ビュー:
以下の製品Q&Aにて解説されているように、Linux版のDSAでは変更監視を完全なリアルタイムで実現する事ができず、変更の検索を定期的かつ自動的に実施する事で実現しています。
変更の検索が実施されている間は、変更監視イベントをDeep Security Manager(DSM)へ通知する事ができません。
リアルタイム検索用に自動実行される変更の検索が終了した後、手動または予約タスクで実行された変更監視イベントも順次DSMへ通知されますが、リアルタイム検索対象の変更監視ルールが多い場合、イベント通知のタイムラグが非常に大きくなる可能性があります。
リアルタイム検索を有効化している限り、イベント通知のタイムラグを完全に無くす事はできませんが、変更監視ルール毎にリアルタイム監視の設定ができますので、リアルタイム監視対象のルールを必要最低限に抑える事によって、変更監視イベント通知のタイムラグを最小限に抑えられる上にリアルタイム変更監視の負荷も最小限に抑えられます。

変更監視ルール毎にリアルタイム検索を無効化する方法

  1. DSMのWeb管理コンソールにログインし、[コンピュータ]タブから対象のDSAをダブルクリックします。
  2. [変更監視]-[現在割り当てられている変更監視ルール]から、リアルタイム検索を無効化したい変更監視ルールをダブルクリックします。
  3. [オプション]タブの[リアルタイム監視を許可]プルダウンメニューを、初期設定の「継承(オン)」から「オフ」に変更し、[OK]をクリックします。
  4. 同様の操作を、リアルタイム検索を無効化したい全ての変更監視ルールで実施します。

ヒント

  • 冒頭でリンクされている製品Q&Aにて解説されているように、Linux版のDSAではファイルやディレクトリの変更監視をリアルタイムで実現できません。一方でファイルやディレクトリを対象とした変更監視ルールであってもリアルタイム監視を許可している限り、リアルタイム変更監視の負荷増大に繋がりますので、ファイルやディレクトリを対象とした変更監視ルールは全てリアルタイム監視を無効化する事を強くお勧めします。
  • 上記手順は、特定のコンピュータを対象とした方法です。複数のコンピュータを対象に同様の設定を行いたい場合、[ポリシー]タブから特定のポリシーに対して同様の手順を実施する事によって、同一ポリシーを適用した全てのコンピュータに対して設定変更ができます。また、[ポリシー]タブの[共有オブジェクト]-[ルール]-[変更監視ルール]から特定の変更監視ルールに対して同様の設定を行うと、その変更監視ルールを適用しているあらゆるポリシーおよびコンピュータ上で、該当の変更監視ルールのリアルタイム監視が無効化されます。

既知の制限事項

変更監視機能のリアルタイム検索では、シンボリックリンクに対する検索をサポートしておりません。

シンボリックリンクによりリンクされているファイルの実体を変更監視ルールの対象に設定してください。