Endpoint Protection for Linux のパフォーマンスに関するスキャンの問題
search cancel

Endpoint Protection for Linux のパフォーマンスに関するスキャンの問題

book

Article ID: 219534

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection (SEP) for Linux でスキャンを実行すると、コンピュータのパフォーマンスが低下します。rtvscand プロセス (SEP 14.3 RU1 以上の場合 sisamddaemon) が平均以上のリソースを消費することがある。

Cause

SEP for Linux のデフォルト設定は、最高レベルのセキュリティのためのスキャンであり、最高のパフォーマンスのためのスキャンではありません。また、圧縮されたファイル、特に大きなアーカイブ形式をスキャンする際に、Auto-Protect 機能が追加のリソースを消費することがあります(最大で 3 つのアーカイブレベルしかスキャンできません)。

Resolution

スキャンのパフォーマンスを向上させるためには:

  • 圧縮ファイルのスキャンを無効にしたり、大きなアーカイブファイル形式を含むディレクトリを除外します。
  • リモートの共有ネットワークファイルシステムのスキャンを無効もしくは除外します。これらはリモートマシンではなくホストマシンがスキャンすべきです。


圧縮ファイルとリモートファイルシステム

注:会社のセキュリティポリシーで圧縮ファイルのスキャンが必要な場合は、手動でスキャンを実行するか、ピーク時以外の時間帯にスケジュールスキャンを設定してください。

Symantec Endpoint Protection Manager (以下 SEPM) で圧縮ファイルやリモートファイルの SEP for Linux Auto-Protect のスキャンを無効にします。

1. SEPM で [ポリシー] -  [ウイルスとスパイウェアの対策]をクリックします。
2. ウイルスとスパイウェアの対策ポリシーを選択し、[Linux の設定] - [保護技術] の [Auto-Protect] を選択します。
3. [スキャンの詳細]タブで [スキャンと監視の拡張設定] をクリックし、[圧縮ファイル内部のファイルをスキャンする] のチェックを外します(チェックされている場合)。
注: SEP for Linux バージョン 14.3 RU1 以降の場合は ポリシーで無効になっているにもかかわらず Linux エージェントが圧縮ファイルをスキャンする を参照してください。SEPM の最新バージョンにはこのチェックボックスがありませんが、圧縮ファイルのスキャンはクライアントでローカルに設定することができます。
4. [リモートコンピュータ上でファイルをスキャンする] のチェックを外します。
5. [OK] をクリックしてポリシーを保存し、クライアントグループに割り当てます。

注: 会社のセキュリティポリシーで圧縮ファイルのスキャンが必要な場合、手動でスキャンを実行するか、オフピーク時に定時スキャンを設定してください。

Endpoint Protection for Linux で圧縮ファイルのスキャンを設定する方法 も参照してください。

除外項目

以下のディレクトリを除外すると、スキャンのパフォーマンスが向上します。

    • /proc
    • /sys
    • /dev

SEP for Linux がこれらのディレクトリをスキャンしようとすると、"Scan could not open file" というメッセージが大量にシステムログに記録され、パフォーマンスが低下します。最悪の場合、SEP がクラッシュする可能性があります (Endpoint for Linux がシステムディレクトリのスキャン中にクラッシュする場合がある を参照)。

メールストアやデータベースなど、その他の大規模なアーカイブ形式を除外することもできます。例えば、データベースファイルが読み込まれるたびにスキャンが発生することがあります (読み込みは 1 秒間に数百回発生することがあります)。これは大きなオーバーヘッドとなり、アプリケーションとシステムの両方のパフォーマンスに影響を与えます。

また、リモート (共有) ファイルシステムがマウントされているフォルダも除外します。ネットワーク共有は、クライアントがアクセスするのではなく、ホストがスキャンする必要があります。

注: SEP for Linux 14.3 RU1 MP1 クライアント以降、Auto-Protectドライバはデフォルトで /proc, /dev, /sys などの擬似ファイルシステムを除外します。したがって SEP for Linux クライアントが 14.3 RU1 MP1 以上のバージョンであれば、以下のディレクトリを除外設定する必要はありません。

    • /proc
    • /sys
    • /dev

例外ポリシーの設定
コマンドラインインターフェイスから Endpoint Protection for Linux のスキャン例外を設定する方法

Additional Information

[英語文書] Scan performance issues with Endpoint Protection for Linux

Powered by Wolken Software