配置文件威胁防护任务

如果在分析了文件威胁防护任务的运行情况之后，您创建了可以从扫描范围中排除的目录和文件的列表，则需要将它们添加到排除项中。

扫描排除项

要递归排除 /tmp/logs 目录及其所有子目录和文件，请执行以下命令：

kesl-control --set-settings 1 --add-exclusion /tmp/logs

要在 /tmp/logs 目录中按掩码排除一个或多个特定文件，请执行以下命令：

kesl-control --set-settings 1 --add-exclusion /tmp/logs/*.log

要使用递归掩码排除 /tmp/ 目录和子目录中具有 .log 扩展名的所有文件，请执行以下命令：

kesl-control --set-settings 1 --add-exclusion /tmp/**/*.log

拦截排除项

如果不仅要从扫描中排除某个目录中的文件，还要从拦截中排除这些文件，则可以排除整个挂载点。

要排除整个挂载点：

1. 如果目录不是挂载点，请通过该目录创建一个挂载点。例如，要从 /tmp 目录创建挂载点，请执行以下命令：

   mount --bind /tmp/ /tmp

2. 要在服务器重新启动后保留挂载点，请将以下行添加到 /etc/fstab 文件中：

   /tmp /tmp none defaults,bind 0 0

3. 通过执行以下命令将 /tmp 目录添加到全局例外中：

   kesl-control --set-app-settings ExcludedMountPoint.item_0000=/tmp

4. 如果要添加多个目录，请将 item_0000 计数器按 1 递增（例如 item_0001、item_0002 等）。

还建议排除挂载连接不稳定或缓慢的远程资源的挂载点。

更改扫描类型

默认情况下，文件威胁防护任务可以在文件打开或关闭时对其进行扫描。如果对文件威胁防护任务操作的分析显示正在写入的文件过多，则可以通过执行以下命令更改文件拦截器模式，使其仅在打开文件时才发挥作用：

kesl-control --set-set 1 ScanByAccessType=Open

在此操作模式下，在下次打开文件之前，不会扫描打开文件后对其所做的更改。

页面顶部