DSVA における検索除外の動作は、ドライバレベル/ソフトウェアレベルの2種類の動作があります。
-
ドライバレベル
Guest Introspectionドライバ(VSEPFLT)側での除外、下図の1での除外処理が該当
-
ソフトウェアレベル
DSVA側での除外、下図の2での除外処理のが該当
NSX-V環境の処理フロー
NSX-T環境の処理フロー
ファイルI/Oが発生後、DSVA保護下のコンピュータのOS上で動作するVMware Toolsのコンポーネント上のVSEPFLT側が該当ファイルをフックします(図の1)。
ファイルフック後、ESXi上のMUXプロセスを経由しDSVA(169.254.1.39:48651ポート)に送られ、DSVA上で不正プログラム対策の処理がされます(図の2)。
その後、ファイルを削除する場合は削除命令がDSVAからVSEPFLTにリクエストが送信され、VSEPFLTにて削除動作が実施されます。
ドライバレベルの除外はソフトウェアレベルの除外と比較しファイルフック自体が除外されること、処理工程が少ないため除外の効果が大きいものとなります。
以下、除外リストごとの除外の動作となります。(除外の設定方法に関しましては不正プログラム検索の設定の[検索除外]の項を参照ください。
DSVAのディレクトリリストにワイルドカード(*)を使用した場合、検索除外の設定はディレクトリパスとの文字列の比較によって適用されます。
そのため、ワイルドカード(*)を使用したパスをディレクトリリストに追加して検索除外設定を行った場合に除外されるディレクトリは以下の例のとおりになります。
ディレクトリリスト:
C\Users\*\Directory\
検索から除外されるディレクトリ:
C\Users\UserName\Directory\
C\Users\UserName\Directory\Directory\
※赤字部がワイルドカードにて置換された際、[C\Users\*\Directory\]と一致するため除外対象。
検索から除外されないディレクトリ:
C\Users\UserName\Directory\Directory\Subdirectory\
※赤字部がワイルドカードにて置換された際、[C\Users\*\Directory\]と一致しないため除外対象外。
DSVA側でネットワークドライブの検索を行わない設定をされている場合でもドライバレベルの検索除外を設定されていない場合は検索リクエストがGuest Introspectionドライバ(VSEPFLT)からDSVAに送信されます。 DSVAによる不正プログラム対策機能が有効時にネットワークドライブに対するアクセスパフォーマンスの低下が見られる場合はネットワークドライブに対してドライバレベルの検索除外を設定ください(詳細はこちら)。