das Ergebnis wird in der App zum Betrachten von Textdateien "less" angezeigt, wobei die Objekte, die am häufigsten untersucht wurden, ganz am Anfang stehen.

8. Stellen Sie fest, ob die am häufigsten untersuchten Objekte gefährlich sind. Bei Problemen wenden Sie sich an den technischen Support.

   Als ungefährlich können Sie zum Beispiel Verzeichnisse und Protokolldateien kennzeichnen, sofern ein vertrauenswürdiger Prozess in diese schreibt, oder Datenbankdateien.

9. Notieren Sie sich die Pfade zu den Objekten, die Ihrer Meinung nach ungefährlich sind – Sie werden sie später benötigen, um Ausschlüsse von der Untersuchung zu konfigurieren.
10. Wenn mehrere Dienste im System häufig in Dateien schreiben, werden solche Dateien wiederholt in einer verzögerten Warteschlange untersucht. Ermitteln Sie, welche Pfade am häufigsten in einer verzögerten Warteschlange untersucht wurden, indem Sie den folgenden Befehl ausführen:

    fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r

    Die Dateien, die am häufigsten untersucht wurden, werden am Anfang der Liste angezeigt.

11. Wenn der Zähler für eine einzelne Datei in wenigen Stunden einen Wert von mehreren Tausend Untersuchungen überschreitet, müssen Sie feststellen, ob Sie dieser Datei vertrauen können, um sie von der Untersuchung ausschließen zu können.

    Diese Entscheidung unterliegt der gleichen Logik wie die vorangehende (s. Punkt 8): Protokolldateien können als ungefährlich eingestuft werden, da sie nicht ausgeführt werden können.

12. Selbst wenn einige Dateien von der Untersuchung des Echtzeitschutzes ausgenommen sind, können sie dennoch von der App abgefangen werden. Sollte mit dem Ausschließen bestimmter Dateien aus dem Echtzeitschutz keine spürbare Leistungssteigerung einhergehen, können Sie den Mountpunkt, in dem sich diese Dateien befinden, komplett vom Abfangen ausschließen. Gehen Sie dazu folgendermaßen vor:
    1. Rufen Sie die Liste mit vom App abgefangen Dateien ab, indem Sie den folgenden Befehl ausführen:

       grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $7}' | sort | uniq -c | sort -k1 -n -r

    2. Verwenden Sie die abgerufene Liste zum Identifizieren der Pfade, in denen eine große Anzahl abgefangener Dateioperationen registriert wurde, und schließen Sie diese vom Abfangen aus.