技术支持

企业产品

Kaspersky Endpoint Security 11 for Linux

自定义容器扫描任务(Custom_Container_Scan,ID:19)
Kaspersky Endpoint Security 11 for Linux
在线帮助
常见问题解答 系统要求 下载 购买 续订 论坛 联系支持 恢复工具 产品视频
Нет результатов
Нет результатов

自定义容器扫描任务(Custom_Container_Scan,ID:19)

2023年4月20日

ID 201799

自定义容器扫描任务用于存储通过执行 kesl-control --scan-container 命令应用的设置值。

要使用该任务,需要包含相应功能的授权许可

运行自定义容器扫描任务时,应用程序使用 Custom_Container_Scan 任务设置创建一个临时容器扫描任务ContainerScan 类型)。您可以使用命令行更改 Custom_Container_Scan 任务的设置值。扫描完成后,Custom_Container_Scan 任务将自动删除。无法手动删除自定义容器扫描任务。

要启动自定义容器扫描任务,请执行以下命令:

kesl-control --scan-container <容器 ID 或映像 ID|容器名称|映像名称[:标签]>

如果有多个具有相同名称的实体,应用程序将扫描所有实体。

您可以使用掩码来扫描多个对象。

当您执行 kesl-control --create-task <任务名称> --type ContainerScan 命令创建自定义容器扫描任务时,应用程序会使用与容器扫描任务 (Container_Scan) 相同的设置值,唯一不同的就是 ScanPriority=Normal 设置。

例如:

扫描名为 my_container 的容器:

kesl-control --scan-container my_container

扫描名为 my_image 的映像(所有标签):

kesl-control --scan-container my_image*

该表描述了所有容器和映像扫描设置的全部可用值以及默认值。

自定义容器扫描任务设置

设置

描述

ScanContainers

扫描按掩码指定的容器。您可以使用 ContainerNameMask 设置指定掩码。

Yes(默认值)— 扫描由掩码定义的容器。

No — 不扫描由掩码定义的容器。

ContainerNameMask

指定定义要扫描的容器的名称或名称掩码。

掩码以命令 Shell 格式指定。您可以使用 ? 和 * 符号。

在指定此设置之前,请确保 ScanContainers=Yes

默认值:*(扫描所有容器)。

例如:

扫描具有 my_container 名称的容器:

ContainerNameMask=my_container

扫描名称以 my_container 开头的所有容器:

ContainerNameMask=my_container*

扫描所有符合这些条件的容器:名称以 my_ 开头,后接任意五个字符、再接 _container,最后以任意字符序列结尾:

ContainerNameMask=my_?????_container*

 

ScanImages

扫描按掩码指定的映像。您可以使用 ImageNameMask 设置指定掩码。

Yes(默认值)— 扫描由掩码定义的映像。

No — 不扫描由掩码定义的映像。

ImageNameMask

指定定义要扫描的映像的名称或名称掩码。

在指定此设置之前,请确保 ScanImages 设置值已设为 Yes

掩码以命令 Shell 格式指定。

如果要指定多个掩码,则必须在具有指定新索引的新行上指定每个掩码。

默认值:*(扫描所有映像)。

例如:

扫描带有“my_image”名称和“latest”标签的映像:

ImageNameMask=my_image:latest

扫描名称以 my_image 开头且带有任何标签的所有映像:

ImageNameMask=my_image*

 

DeepScan

检查所有映像层和正在运行的容器。

Yes - 扫描所有层。

No(默认值)- 不扫描任何层。

ContainerScanAction

检测到受感染对象时要对容器执行的操作。下面介绍了对容器内受感染对象的操作。

StopContainerIfFailed(默认值)— 如果受感染对象清除失败,应用程序将停止容器。

StopContainer — 检测到受感染的对象时,应用程序会停止容器。

Skip - 检测到受感染的对象时,应用程序不会对容器执行任何操作。

ImageAction

指定检测到受感染对象时要对映像执行的操作。下面介绍了对映像内受感染对象的操作。

Skip(默认值)- 检测到受感染的对象时,应用程序不会对映像执行任何操作。

Delete — 当检测到受感染的对象时,应用程序会删除映像(不推荐)。

所有依赖项也将被删除。正在运行的容器将被停止,然后删除。

下面描述的设置适用于容器和映像内的对象。

自定义容器扫描任务设置

设置

描述

ScanArchived

启用存档扫描(包括 SFX 自解压存档)。

应用程序会扫描以下压缩文件:.zip;.7z *;.7-z;.rar;.iso;.cab;.jar;.bz;.bz2;.tbz;.tbz2;.gz;.tgz;.arj。支持的压缩文件格式列表取决于所使用的应用程序数据库。

Yes(默认值)— 扫描压缩文件。如果指定了 FirstAction=Recommended 值,则根据存档类型,应用程序会删除受感染的对象,也可能删除包含威胁的整个存档。

