Определение наиболее часто проверяемых объектов

Вы можете получить список объектов, которые были проверены наибольшее количество раз, выполнив следующую команду:

fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | sort | uniq -c | sort -k1 -n -r|less

Результат загружается в приложение просмотра текста less, где в самом начале отображаются те объекты, которые были проверены наибольшее количество раз.

Если вам нужно агрегировать статистику по проверке объектов в директориях для определенной глубины вложенности директорий, начиная от корневой директории /, то вы можете добавить в команду cut -d/ -f 1-X, где X – заданная глубина вложенности, например:

fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | cut -d/ -f 1-4 | sort | uniq -c | sort -k1 -n -r|less

Если в системе осуществляется частая запись файлов различными сервисами, такие файлы будут повторно проверяться в отложенной очереди. Получите список путей, которые были проверены в отложенной очереди наибольшее количество раз, выполнив следующую команду:

fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $10}' | sort | uniq -c | sort -k1 -n -r

Файлы, проверенные наибольшее количество раз, будут отображаться в начале списка.

fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $10}' | tr -d ',' | cut -d/ -f 1-3 | sort | uniq -c | sort -k1 -n -r

Рекомендуется определить, являются ли опасными объекты и файлы, которые были проверены наибольшее количество раз. Неопасные объекты и файлы можно добавить в исключения для оптимизации работы Защиты от файловых угроз и задач проверки. Например, неопасными можно признать файлы баз данных, директории и файлы журналов, если запись в них ведет доверенный процесс. В случае затруднения обратитесь в Службу технической поддержки.

В начало