キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

リアルタイムスキャンによるファイルアクセス状況を確認する方法を教えて下さい

【概要】

fsoasd (リアルタイム検査用プロセス) をデバッグモードに設定することで、 リアルタイムのウィルス検査・完全性検査を行う全てのアクセスを記録することが可能です。

クリーンなファイルのスキャンも含む全てのアクセスを記録しますので、大量のログが出力されますが、多くのファイルのリアルタイム検査によりシステムが遅くなっている場合等、問題があると思われるファイルの特定時、また状況把握を行う場合などに非常に有用な情報を得る事が出来ます。

【fsoasd のデバッグログ設定方法】

    解析を容易にするため、特に必要がなければ一度既存の fsoasd.log を削除します。
   

    # service fsma stop
    # rm /var/opt/f-secure/fsav/fsoasd.log
    # service fsma start

    以下のコマンドを実行し、fsoasd のログ出力レベルをデバッグモードに設定します。
     # /opt/f-secure/fsma/bin/chtest s 45.1.100.11  9


    調査する操作を行います。

    以下のコマンドを実行し、fsoasdのログ出力レベルを通常に戻します。
     # /opt/f-secure/fsma/bin/chtest s 45.1.100.11  6

ログは「/var/opt/f-secure/fsav/fsoasd.log」に出力されます。
ログ中の「BOTTOMHALF」を含む行でファイルアクセス状況をご確認いただけます。

1198657751 | DEBUG    | 0xb7f23bb0 |     fsoasd/tophalf.c:0240 | BOTTOMHALF req: event=0x4, flags(not set)=0x0, file=/bin/sleep, process=/bin/tcsh pid=28360


一番左の項目は time() 関数の値 (エポックタイム (1970年1月1日) からの通算秒数) になります。
BOTTOMHALF 以降の項目は以下のようになります。

[event]
- 0x1:           OPEN   (ファイルを開く)
- 0x2,0x10: CLOSE (ファイルを閉じる, (0x10は変更後閉じる場合))
- 0x4:           EXEC    (ファイルの実行)
- 0x80:         モジュール読み込み

[flags] open の flags 引数

[file] アクセスするファイル名

[process] ファイル操作を行ったプロセスの名前

[pid] ファイル操作を行ったプロセスのPID

【チューニング例】

・同一のディレクトリのファイルが多数アクセスされている場合は、該当ディレクトリを [スキャン対象外のディレクトリ]に設定することでパフォーマンスが改善される可能性が御座います。

 

・同一のプロセスが多数アクセスしている場合は、該当プロセスをリアルタイムスキャン設定で、[安全な実行可能ファイル]に登録することでパフォーマンスが改善される可能性がございます。
 

Pricing & Product Info

For product info and pricing please go to the F-Secure product page

バージョン履歴
改訂番号
11/11
最終更新:
‎18-07-2018 01:03 PM
更新者: