Support

Solutions pour les entreprises

Kaspersky Endpoint Security 11 for Linux

Appendices

Appendice 1. Optimisation de l'utilisation des ressources

Détermination de la tâche qui utilise les ressources

Analyse du fonctionnement de la tâche Protection contre les menaces sur les fichiers

Kaspersky Endpoint Security 11 for Linux
Нет результатов
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Acheter Renouveler Forum Contacter le support Outils de désinfection Tutoriels vidéos

Analyse du fonctionnement de la tâche Protection contre les menaces sur les fichiers

26 décembre 2023

ID 248489

Pour analyser le fonctionnement de la tâche Protection contre les menaces sur les fichiers :

  1. Arrêtez toutes les tâches d'analyse et de surveillance.
  2. Confirmez que des tâches d'analyse à la demande ne seront pas lancées pendant la vérification ou qu'aucune tâche n'est planifiée. Vous pouvez réaliser cette opération via Kaspersky Security Center ou localement en procédant comme suit :
    1. Pour obtenir la liste de toutes les applications en cours d'exécution, exécutez la commande suivante :

      kesl-control --get-task-list

    2. Pour obtenir les paramètres de planification d'une tâche de recherche d'application malveillante, exécutez la commande suivante :

      kesl-control --get-schedule <ID de ma tâche>

      Si la commande renvoie RuleType=Manual, la tâche est uniquement exécutée manuellement.

    3. Pour obtenir les paramètres de planification de toutes vos tâches de recherche d'application malveillante, le cas échéant, et indiquer leur lancement manuel, procédez comme suit :

      kesl-control --set-schedule <ID de ma tâche> RuleType=Manual

  3. Pour activer la création d'un fichier de trace de l'application au niveau de détail le plus élevé, exécutez la commande suivante :

    kesl-control --set-app-settings TraceLevel=Detailed

  4. Pour lancer la tâche Protection contre les menaces sur les fichiers, au besoin, exécutez la commande suivante :

    kesl-control --start-task 1

  5. Créez une charge sur le système dans le mode qui a provoqué les problèmes de performance. Quelques heures suffisent.

    Quand elle est soumise à une charge, l'application enregistrer beaucoup d'information dans les fichiers de travail. Par défaut, le système conserver 5 fichiers de 500 Mo chacun. Pour cette raison, les informations les plus anciennes sont supprimées. Si les problèmes de performance et d'utilisation des ressources ne se manifestent plus, cela signifie qu'ils sont probablement dû à la tâche d'analyse à la demande. Vous pouvez alors analyser le fonctionnement des tâches d'analyse de type ContainerScan et ODS.

  6. Pour désactiver la création de fichiers de trace de l'application, exécutez la commande suivante :

    kesl-control --set-app-settings TraceLevel=None

  7. Pour créer la liste des objets le plus souvent analysés, exécutez la commande suivante :

    fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | sort | uniq -c | sort -k1 -n -r|less

    Le résultat s'affiche dans le programme de visionnage de texte less. Les objets les plus souvent analysés apparaissent en début de fichier.

  8. Déterminez si les objets qui ont été analysé le plus souvent sont dangereux. En cas de difficultés, contactez le Support Technique.

    Par exemple, vous pouvez décider que des répertoires et des fichiers journaux ne présentent aucun danger s'ils contiennent un processus de confiance ou des fichiers de base de données.

  9. Prenez note du chemin d'accès aux objets qui d'après vous ne posent aucun danger. Vous en aurez besoin par la suite pour configurer les exclusions de l'analyse.
  10. Si divers services enregistrent souvent des fichiers, ces fichiers seront à nouveau analysés dans la fille d'attente. Pour créer la liste des chemins d'accès analysés le plus souvent dans la file d'attente, exécutez la commande suivante :

    fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r

    Les fichiers analysés le plus souvent apparaissent en début de liste.

  11. Si le compteur pour un fichier atteint une valeur de plusieurs milliers en quelques heures, décidez si vous pouvez faire confiance à ce fichier afin de l'exclure de l'analyse.

    La logique d'identification est identique à celle décrite pour l'analyse antérieure (cf. Point 8) : les fichiers journaux peuvent être considérés comme inoffensifs, car ils ne peuvent être exécutés.

  12. Même si certains fichiers sont exclus de la protection permanente, ils peuvent toujours être interceptés par l'application. Si l'exclusion de certains fichiers de la protection permanente n'apporte pas un gain de performance considérable, vous pouvez complètement exclure de l'interception le point de montage où se trouvent ces fichiers. Pour ce faire, procédez comme suit :
    1. Obtenez la liste des fichiers interceptés par l'application en exécutant la commande suivante :

      grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $7}' | sort | uniq -c | sort -k1 -n -r

    2. Utilisez la liste résultante pour identifier les chemins où un grand nombre d'interceptions d'opérations de fichiers se produisent, et configurez les exclusions de l'interception.

Kaspersky Endpoint Security for Linux : protection fiable, pour un impact minimal sur les performances
Protection multi-niveaux de nouvelle génération contre tout type de cybermenaces. Achetez avec Endpoint Security for Business Advanced.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.