キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

[事象] Windows Connector 5.0以降でhistory.dbからファイルのアクセス頻度を計算できない

Windows Connector 5.0以降から、history.dbを使って、ファイルのアクセス頻度を計算し、Exclusion設定のための情報を得ることが出来ない状態となっております。

前提条件として、Windows Connector 4.x以前の場合に高頻度でアクセスされるファイルを抽出する方法に関しては、以下のドキュメントをご参照ください。

http://www.cisco.com/c/en/us/support/docs/security/advanced-malware-protection-endpoints/118802-technote-fireamp-00.html#anc11

こちらは、以下の不具合による事象となります。

CSCvc16219 5.0.x Connector GUI shows less information in History than previous versions

現状、修正予定は未定となっております。

上記不具合が修正されるまでの間で、対応する方法について具体的な方法を2点ほど、紹介させていただきます。以下の方法については、TACサポート対象ではなく、お問い合わせに関してお答え致しかねますので、あくまでユーザ様の自己責任でご確認いただきますようお願いいたします。

まず、CSCの記事に記載されているPythonのツールを使って、historyをCSVに出力することが可能です。

https://supportforums.cisco.com/discussion/13214776/converting-historyexdb-v50

また、DiagnosticsをDebugログ取得設定にしたうえで、sfc.exe.logの中身を精査することによって、ある程度、近い情報を得ることができます。(Defaultの状態では、これらのログは取得ができません。)

例えば、以下のログによって、Cacheへのアクセスを試みていることが確認できますので、それを元にしてファイルへのアクセス数をカウントします。(Cloudへの問い合わせをする前に必ずCacheを確認するため、history.dbと類似の情報が得られます。)

(457318118, +0 ms) Mar 30 11:09:21 [2820]: Cache::Get: (SELECT disposition, strftime("%s", created_at), ttl, engineid, type, filetype, filesize, detection, action, nc, starttime  FROM cache where hash="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";)

これらを抽出し、尚且つ、アクセスが発生したHashをカウント、さらに頻出頻度をtop10で表示させるために、以下のコマンドを使います。以下はあくまで一つの例であり、必要な情報に応じて、工夫することが可能です。

cat sfc.exe.log | grep "Cache::Get: (SELECT" | awk '{print substr($0,index($0,"hash="),71)}' | sort | uniq -c | sort -nr | head -10

その結果、以下のように表示されます。

  657 hash="aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"
    223 hash="bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb"
    194 hash="cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc"
    156 hash="dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd"
     66 hash="eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee"
     41 hash="ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff"
     32 hash="gggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg"
     30 hash="hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh"
     29 hash="iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii"
     23 hash="jjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj"

あとは、上記のHashのファイルを端末中から探し出し、Exclusionを追加することが可能です。

バージョン履歴
改訂番号
1/1
最終更新:
‎03-30-2017 11:25 AM
更新者:
 
ラベル(1)
タグ(1)