Рекомендуемые настройки для режима ICAP
05 марта 2024
ID 225528
В этом разделе описаны рекомендуемые настройки Kaspersky Scan Engine в режиме ICAP.
Если вы используете Kaspersky Scan Engine GUI, укажите рекомендуемые настройки, как описано в таблице ниже.
Рекомендуемые настройки для режима ICAP в Kaspersky Scan Engine GUI
Настройки в Kaspersky Scan Engine GUI | Рекомендуемые настройки |
|---|---|
Service > Processes | Равно количеству ядер процессора. |
Service > Threads | В два раза больше значения |
Service > Sessions | См. описание |
Service > Partial mode | Вкл. |
Service > Delay | 10 |
Service > Chunk size | 4 |
Service > Prevent re-downloading | Вкл. |
Service > Maximum cache size | 5000 |
Service > Lifetime for blocked URLs | 1800 |
Service > Keep-alive | См. описание |
Scanning > Skip large objects | Вкл. 10343 КБ (10,1 МБ) Получайте обновленное значение от вашего технического менеджера по работе с клиентами не реже одного раза в год. |
Scanning > Types of files to scan | Установите флажки:
|
Scanning > Heuristic analysis level | Low |
Scanning > Object scan timeout | 10000 (10 секунд) |
Scanning > Maximum depth | 5 |
Scanning > Scan scope in Request mode | URL (сканирование только запрошенных URL-адресов). |
Scanning > Scan scope in Response mode | Files |
Scanning > Enable reputation checking | См. описание |
Если вы не используете Kaspersky Scan Engine GUI, укажите рекомендуемые параметры в файле конфигурации kavicapd.xml, как описано в таблице ниже.
Рекомендуемые настройки для режима ICAP в файле конфигурации
Параметр в kavicapd.xml | Рекомендуемые настройки |
|---|---|
ScannersCount | Равно количеству ядер процессора. |
ThreadsCount | В два раза больше значения |
MaxIcapSessionsCount | См. описание |
QueueLen |
|
RAMUsageLimit |
|
ScanMaxFileSize | 10343 КБ (10,1 МБ) Получайте обновленное значение от вашего технического менеджера по работе с клиентами не реже одного раза в год. |
ScanningMode | Укажите флаги:
|
ScanTimeout | 10000 (10 секунд) |
MaxArchivesScanningDepth | 5 |
ScanInReqMode |
|
ScanInRespMode |
|
TransferBeforeScanEnding |
|
Delay (Атрибут TransferBeforeScanEnding) | 10 |
ChunkSize (Атрибут TransferBeforeScanEnding) | 4 |
BlockedUrlCacheEnabled (Атрибут TransferBeforeScanEnding) | 1 |
BlockedUrlCacheKb (Атрибут TransferBeforeScanEnding) | 5000 |
BlockedUrlCacheTtlSec (Атрибут TransferBeforeScanEnding) | 1800 |
UseKSN | См. описание |
KeepAliveSettings | См. описание |
Этот параметр в Kaspersky Scan Engine GUI: Settings > Service > Processes.
Рекомендуемое количество сканирующих процессов равно количеству ядер процессора. Например, если Kaspersky Scan Engine работает на компьютере с 4-ядерным процессором, установите ScannersCount равным 4.
См. также подраздел "Пример работы Kaspersky Scan Engine в режиме ICAP в зависимости от настроек ScannersCount, ThreadsCount, QueueLen и MaxIcapSessionsCount".
Этот параметр в Kaspersky Scan Engine GUI: Settings > Service > Threads.
Рекомендуемое количество потоков сканирования зависит от количества процессов сканирования, указанного в ScannersCount: значение ThreadsCount в два раза больше значения ScannersCount. Например, если Kaspersky Scan Engine работает на компьютере с 4-ядерным процессором, а ScannersCount имеет значение 4, установите для ThreadsCount значение 8.
См. также подраздел "Пример работы Kaspersky Scan Engine в режиме ICAP в зависимости от настроек ScannersCount, ThreadsCount, QueueLen и MaxIcapSessionsCount".
Этот параметр в Kaspersky Scan Engine GUI: Settings > Service > Sessions.
При определении максимального числа одновременных подключений к Kaspersky Scan Engine учитывайте следующее:
- Максимальное количество потоков сканирования (
ThreadsCount). - Максимальную длину очереди задач сканирования (
QueueLen). - Специфику ICAP: как правило, kavicapd запускает два потока сканирования для одной задачи сканирования.
Чем больше количество активных соединений, тем быстрее заполняются все потоки сканирования и, как следствие, тем длиннее очередь для задач сканирования.
Рекомендуемое значение MaxIcapSessionsCount:
- Равно среднему количеству запросов ICAP-клиента в минуту.
- Больше, чем значение
ScannersCount. - Больше, чем значение
ThreadsCount. - Превышает количество активных процессов, используемых прокси-сервером.
