文件威胁防护任务操作分析
2023年4月20日
ID 248489
要分析文件威胁防护任务的运行情况:
- 停止所有扫描和监控任务。
- 确保按需扫描任务在扫描期间不会运行或无运行计划。您可以使用 Kaspersky Security Center 或在本地执行以下步骤完成此操作:
- 通过执行以下命令获取包含所有应用程序任务的列表:
kesl-control --get-task-list - 通过执行以下命令获取恶意软件扫描任务的计划设置:
kesl-control --get-schedule <任务 ID>如果命令输出为
RuleType=Manual,则任务只能手动启动。 - 获取所有恶意软件扫描任务的计划设置(如果有),然后通过执行以下命令将其设置为手动启动:
kesl-control --set-schedule <任务 ID> RuleType=Manual
- 通过执行以下命令获取包含所有应用程序任务的列表:
- 通过执行以下命令,启用生成具有概要详细信息的应用程序跟踪文件:
kesl-control --set-app-settings TraceLevel=Detailed - 如果尚未启动文件威胁防护任务,请执行以下命令启动该任务:
kesl-control --start-task 1 - 以导致性能问题的模式加载系统;几个小时的时间就够了。
加载时,应用程序会向跟踪文件写入大量信息;但是默认情况下只存储 5 个 500 MB 的文件,因此旧信息将被覆盖。如果性能和资源消耗问题不再出现,则先前的问题很可能是由按需扫描任务引起的,您可以继续分析 ContainerScan 和 ODS 扫描任务的运行情况。
- 通过执行以下命令禁用创建应用程序跟踪文件:
kesl-control --set-app-settings TraceLevel=None - 通过运行以下命令确定扫描次数最多的对象的列表:
fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | sort | uniq -c | sort -k1 -n -r|less结果将加载到 less 文本查看器实用程序中,扫描次数最多的对象将显示在最前。
- 确定扫描次数最多的对象是否危险。如有任何困难,请联系技术支持。
例如,如果受信任的进程写入目录和日志文件,则可以认为目录和日志文件是安全的,数据库文件也可以视为安全。
- 写下您认为安全的对象的路径;在配置扫描范围排除项时需要用到这些路径。
- 如果各种服务频繁向系统中的文件写入数据,则此类文件会在待处理队列中再次受到扫描。运行以下命令,确定待处理队列中扫描次数最多的路径列表:
fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r扫描次数最多的文件将显示在列表的最前面。
- 如果某个文件的计数器在几个小时内超过数千次,则应该确认是否可以信任此文件,以便将其从扫描中排除。
确定逻辑与之前的研究相同(请参阅步骤 8):日志文件可以视为安全对象,因为它们无法启动。
- 即使某些文件被实时保护任务排除在扫描范围之外,它们仍然可以被应用程序拦截。如果将某些文件排除在实时保护之外并没有显著提高性能,则可以将这些文件所在的挂载点完全排除在应用程序的拦截范围之外。为此,请执行以下操作:
- 运行以下命令以获取应用程序拦截的文件列表:
grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $7}' | sort | uniq -c | sort -k1 -n -r - 使用此列表,确定用于大多数文件操作拦截的路径并配置拦截例外。
- 运行以下命令以获取应用程序拦截的文件列表: