エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

オンアクセス ポリシーの作成

オンアクセス ポリシーはオンアクセス スキャンの範囲を定義します。オンアクセス ポリシーは、個々のSVM用またはクラスタ内のすべてのSVM用に作成できます。クラスタ内のすべてのSVM用のオンアクセス ポリシーを作成した場合は、各SVMでポリシーを個別に有効にする必要があります。

タスク概要
  • スキャンするファイルの最大サイズ、スキャン対象に含めるファイルの拡張子とパス、スキャンから除外するファイルの拡張子とパスを指定できます。

  • scan-mandatoryオプションをoffに設定すると、ウイルス スキャンに使用できるVscanサーバーがない場合にファイル アクセスが許可されます。

  • デフォルトでは、「default_CIFS」という名前のオンアクセス ポリシーが作成され、クラスタ内のすべてのSVMに対して有効になります。

  • paths-to-excludefile-ext-to-exclude、またはmax-file-sizeの各パラメーターに基づいてスキャン対象外と判断されたファイルは、scan-mandatoryオプションがonに設定されていてもスキャン対象から除外されます(scan-mandatoryオプションに関連する接続の問題についてはトラブルシューティングのセクションを参照してください)。

  • デフォルトでは、読み取り/ 書き込みボリュームのみがスキャンされます。読み取り専用ボリュームのスキャンを有効にするフィルターや、実行アクセス権で開かれたファイルのみにスキャンを制限するフィルターを指定することができます。

  • continuously-availableパラメーターがYesに設定されているSMB共有ではウイルス スキャンは実行されません。

  • Vscanファイル処理プロファイルの詳細については、「ウイルス対策アーキテクチャー」セクションを参照してください。

  • SVMごとに、最大10個のオンアクセス ポリシーを作成できます。ただし、一度に有効にできるオンアクセス ポリシーは1つだけです。

    • オンアクセス ポリシーでは、最大100個のパスとファイル拡張子をウイルス スキャンの対象から除外できます。

  • 除外するファイルに関するいくつかの推奨事項:

    • 大容量ファイル(ファイル サイズは指定可能)は、応答に時間がかかったり、CIFSユーザーのスキャン要求がタイムアウトになったりする可能性があるため、ウイルス スキャンの対象から除外することを検討します。除外されるファイルのサイズは、デフォルトでは2GBです。

    • .vhd.tmpなどのファイル拡張子は、除外することを検討します。これらの拡張子が付いているファイルは、スキャンに適していない可能性があるからです。

    • 隔離ディレクトリーなどのファイル パスや、仮想ハード ドライブやデータベースのみが格納されているパスは、除外することを検討します。

    • 一度に有効にできるポリシーは1つだけなので、すべての除外が同じポリシーで指定されていることを確認します。除外する対象をウイルス対策エンジンで指定されているものと一致させることを強く推奨しています。

  • オンデマンド スキャンには、オンアクセス ポリシーが必要です。オンアクセス スキャンが実行されないようにするには、-scan-files-with-no-extをfalseに、-file-ext-to-excludeを*に設定して、すべての拡張子を除外します。

手順
  1. オンアクセス ポリシーを作成します。

    vserver vscan on-access-policy create -vserver data_SVM|cluster_admin_SVM -policy-name policy_name -protocol CIFS -max-file-size max_size_of_files_to_scan –filters [scan-ro-volume,][scan-execute-access] -file-ext-to-include extensions_of_files_to_include -file-ext-to-exclude extensions_of_files_to_exclude -scan-files-with-no-ext true|false -paths-to-exclude paths_of_files_to_exclude -scan-mandatory on|off

    • 個々のSVM用のポリシーの場合はデータSVM、クラスタ内のすべてのSVM用のポリシーの場合はクラスタ管理SVMを指定します。

    • -file-ext-to-excludeの設定は、-file-ext-to-includeの設定よりも優先されます。

    • 拡張子がないファイルをスキャンするには、-scan-files-with-no-extをtrueに設定します。 次のコマンドは、vs1というSVMにPolicy1という名前のオンアクセス ポリシーを作成するものです。

    cluster1::> vserver vscan on-access-policy create -vserver vs1 -policy-name Policy1 -protocol CIFS -filters scan-ro-volume -max-file-size 3GB -file-ext-to-include “mp*”,"tx*" -file-ext-to-exclude "mp3","txt" -scan-files-with-no-ext false -paths-to-exclude "\vol\a b\","\vol\a,b\"
  2. オンアクセス ポリシーが作成されていることを確認します。vserver vscan on-access-policy show -instance data_SVM|cluster_admin_SVM -policy-name name

    すべてのオプションの一覧については、コマンドのマニュアル ページを参照してください。

    次のコマンドは、Policy1ポリシーの詳細を表示します。

    cluster1::> vserver vscan on-access-policy show -instance vs1 -policy-name Policy1
    
                               Vserver: vs1
                                Policy: Policy1
                         Policy Status: off
                   Policy Config Owner: vserver
                  File-Access Protocol: CIFS
                               Filters: scan-ro-volume
                        Mandatory Scan: on
    Max File Size Allowed for Scanning: 3GB
                File Paths Not to Scan: \vol\a b\, \vol\a,b\
           File Extensions Not to Scan: mp3, txt
               File Extensions to Scan: mp*, tx*
          Scan Files with No Extension: false
Top of Page