- Превышает максимальное количество подключений от клиентов, обслуживаемых выбранным прокси-сервером.
См. также подраздел "Пример работы Kaspersky Scan Engine в режиме ICAP в зависимости от настроек ScannersCount, ThreadsCount, QueueLen и MaxIcapSessionsCount".
Длина очереди задач сканирования не должна быть меньше количества потоков проверки (ThreadsCount). В противном случае некоторые потоки сканирования никогда не будут использоваться.
Поскольку задачи сканирования ставятся в очередь из всех открытых сеансов, учитывайте значение MaxIcapSessionsCount. Очередь задач сканирования не должна быть меньше MaxIcapSessionsCount. В противном случае некоторые клиенты получат ошибку 503 - Service overloaded при попытке открыть сеанс.
Рекомендуемое значение QueueLen:
- Больше, чем значение
ThreadsCount. - Как минимум вдвое больше значения
MaxIcapSessionsCount.
См. также подраздел "Пример работы Kaspersky Scan Engine в режиме ICAP в зависимости от настроек ScannersCount, ThreadsCount, QueueLen и MaxIcapSessionsCount".
Если в Kaspersky Scan Engine поступает много больших объектов для сканирования или много одновременных запросов, программа часто может останавливать обработку запросов из-за чрезмерного потребления системной памяти. Когда обработка запроса прекращается, Kaspersky Scan Engine записывает в файл журнала одно из следующих сообщений: Can't accept request: Not enough memory! или Can't accept new request: Not enough memory! Клиенты получают сообщение об ошибке 503 - Service overloaded.
Рекомендуется ограничить максимальный объем системной памяти, чтобы предотвратить ее чрезмерное использование. При превышении этого лимита Kaspersky Scan Engine прекращает сканирование объектов.
Рекомендуемое значение RAMUsageLimit:
- Не превышает размер ОЗУ.
- В два раза больше максимального размера файла для сканирования больших файлов. Например, для сканирования файла размером 1 ГБ требуется около 2 ГБ ОЗУ.
- Не менее 600 МБ, что в два раза больше размера антивирусных баз и библиотек Kaspersky Scan Engine (всего 300 МБ). Такой размер необходим из-за того, что объем системной памяти удваивается при перезагрузке базы данных.
Этот параметр в Kaspersky Scan Engine GUI: Settings > Scanning > Skip large objects.
При указании максимального размера файла для сканирования Kaspersky Scan Engine учитывайте значение RAMUsageLimit: ScanMaxFileSize не должен быть больше RAMUsageLimit. Чтобы повысить производительность Kaspersky Scan Engine, установите ScanMaxFileSize равным 10343 КБ (10,1 МБ). Это рекомендуемое значение, поскольку его достаточно для обнаружения большинства вредоносных программ.
Если вы следовали приведенной выше рекомендации, мы также рекомендуем один раз в год проконсультироваться со своим персональным техническим менеджером, чтобы получить обновленное рекомендуемое значение, поскольку средний размер вредоносного ПО меняется из года в год.
Этот параметр в Kaspersky Scan Engine GUI: Settings > Scanning > Types of files to scan и Settings > Scanning > Heuristic analysis level.
Рекомендуемое значение для ScanningMode следующее:
KAV_O_M_PACKED | KAV_O_M_ARCHIVED | KAV_O_M_MAILPLAIN | KAV_O_M_MAILBASES | KAV_O_M_HEURISTIC_LEVEL_SHALLOW
Этот параметр в Kaspersky Scan Engine GUI: Settings > Scanning > Object scan timeout.
Рекомендуемое значение для ScanTimeout – 10000 (10 секунд).
Этот параметр в Kaspersky Scan Engine GUI: Settings > Scanning > Maximum depth.
Рекомендуется ограничить максимальную глубину распаковки вложенных архивов во время сканирования. Рекомендуемое значение MaxArchivesScanningDepth – 5.
Этот параметр в Kaspersky Scan Engine GUI: Settings > Scanning > Scan scope in Request mode.
Рекомендуемое значение для ScanInReqMode – URL. Если указано это значение, Kaspersky Scan Engine сканирует только запрошенные URL-адреса.
Этот параметр в Kaspersky Scan Engine GUI: Settings > Scanning > Scan scope in Response mode.
Рекомендуемое значение для ScanInRespMode – Content. Если указано это значение, Kaspersky Scan Engine сканирует только тело HTTP-сообщения.
Этот параметр в Kaspersky Scan Engine GUI: Settings > Service, блок настроек Partial mode.
Этот параметр не дает клиенту прервать соединение с прокси-сервером из-за тайм-аута. Это может произойти, когда клиент отправляет на сканирование большой объект и не может дождаться получения отсканированного объекта.
Рекомендуемое значение TransferBeforeScanEnding – 1 (включить). Также рекомендуется использовать атрибуты по умолчанию:
Delay:10ChunkSize:4Значение должно быть как минимум в несколько раз меньше
ScanMaxFileSize(см. выше).BlockedUrlCacheEnabled:1BlockedUrlCacheKb:5000BlockedUrlCacheTtlSec:1800
См. также подробное описание этих атрибутов.
