ビジネスサポートポータルアカウントでログイン
変更監視イベントが通知されない  

変更監視イベントが通知されない

    • 更新日:
    • 14 Nov 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Linux すべて
概要
Linux版のDeep Security Agent (DSA)で、リアルタイムの変更監視機能を有効化しています。
変更監視機能をテストするために、監視対象のフォルダにファイルを配置して手動で変更の検索を実行してもイベントが通知されません。
リアルタイムの変更監視を無効化すれば、変更監視イベントが通知されます。
 
この原因と対策方法について教えてください。 
詳細
Public
以下の製品Q&Aにて解説されているように、Linux版のDSAでは変更監視を完全なリアルタイムで実現する事ができず、変更の検索を定期的かつ自動的に実施する事で実現しています。
変更の検索が実施されている間は、変更監視イベントをDeep Security Manager(DSM)へ通知する事ができません。
リアルタイム検索用に自動実行される変更の検索が終了した後、手動または予約タスクで実行された変更監視イベントも順次DSMへ通知されますが、リアルタイム検索対象の変更監視ルールが多い場合、イベント通知のタイムラグが非常に大きくなる可能性があります。
リアルタイム検索を有効化している限り、イベント通知のタイムラグを完全に無くす事はできませんが、変更監視ルール毎にリアルタイム監視の設定ができますので、リアルタイム監視対象のルールを必要最低限に抑える事によって、変更監視イベント通知のタイムラグを最小限に抑えられる上にリアルタイム変更監視の負荷も最小限に抑えられます。

変更監視ルール毎にリアルタイム検索を無効化する方法

  1. DSMのWeb管理コンソールにログインし、[コンピュータ]タブから対象のDSAをダブルクリックします。
  2. [変更監視]-[現在割り当てられている変更監視ルール]から、リアルタイム検索を無効化したい変更監視ルールをダブルクリックします。
  3. [オプション]タブの[リアルタイム監視を許可]プルダウンメニューを、初期設定の「継承(オン)」から「オフ」に変更し、[OK]をクリックします。
  4. 同様の操作を、リアルタイム検索を無効化したい全ての変更監視ルールで実施します。

ヒント

  • 冒頭でリンクされている製品Q&Aにて解説されているように、Linux版のDSAではファイルやディレクトリの変更監視をリアルタイムで実現できません。一方でファイルやディレクトリを対象とした変更監視ルールであってもリアルタイム監視を許可している限り、リアルタイム変更監視の負荷増大に繋がりますので、ファイルやディレクトリを対象とした変更監視ルールは全てリアルタイム監視を無効化する事を強くお勧めします。
  • 上記手順は、特定のコンピュータを対象とした方法です。複数のコンピュータを対象に同様の設定を行いたい場合、[ポリシー]タブから特定のポリシーに対して同様の手順を実施する事によって、同一ポリシーを適用した全てのコンピュータに対して設定変更ができます。また、[ポリシー]タブの[共有オブジェクト]-[ルール]-[変更監視ルール]から特定の変更監視ルールに対して同様の設定を行うと、その変更監視ルールを適用しているあらゆるポリシーおよびコンピュータ上で、該当の変更監視ルールのリアルタイム監視が無効化されます。
Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1113858
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド