Настройка исключений из перехвата файловых операций

Файлы, исключенные из проверки, все равно могут перехватываться приложением во время работы Защиты от файловых угроз и задач проверки. Приложение перехватывает события файловых операций и блокирует действия до окончания обработки событий. После проверки приложение может:

• снять блокировку и разрешить операцию;
• заблокировать операцию и выполнить действия, заданные в параметрах защиты или проверки.

Перехват событий требует времени на обработку, это влияет на производительность других приложений и операционной системы.

Вы можете получать статистику по файлам, перехваченным приложением, с помощью команды:

kesl-control --get-statistic --files

Команда позволяет вывести статистические данные о файловых операциях, перехваченных за последние 24 часа.

Если требуется, вы можете выполнить более точный анализ с помощью файлов трассировки приложения. По умолчанию файлы трассировки не создаются. Вы можете включить создание файлов трассировки с помощью команды:

kesl-control --set-app-settings TraceLevel=Detailed

Включение трассировки может оказать негативное влияние на общую производительность системы. Рекомендуется выключить создание файлов трассировки, когда необходимость записи трассировок пропадет.

Вы можете выключить создание файлов трассировки с помощью команды:

kesl-control --set-app-settings TraceLevel=None

Анализируя файлы трассировки, вы можете получить список файлов, перехваченных приложением, и определить пути, по которым происходит большое количество перехватов файловых операций. Вы можете получить список перехваченных файлов, выполнив следующую команду:

grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $9}' | tr -d '}'|awk -F':' '{print $2}'|sort | uniq -c | sort -k1 -n -r

Если вам нужно агрегировать статистику по перехвату файловых операций в директориях для определенной глубины вложенности директорий, начиная от корневой директории /, то вы можете добавить в команду cut -d/ -f 1-X, где X – заданная глубина вложенности, например:

grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $9}' | tr -d '}'|awk -F':' '{print $2}'| cut -d/ -f 1-3|sort | uniq -c | sort -k1 -n -r|less

Чтобы исключить файлы определенной директории не только из проверки, но и из перехвата, нужно исключить точку монтирования целиком. Исключение точек монтирования (глобальное исключение) позволяет исключать из перехвата файловых операций локальные или удаленные директории, смонтированные на устройстве.

Для путей, которые не являются точками монтирования, глобальные исключения не действуют.

Специалисты "Лаборатории Касперского" рекомендуют использовать глобальные исключения, если:

• соединение со смонтированным удаленным ресурсом, например NFS или SMB, работает медленно;
• критичны даже минимальные задержки в работе системы.

Для защиты общих сетевых ресурсов используйте приложение Kaspersky Endpoint Security на том устройстве, где ресурсы хранятся физически.

Вы можете настраивать глобальные исключения в политике с помощью Web Console или Консоли администрирования или локально на устройстве с помощью командной строки.

Ниже показан пример настройки исключения из перехвата файловых операций с помощью командной строки.

Чтобы исключить из перехвата все файлы в директории /tmp:

1. Если директория не является точкой монтирования, нужно создать из нее точку монтирования. Например, чтобы создать точку монтирования из директории /tmp, выполните следующую команду:

   mount --bind /tmp/ /tmp

2. Чтобы точка монтирования сохранилась после перезагрузки сервера, добавьте в файл /etc/fstab следующую строку:

   /tmp /tmp none defaults,bind 0 0

3. Добавьте директорию /tmp в глобальные исключения, выполнив следующую команду:

   kesl-control --set-app-settings ExcludedMountPoint.item_0000=/tmp

4. Если требуется добавить несколько директорий, увеличивайте счетчик item_0000 на единицу (item_0001, item_0002 и так далее).

В начало