Этот параметр в Kaspersky Scan Engine GUI: Settings > Scanning > Enable reputation checking.
Рекомендуем включить использование данных из KSN (Kaspersky Security Network). Это обеспечивает более быстрое реагирование на угрозы, улучшает производительность некоторых компонентов защиты и уменьшает вероятность ложных срабатываний.
Чтобы включить KSN, установите UseKSN на 1.
Если включен KSN, также рекомендуется включить защиту от фишинга одним из следующих способов:
- В элементе ScanningMode файла конфигурации kavicapd.xml добавьте флаг
KAV_O_M_PHISHING. - На странице Settings > Scanning в Kaspersky Scan Engine GUI активируйте переключатель Enable Phishing Protection.
Защита от фишинга полезна, когда Kaspersky Scan Engine проверяет URL-адреса.
Этот параметр в Kaspersky Scan Engine GUI Settings > Service > Keep-alive.
Мы рекомендуем включить Keep-Alive. Когда включен Keep-Alive, Kaspersky Scan Engine поддерживает постоянное соединение даже после обработки запроса и истечения времени ожидания сеанса. Это дает следующие преимущества:
- уменьшает сетевой трафик;
- уменьшает использование ресурсов сервера;
- уменьшает задержку при обработке запросов.
Keep-Alive особенно полезен для HTTPS-соединений, которые требуют больше процессорного времени и больше взаимодействий клиент-сервер.
Чтобы включить Keep-Alive, установите для элемента Enabled в KeepAliveSettings значение 1.
Чтобы определить значения для TimeoutMs и MaxRequests, оцените количество клиентов и количество запросов от клиентов.
Например, вы рассчитали, что максимальное количество клиентов равно 50, поэтому устанавливаете MaxICAPSessionsCount равным 50. Если TimeoutMs и MaxRequests не ограничены и все 50 клиентов отправляют запросы непрерывно, Kaspersky Scan Engine поддерживает соединения с этими 50 клиентами без ограничений. В результате невозможно установить новые соединения.
Другой пример. Вы рассчитали, что максимальное количество клиентов равно 50, поэтому устанавливаете MaxICAPSessionsCount равным 50. Вы также подсчитали, что максимальное количество запросов от одного клиента составляет 15, поэтому вы устанавливаете MaxRequests на 15. Если вы не установили ограничение для TimeoutMs и клиенты не отправляют 15 запросов, Kaspersky Scan Engine поддерживает соединения с этими 50 клиентами без ограничений, поэтому новые соединения не могут быть установлены.
Пример работы Kaspersky Scan Engine в режиме ICAP в зависимости от настроек ScannersCount, ThreadsCount, QueueLen и MaxIcapSessionsCount
Допустим, Kaspersky Scan Engine установлен на компьютере с четырьмя ядрами процессора и у этого компьютера 140 одновременных подключений, а Kaspersky Scan Engine настроен следующим образом:
- ScannersCount = 4
- ThreadsCount = 8
- QueueLen = 200
- MaxIcapSessionsCount = 100
В этом случае:
- Kaspersky Scan Engine пытается открыть соединения для всех 140 клиентов. Как правило, открыто 100 сеансов. Оставшиеся 40 клиентов, вероятно, получат ошибку
429: Too many requests. - Открытые сеансы сформируют очередь задач сканирования. В идеале очередь может содержать 200 задач.
Если значение
QueueLenограничивает длину очереди менее чем 200 задачами, остальные клиенты получат ошибку500 - Internal Server Error. - Kaspersky Scan Engine запускает четыре процесса сканирования.
- Четыре процесса сканирования создают восемь потоков для одновременной обработки восьми задач сканирования из очереди. Остальные 192 задачи проверки помещены в очередь.
Если клиент получает ошибку 500: Internal Server Error, это может значить, что достигнут предел длины очереди, указанный в QueueLen. В этом случае вы можете сделать одно из следующих действий:
- Уменьшите
MaxIcapSessionsCount.Перед уменьшением
MaxIcapSessionsCountоцените потребности вашего решения в масштабируемости. Если значениеMaxIcapSessionsCountуменьшено, все клиенты, число которых превышает значение, указанное вMaxIcapSessionsCount, не смогут создать сеанс и получат ошибку429: Too many requests. - Увеличьте
QueueLen.Перед увеличением
QueueLenоцените потребности вашего решения в масштабируемости. Если значениеQueueLenслишком велико, а пропускная способность мала, время обработки запроса может увеличиться настолько, что клиент отключится до того, как Kaspersky Scan Engine завершит обработку запроса.
Если клиент получает ошибку 503: Service overloaded, это может значить, что во время обработки запроса был достигнут предел потребления системной памяти (журнал содержит запись Not enough memory). В этом случае увеличьте значение RAMUsageLimit.
