Symantec Endpoint Protection (SEP) クライアントの自動除外機能にて設定されたフォルダやファイルを確認したい。

SEP クライアントは、Microsoft Exchange や Active Directory ドメインコントローラーなど、特定のインストール済みコンポーネント/アプリケーションの存在を自動的に検出する。これらの除外項目を手動で検査し、例外ポリシーに追加する必要があるかどうかを確認するには、どこを見ればよいか。

SEP の最新バージョンでは、Symantec Endpoint Protection Manager (SEPM) から見えない除外項目を自動的に追加するようになりました。

SEP バージョン 14.3 RU1 以降では除外項目はレジストリで表示できなくなりました。代わりに、デバッグログを使用して検証を行うことができます。

• デバッグログを有効にするには

1. 1. SEP クライアントの UI を開きます。
   2. [ヘルプ] - [トラブルシューティング] をクリックします。
   3. 左側の [デバッグログ] をクリックします。
   4. [Symantec Endpoint Protection] の [デバッグログの設定]で [デバッグログ設定の編集] をクリックします。
   5. ALL と入力します。
   6. [OK] をクリックし、トラブルシューティングと SEP クライアントの UI を閉じます。

• SEP クライアントに強制的に自動除外の再処理をさせるには

1. 1. スタートメニューを右クリックし [ファイル名を指定して実行] をクリックします。
   2. smc -stop と入力し [OK] をクリックします。
   3. SEP の盾アイコンがシステムトレイから消え、smc コマンドウィンドウが閉じるのを待ちます。
   4. スタートメニューを右クリックし [ファイル名を指定して実行] をクリックします。
   5. smc -start と入力し [OK] をクリックします。
   6. SEP クライアントの GUI を開きます。
   7. [ヘルプ] - [トラブルシューティング] をクリックします。
   8. 左側の [デバッグログ] をクリックします。
   9. [Symantec Endpoint Protection] の [デバッグログの設定] で [ログの表示] をクリックします。
   10. 以下のようなエントリーを探します。

13:46:45.040944[_7752][_3088]|Setting Exclusions
13:46:45.044767[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\_msdcs.contoso.com.dns
13:46:45.045109[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\samples\192.DNS
13:46:45.045310[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\edb.log
13:46:45.045854[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\RES1.log
13:46:45.046095[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\backup\dns.log
13:46:45.046276[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\RES2.log
13:46:45.046538[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\TEMP.edb
13:46:45.046880[_7752][_3088]|AP Exclusion: C:\Windows\ntfrs\jet\log\edb.log
13:46:45.047121[_7752][_3088]|AP Exclusion: C:\Windows\ntfrs\jet\log\res1.log
13:46:45.047302[_7752][_3088]|AP Exclusion: C:\Windows\ntfrs\jet\log\res2.log
13:46:45.047503[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\samples\BOOT
13:46:45.047705[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\edb00001.log
13:46:45.047866[_7752][_3088]|AP Exclusion: C:\Windows\ntfrs\jet\Ntfrs.jdb
13:46:45.048107[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\contoso.com.dns
13:46:45.048268[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\cache.dns
13:46:45.048489[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\samples\CACHE.DNS
13:46:45.048711[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\edb00002.log
13:46:45.048932[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\EDB.chk
13:46:45.049274[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\edb00003.log
13:46:45.049495[_7752][_3088]|AP Exclusion: C:\Windows\ntfrs\jet\sys\edb.chk
13:46:45.049697[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\dns.log
13:46:45.049918[_7752][_3088]|AP Exclusion: C:\Windows\system32\dns\samples\PLACE.DNS
13:46:45.050099[_7752][_3088]|AP Exclusion: C:\Windows\NTDS\ntds.dit
13:46:45.050501[_7752][_3088]|AP Exclusion: C:\Windows\SYSVOL\staging areas
13:46:45.050783[_7752][_3088]|AP Exclusion: C:\Windows\SYSVOL\staging areas\contoso.com
13:46:45.051125[_7752][_3088]|AP Exclusion: C:\Windows\SYSVOL\sysvol
13:46:45.051487[_7752][_3088]|AP Exclusion: C:\System Volume Information\DFSR
13:46:45.051749[_7752][_3088]|AP Exclusion: C:\Windows\SYSVOL
13:46:45.052151[_7752][_3088]|AP Exclusion: C:\Windows\SYSVOL\domain\DfsrPrivate
13:46:45.052574[_7752][_3088]|AP Exclusion: C:\Windows\SYSVOL\domain\DfsrPrivate\ConflictAndDeleted

除外が完了したことを確認したら、デバッグログを無効にすることができます。

• デバッグログを無効にするには

1. SEP クライアントの UI を開きます。
2. [ヘルプ] - [トラブルシューティング] をクリックします。
3. 左側の [デバッグログ] をクリックします。
4. [Symantec Endpoint Protection] の [デバッグログの設定] で [デバッグログ設定の編集] をクリックします。
5. ALL を削除します。
6. [OK] をクリックしトラブルシューティングと SEP クライアントの UI を閉じます。

注: smc を停止して再度起動する必要はありません。

14.3 RU1 未満のすべてのバージョンでは以下の手順を実行します。

1. [スタート] メニューから [ファイル名を指定して実行] をクリックし regedit と入力して [OK] をクリックします。
2. 以下のキーに移動します。
   • 32 ビット OS:
     HKEY_LOCAL_MACHINE\SOFTWARE\SYMANTEC\SYMANTEC ENDPOINT PROTECTION\AV\EXCLUSIONS
   • 64 ビット OS:
     HKEY_LOCAL_MACHINE\Software\WOW6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions
3. 自動除外機能で追加されたアプリケーションのキーを選択し展開してください。

• • FileExceptions フォルダで自動除外機能で除外されるファイルを確認できます。

このキーは、自動除外機能と集中例外ポリシーにて追加された例外設定が保存されています。このキーを参照することで、クライアントに適用されたすべての除外設定を確認できます。また、このレジストリキーに自動除外機能で追加されたアプリケーションのキーが存在していない場合には、自動的にファイルやフォルダは除外されていません。このような場合には、集中例外ポリシーに除外設定を追加する必要があります。

[英語文書] Verify if an Endpoint Client has Automatically Excluded an Application or Directory