保管領域の機能チェック

感染したオブジェクトの削除後、そのオブジェクトは保管領域に配置されます。

EICAR テストファイルを使用して、保管領域の機能を確認できます。このテストウイルスは、ウイルス対策プログラムの動作をチェックするために European Institute for Computer Antivirus Research（EICAR）によって開発されました。

EICAR テストファイルはウイルスではなく、コンピューターに損害を与える可能性のあるプログラムコードは含まれていませんが、ほとんどのウイルス対策プログラムは脅威として識別します。

テストウイルスを含むファイルの名前は eicar.com です。EICAR の Web サイトからダウンロードできます。

保管領域の機能を確認するには：

1. インターネットからテストファイルをダウンロードします：

   curl https://www.eicar.org/download/eicar.com.txt -o /root/eicar.com.txt

2. EICAR テストファイルを作成します：

   echo -n 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > standard

   テストファイルは、数秒後、または開こうとするとすぐに削除されます。

3. 次のコマンドを実行して保管領域を確認します：

   kesl-control -B –query

   両方のテストファイルが保管領域に配置されます。

4. クエリを使用して、フィールド名で保管領域内のテストファイルを表示します。例：
   • FileName フィールドで standard を含むすべてのファイルを問い合わせます：

     kesl-control -B --query "FileName like '%standard%'"

   • UNIX タイムスタンプシステム（1970 年 1 月 1 日 00:00:00（UTC）から経過した秒数）で指定された時間の後に保管領域に移動されたすべてのファイルを問い合わせます：

     kesl-control -B --query "AddTime > '1588252951'"

   クエリの使用の詳細については、「論理式の使用」セクションを参照してください。

5. ObjectId フィールドを使用してファイルを復元します：

   kesl-control -B --restore 1

   ファイルは元の場所に復元されます。ls コマンドはファイルを開かないため、ファイル脅威対策タスクによって削除されません。しかし、それを cat すると、ファイルが検知されて削除され、保管領域に移動されます。

6. 2 番目のテストファイルを別の場所に復元します：

   kesl-control -B --restore 2 --file /tmp/newfile

   指定した場所にファイルが復元されます。

7. 必要に応じて、クエリシステムを使用して保管領域からオブジェクトを削除します。

ページのトップに戻る