3.4. マルウェア検出コレクターのその他の設定オプション
/etc/insights-client/malware-detection-config.yml
には、いくつかの設定オプションが含まれています。
設定オプション
filesystem_scan_only
これは、基本的に許可リストオプションで、スキャンするファイル/ディレクトリーを指定します。指定した項目のみがスキャンされます。1 つのアイテム、またはアイテムのリスト (アイテムのリストを指定する yaml 構文に従う) のいずれかを指定できます。このオプションが空の場合は、基本的にすべてのファイル/ディレクトリー (その他のオプションによる) をスキャンすることを意味します。
filesystem_scan_exclude
これは、基本的には拒否リストオプションで、スキャンしないファイル/ディレクトリーを指定します。多くのディレクトリーがすでにリストに記載されています。つまり、ディレクトリーはデフォルトでは除外されます。これには、仮想ファイルシステムのディレクトリー (例: /proc、/sys、/cgroup)、外部にマウントされたファイルシステム (例: /mnt、/media) が存在する可能性のあるディレクトリー、およびスキャンしないことが推奨されるその他のディレクトリー (例: /dev および /var/log/insights-client) (誤検出を防ぐため) が含まれます。ファイル/ディレクトリーを追加 (または削除) するリストは自由に変更できます。
同じ項目が filesystem_scan_only と filesystem_scan_exclude の両方で指定されている場合 (例: /home) は、filesystem_scan_exclude が ‘優先’ されます。つまり、/home はスキャンされません。別の例として、親ディレクトリー (例:/ var) を filesysem_scan_only してから、その中の特定のディレクトリー (例: /var/lib や /var/log/insights-client) を filesystem_scan_exclude することができます。これにより、/var/lib および /var/log/insights-client を除く /var 内のすべてのデータがスキャンされます。
filesystem_scan_since
‘since’ から変更されたファイルのみをスキャンします。ここで、since は日数を表す整数、または前回のファイルシステムスキャン以降を示す ‘last’ にすることができます。たとえば、filesystem_scan_since: 1 は、1 日前 (最後の日のみ) 以降に作成または変更したファイルだけを、filesystem_scan_since: 7 は、7 日前から (1 週間以内に) 作成/修正されたスキャンファイルだけをスキャンすることを意味します。filesystem_scan_since: last は、malware-client の最後の filesystem_scan が成功してから作成/修正されたスキャンファイルのみを意味します。
exclude_network_filesystem_mountpoints and network_filesystem_types
exclude_network_filesystem_mountpoints: true
を設定すると、マルウェア検出コレクターは、マウントされたネットワークファイルシステムのマウントポイントをスキャンしません。これがデフォルト設定で、外部ファイルシステムのスキャンを防ぐため、ネットワークトラフィックが増加し、スキャンに時間がかかります。ネットワークファイルシステムと見なされるファイルシステムは、network_filesystem_types
オプションにリスト表示されています。そのため、そのリストにあり、マウントされているファイルシステムタイプは、スキャンから除外されます。これらのマウントポイントは、基本的には、filesystem_scan_exclude
オプションから除外されるディレクトリーのリストに追加されます。exclude_network_filesystem_mountpoints: false
を設定しても、filesystem_scan_exclude
オプションでマウントポイントを除外できます。network_filesystem_types
ネットワークファイルシステムの種類を定義します。
-
scan_processes
scan_process は、多数または大規模なプロセスをスキャンするときのシステムパフォーマンスへの影響を防ぐために、デフォルトで無効になっています。ステータスが false の場合、プロセスはスキャンされず、後続の processes_scan オプションは無視されます。
+ スキャンに実行中のプロセスを含めます。
processes_scan_only
これは filesystem_scan_only に似ていますが、プロセスに適用されます。プロセスは、単一の PID (123 など) または PID の範囲 (1000..2000 など) として指定することも、プロセス名 (Chrome など) で指定することもできます。たとえば、123、1000..2000 の値、および Chrome は、PID 123、1000 から 2000 までの PID、および文字列 chrome を含むプロセス名の PID のみがスキャンされることを意味します。
processes_scan_exclude
これは filesystem_scan_exclude に似ていますが、プロセスに適用されます。プロセスは processes_scan_only と同様に、単一の PID、PID の範囲、またはプロセス名で指定できます。プロセスが processes_scan_only と processes_scan_exclude の両方に表示される場合は、processes_scan_exclude が ‘優先’ され、プロセスは除外されます。
processes_scan_since
これは filesystem_scan_since に似ていますが、プロセスに適用されます。‘since’ から開始されたプロセスのみをスキャンします。since は数日前を表す整数、または最後にマルウェアクライアントのスキャンが成功したプロセス以降を意味する ‘last’ にすることができます。
環境変数
/etc/insights-client/malware-detection-config.yml
ファイル内のすべてのオプションは、環境変数を使用して設定することもできます。環境変数を使用すると、設定ファイル内の同じオプションの値が上書きされます。環境変数は設定ファイルオプションと同じ名前ですが、大文字になります。たとえば、設定ファイルオプションの test_scan
は、環境変数の TEST_SCAN
です。
FILESYSTEM_SCAN_ONLY
、FILESYSTEM_SCAN_EXCLUDE
、PROCESSES_SCAN_ONLY
、PROCESSES_SCAN_EXCLUDE
、および NETWORK_FILESYSTEM_TYPES
環境変数には、コンマ区切りの値のリストを使用します。たとえば、/etc
、/tmp
、および /var/lib
のディレクトリーのみをスキャンする場合は、以下の環境変数を使用します。
FILESYSTEM_SCAN_ONLY=/etc,/tmp,/var/lib
コマンドラインでこれを指定する (テストスキャンを無効にする) には、以下のコマンドを使用します。
$ sudo FILESYSTEM_SCAN_ONLY=/etc,/tmp,/var/lib TEST_SCAN=false insights-client --collector malware-detection
関連情報
Insights クライアントの詳細は、Red Hat Insights のクライアント設定ガイド を参照してください。