Deep Security 11のサポートは終了しています。バージョンセレクタ（上記）を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

FileSet

整合性監視モジュールは、ディレクトリへの予期しない変更を検索します。, レジストリ値, レジストリキー, サービス, は、, がインストールしたソフトウェア, ポート, グループ, ユーザ, ファイルと、Deep Security Agentの WQL クエリステートメントを処理します。変更監視を有効にして設定するには、変更監視の設定を参照してください。

FileSetタグは、ファイルのセットを記述します。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性	説明	必須	初期設定値	設定できる値
base	FileSetのベースディレクトリを設定します。タグ内の他のエレメントはすべて、このディレクトリから相対的に位置付けられます。	はい	なし	文字列値は、構文的に有効なパスに変換されます (パスは存在しなくてもかまいません)。注意: UNCパスはWindows Agentで許可されますが、それには、リモートシステムでAgentコンピュータの「LocalSystem」アカウントからのアクセスが許可される必要があります。AgentはWindowsサービスの1つであり、LocalSystem (別名: NT AUTHORITY\SYSTEM) として実行されます。ネットワークリソースにアクセスするとき、LocalSystemは、コンピュータの資格情報であるDOMAIN\MACHINE$という名前のアカウントを使用します。リモートコンピュータに表示されるアクセストークンには、そのコンピュータの「Administrators」グループも含まれます。したがってリモート共有は、Agentのコンピュータアカウント、AgentのコンピュータのAdministratorsグループ、または「Everyone」のいずれかに読み取り権限を付与する必要があります。 baseの値が構文的に有効でない場合は、FileSetは処理されません。それ以外の設定は評価されます。
onChange	対象のファイルをリアルタイムで監視する必要があるかどうかを示します。	いいえ	false	true、false
followLinks	このFileSetはシンボリックリンクを追跡します。	いいえ	false	true、false

エンティティセットの属性

次に示すFileSetの属性は、変更監視ルールによって監視可能な属性です。

Created:ファイルの作成日時のタイムスタンプ
LastModified: ファイルの最終アップデート日時のタイムスタンプ
LastAccessed: ファイルの最終アクセス日時のタイムスタンプ。Windowsの場合、この値はすぐにアップデートされません。また、パフォーマンスを向上させるために、最終アクセス日時のタイムスタンプの記録を無効にすることができます。詳細については、File Timesを参照してください。LastAccessed属性には、ファイル検索を実行するにはAgentが対象のディレクトリを開く必要があり、これにより最終アクセス日時のタイムスタンプが変更されるという問題もあります。UNIXの場合、ファイルを開くときにO_NOATIMEフラグが使用可能であれば、Agentはこのフラグを使用します。これにより、最終アクセス日時のタイムスタンプがOSによってアップデートされることがなくなり、検索速度を上げることができます。
Permissions: Windowsの場合は、ファイルのセキュリティ記述子 (SDDL形式)。ACLをサポートするUNIXシステムの場合はPosixスタイルのACL。それ以外の場合は、数値 (8進数) 形式のUNIXスタイルのrwxrwxrwxのファイル権限。
Owner:ファイル所有者のユーザID (通常、UNIXでは「UID」と呼ばれます)
Group: ファイル所有者のグループID (通常、UNIXでは「GID」と呼ばれます)
Size:ファイルのサイズ
Sha1:SHA-1ハッシュ
Sha256: SHA-256ハッシュ
Md5: MD5ハッシュ (非推奨)
Flags: Windowsのみ。GetFileAttributes() Win32 APIで返されるフラグ。Windowsエクスプローラでは、これらをファイルの「属性」(読み取り専用、アーカイブ、圧縮など) とみなします。
SymLinkPath(UNIX/Linuxのみ): ファイルがシンボリックリンクである場合は、そのリンクのパスがここに格納されます。Windows NTFSでは、UNIXライクなシンボリックリンクをサポートしますが、ファイルではなくディレクトリ専用です。WindowsのショートカットオブジェクトはOSでは処理されないため、本当の意味でのシンボリックリンクではありません。Windowsエクスプローラはショートカットファイル (*.lnk) を処理しますが、*.lnkファイルを開くその他のアプリケーションはlnkファイルのコンテンツの表示のみ行います。
InodeNumber (UNIX/Linuxのみ):ファイルに関連付けられているinodeが格納されるディスクのinode番号
DeviceNumber (UNIX/Linuxのみ):ファイルに関連付けられているinodeが格納されるディスクのデバイス番号
BlocksAllocated (Linux/UNIXのみ): ファイルを格納するために割り当てられるブロック数。
拡張： （DSA 7.5以上）には、ファイルのサイズが同じ場合は「true」、検索の間隔が拡大する場合は「true」が、それ以外の場合は「false」が含まれます。これは主に、データが追加されたログファイルに役立ちます。ログファイルをロールオーバーすると、この属性が変更されることに注意してください。
圧縮（DSA 7.5以上）には、ファイルのサイズが同じ場合は「true」、検索の場合は「false」が、それ以外の場合は「false」が含まれます。

