Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Security 11 для Linux

Приложения

Приложение 1. Оптимизация потребления ресурсов

Определение задачи, которая занимает ресурсы

Анализ работы задачи Защита от файловых угроз
Kaspersky Endpoint Security 11 для Linux
Нет результатов
Нет результатов
База знаний Онлайн-справка
FAQ Скачать Купить Продлить Форум Запрос в поддержку Утилиты для лечения

Анализ работы задачи Защита от файловых угроз

12 декабря 2023

ID 248489

Чтобы проанализировать работу задачи Защита от файловых угроз:

  1. Остановите все задачи проверки и мониторинга.
  2. Убедитесь, что задачи проверки по требованию не будут запущены во время проверки или не имеют расписания. Вы можете сделать это через Kaspersky Security Center или локально, выполнив следующие действия:
    1. Получите список всех задач приложения, выполнив следующую команду:

      kesl-control --get-task-list

    2. Получите параметры расписания задачи поиска вредоносного ПО, выполнив следующую команду:

      kesl-control --get-schedule <ID задачи>

      Если команда выводит RuleType=Manual, то задача запускается только вручную.

    3. Получите параметры расписания всех ваших задач поиска вредоносного ПО и выборочной проверки, если такие были созданы, и укажите им запуск вручную, выполнив следующую команду:

      kesl-control --set-schedule <ID задачи> RuleType=Manual

  3. Включите создание файлов трассировки приложения с высоким уровнем детализации, выполнив следующую команду:

    kesl-control --set-app-settings TraceLevel=Detailed

  4. Запустите задачу Защита от файловых угроз, если она не была запущена, выполнив следующую команду:

    kesl-control --start-task 1

  5. Создайте нагрузку на систему в том же режиме, который вызвал проблемы с производительностью, достаточно нескольких часов.

    Под нагрузкой приложение записывает много информации в файлы трассировки, при этом по умолчанию хранится 5 файлов по 500 МБ, поэтому старая информация будет перезаписываться. Если проблемы с производительностью и потреблением ресурсов перестали проявляться, значит, скорее всего, проблемы вызывают задачи проверки по требованию и можно перейти к анализу работы задач проверки c типами ContainerScan и ODS.

  6. Выключите создание файлов трассировки приложения, выполнив следующую команду:

    kesl-control --set-app-settings TraceLevel=None

  7. Определите список объектов, которые были проверены наибольшее количество раз, выполнив следующую команду:

    fgrep 'AVP ENTER' /var/log/kaspersky/kesl/kesl.* | awk '{print $8}' | sort | uniq -c | sort -k1 -n -r|less

    Результат загружается в приложение просмотра текста less, где в самом начале отображаются те объекты, которые были проверены наибольшее количество раз.

  8. Определите, являются ли опасными объекты, которые были проверены наибольшее количество раз. В случае затруднения обратитесь в Службу технической поддержки.

    Например, неопасными можно признать директории и файлы журналов, если запись в них ведет доверенный процесс, файлы баз данных.

  9. Запишите пути к неопасным, по вашему мнению, объектам, они потребуются в дальнейшем для настройки исключений из проверки.
  10. Если в системе осуществляется частая запись файлов различными сервисами, такие файлы будут повторно проверяться в отложенной очереди. Определите список путей, которые были проверены в отложенной очереди наибольшее количество раз, выполнив следующую команду:

    fgrep 'SYSCALL' /var/log/kaspersky/kesl/kesl.* | fgrep 'KLIF_ACTION_CLOSE_MODIFY' | awk '{print $9}' | sort | uniq -c | sort -k1 -n -r

    Файлы, проверенные наибольшее количество раз, будут отображаться в начале списка.

  11. Если счетчик по одному файлу превышает несколько тысяч за несколько часов, определите, можно ли доверять этому файлу, чтобы исключить его из проверки.

    Логика определения такая же, как и для предыдущего исследования (см. п. 8): файлы журналов можно признать неопасными, так как они не могут быть запущены.

  12. Даже если некоторые файлы исключены из проверки постоянной защитой, они все равно могут перехватываться приложением. Если исключение определенных файлов из постоянной защиты не приносит существенного прироста производительности, вы можете полностью исключить из перехвата приложением точку монтирования, где расположены эти файлы. Для этого выполните следующие действия:
    1. Получите список файлов, перехваченных приложением, выполнив следующую команду:

      grep 'FACACHE.*needs' /var/log/kaspersky/kesl/kesl.* | awk '{print $7}' | sort | uniq -c | sort -k1 -n -r

    2. С помощью полученного списка определите пути, по которым происходит большое количество перехватов файловых операций, и настройте исключения из перехвата.

Kaspersky Endpoint Security для Linux — надежная защита без ущерба для производительности
Обнаруживает и блокирует даже продвинутые угрозы. Купите в составе Endpoint Security для бизнеса Расширенный.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!