No - 不扫描压缩文件。

ScanSfxArchived

仅允许扫描自解压存档(包含可执行文件提取模块的存档)。

Yes(默认值)- 扫描自解压存档。

No - 不扫描自解压存档。

ScanMailBases

启用对 Microsoft Outlook、Outlook Express、The Bat 和其他邮件客户端的电子邮件数据库的扫描。

Yes — 扫描电子邮件数据库的文件。

No(默认值)— 不扫描电子邮件数据库的文件。

ScanPlainMail

启用对纯文本电子邮件的扫描。

Yes — 扫描纯文本电子邮件。

No(默认值)— 不扫描纯文本电子邮件。

ScanPriority

任务优先级。任务优先级是一个结合了许多应用程序内部设置和进程启动设置的设置。通过使用此设置,您可以指定应用程序为运行任务消耗系统资源的方式。

Idle — 以低优先级运行任务:耗用处理器资源不超过 10%。指定此值可释放应用程序资源以便用于其他任务,包括用户进程。当前扫描任务需要更长的时间才能完成。

Normal — 以普通优先级运行任务:耗用处理器资源不超过所有处理器资源的 50%。

High(默认值)— 在不限制处理器资源消耗的情况下以高优先级运行任务。指定此值可以更快地执行当前扫描任务。

TimeLimit

最长对象扫描持续时间(以秒为单位)。如果扫描对象所花费的时间超过此设置指定的时间,应用程序将停止扫描对象。

0 – 9999

0 — 对象扫描时间不受限制。

默认值:0。

SizeLimit

指定要扫描的对象的最大大小(以 MB 为单位)。如果要扫描的对象大于指定值,应用程序将跳过此对象。

0 – 999999

0 — 应用程序扫描任意大小的对象。

默认值:0。

FirstAction

选择应用程序将对受感染对象执行的第一个操作。

如果在包括在扫描范围内的符号链接所引用的文件中检测到受感染的对象(而该符号链接所引用的文件不包括在扫描范围内),则将对目标文件执行指定的操作。例如,如果您指定“删除”操作,则应用程序将删除目标文件,但符号链接文件将保留并指向不存在的文件。

Disinfect — 应用程序尝试对于对象进行清除,并将其副本保存到存储。如果清除失败(例如,如果无法清除对象类型或对象中的威胁类型),则应用程序将保持对象不变。如果第一项操作为 Disinfect,推荐使用 SecondAction 设置来指定第二项操作。

Remove — 应用程序在创建受感染对象的备份副本后将其删除。

Recommended(执行推荐的操作)— 应用程序根据对象中检测到的威胁的有关信息自动选择该对象并对其执行操作。例如,应用程序会立即删除木马,因为它们不会将自身整合到其他文件中,因此不需要进行清除。

Skip — 应用程序不会尝试清除或删除受感染的对象。受感染对象的信息会予以记录。

默认值:Recommended

SecondAction

选择应用程序将对受感染对象执行的第二个操作。如果第一项操作失败,则应用程序将执行第二项操作。

SecondAction 设置的可能值与 FirstAction 设置的可能值相同。

如果选择 SkipRemove 作为第一项操作,则无需指定第二项操作。在所有其他情况下,推荐指定两项操作。如果您没有指定第二项操作,则应用程序会将 Skip 用作第二项操作。

默认值:Skip

UseExcludeMasks

允许从扫描中排除 ExcludeMasks 设置指定的对象。

Yes — 从扫描中排除 ExcludeMasks 设置指定的对象。

No(默认值)— 不从扫描中排除 ExcludeMasks 设置指定的对象。

ExcludeMasks

按名称或掩码在扫描中排除对象。您可以使用此设置来按名称从指定的扫描范围中排除单个文件,或者使用 Shell 格式的掩码一次性排除多个文件。

默认值为未定义。

示例:

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

允许从扫描中排除包含 ExcludeThreats 设置指定的威胁的对象。

Yes — 从扫描中排除包含由 ExcludeThreats 指定的威胁的对象。

No(默认值)— 不从扫描中排除包含 ExcludeThreats 指定的威胁的对象。

ExcludeThreats

按对象中检测到的威胁的名称从扫描中排除对象。在为此设置指定值之前,请确保已启用 UseExcludeThreats 设置。

要从扫描中排除对象,请指定在该对象中检测到的威胁的全名 – 包含应用程序确定已感染的对象的字符串。

例如,您可能正在使用实用程序来收集有关您的网络的信息。要防止应用程序对其进行阻止,请将其中包含的威胁的全名添加到排除在扫描范围之外的威胁列表中。

您可以在应用程序日志中或在病毒百科全书网站上找到在对象中检测到的威胁的全名。

该设置值区分大小写。

默认值为未定义。

示例:

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

 

ReportCleanObjects

允许记录有关应用程序报告为未受感染的扫描对象的信息。

例如,您可以启用此设置,以确保应用程序已扫描了特定对象。

Yes — 记录有关未感染的对象的信息。

No(默认值)—不记录有关未感染的对象的信息。

ReportPackedObjects

启用记录作为复合对象一部分的已扫描对象的有关信息。

例如,您可以启用此设置,以确保应用程序已扫描压缩文件中的某个对象。

Yes — 记录有关存档中已扫描对象的信息。

No(默认值)— 不记录有关存档中已扫描对象的信息。

ReportUnprocessedObjects

启用记录由于某种原因尚未处理的对象的有关信息。

Yes — 记录有关未处理对象的信息。

No(默认值)—不记录有关未处理对象的信息。

UseAnalyzer

启用启发式分析。

启发式分析可帮助应用程序检测威胁,甚至在病毒分析人员尚未意识到威胁之前。

Yes(默认值)— 启用启发式分析器。

No — 禁用启发式分析器

HeuristicLevel

指定启发式分析级别。

您可以指定启发式分析级别。启发式分析级别在威胁搜索的全面性、操作系统资源的负载以及扫描持续时间之间建立平衡。启发式分析级别越高,扫描所需的资源和时间就越多。

Light — 扫描最不全面,系统负载最小。

Medium — 中度启发式分析级别,操作系统负载均衡。

Deep — 最全面的扫描,操作系统负载最大。

Recommended(默认值)— 推荐值。

UseIChecker

启用 iChecker 技术。

Yes(默认值)— 启用 iChecker 技术。

No — 禁用 iChecker 技术。

Kaspersky Endpoint Security for Linux: High protection without performance compromising
Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.