簡略記法による属性

次に、簡略記法による属性と、それらがマッピングされる属性を示します。

CONTENTS: コンピュータエディタまたはポリシーエディタのYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details). [変更監視]→[詳細] で設定されているコンテンツのハッシュアルゴリズム
STANDARD:Created、LastModified、Permissions、Owner、Group、Size、Contents、Flags (Windowsのみ)、SymLinkPath (Linux/UNIXのみ)

ディレクトリとしてマウントされたドライブ

ディレクトリとしてマウントされたドライブは他のディレクトリと同様に扱われます。ただし、ネットワークドライブである場合、そのドライブは無視されます。

代替データストリーム

NTFSベースのファイルシステムでは、代替データストリームの概念がサポートされます。この機能が使用される場合には、代替ストリームは概念上、ファイル内のファイルのように動作します。

この機能のデモを実行するには、コマンドプロンプトに以下のコマンドを入力します。

echo plain > sample.txt 
 echo alternate > sample.txt:s 
 more < sample.txt 
 more < sample.txt:s

最初の「more」は、テキスト「plain」のみを表示します。これは、メモ帳などの標準のテキストエディタでファイルを開いた場合に表示されるテキストと同じです。2番目の「more」は、sample.txtの「s」ストリームにアクセスして文字列「alternate」を表示します。

FileSetでは、ストリームが指定されていない場合、すべてのストリームが含まれます。各ストリームは、ベースラインの個別のエンティティエントリです。ストリームに対して指定できる属性は次のとおりです。

size
Sha1
Sha256
Md5 (非推奨)
Contents

次の例では、前のデモで使用したストリームが両方とも含まれます。

特定のストリームを含めたり除外したりするには、「:」表記を使用します。次の例では、メインのsample.txtストリームではなく、sample.txtの「s」ストリームのみが一致します。

パターン照合は、ストリーム表記でもサポートされます。次の例では、sample.txtが含まれますが、その代替ストリームはすべて除外されます。

「key」の意味

keyは、「base」で指定されたディレクトリを基準とする相対ファイルパスに対して照合されるパターンを指定します。このパターンは、「/」で区切られたパターンのセクションからなる階層型のパターンです。パターン内のセクションは、所定のOSのファイルのセパレータによって区切られたパスのセクションに対して照合されます。

サブエレメント

Include
Exclude

これらのエレメントに指定できる属性とサブエレメントの「include」と「exclude」の概要は、変更監視ルールの言語を参照してください。ここでは、FileSetエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。

FileSetのincludeおよびexcludeに固有の属性

executable

ファイルが実行可能かどうかを決定します。これは、ファイルの権限がファイルの実行を許可していることを意味しません。ファイルの内容を確認するのではなく、プラットフォームに応じて、そのファイルが実行可能ファイルであるかどうかを決定します。

これは、Agentがファイルを開き、ファイルの先頭から1KBまたは2KBを検証して有効な実行可能イメージヘッダを探すことが必要になるため、比較的負荷の高い処理です。1つ1つのファイルを開いて読み取ることは、ディレクトリを検索してワイルドカードパターンに基づいてファイル名を照合する処理に比較すると、非常に高い負荷がかかります。結果として、「executable」を使用するincludeおよびexcludeルールでは、この属性を使用しないルールよりも検索に時間がかかります。

お問い合わせ

サポート情報

セキュリティ情報