SEP Linux Agent でのスキャン完了の確認方法について
search cancel

SEP Linux Agent でのスキャン完了の確認方法について

book

Article ID: 235642

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection(SEP) の Linux Agent にてスキャン開始・完了などの情報をクライアント側から確認したい。

Environment

SEP 14.3 RU1 以降の Linux Agent

  • 本技術文書内の記載のログは特記事項の無い限り管理者定義・手動スキャンどちらでも記録されます。
    ただし、クライアント側で手動スキャン(manualscan) を実行できるのは SEP14.3 RU3 以降の Linux Agent になります。

 

Resolution

SEP の Linux Agent ではスキャンログは以下のログに記録されます。

/var/log/sdcsslog/amdlog/sisamd_0.log

  • スキャンの開始は次のように記録されます。

    2022-02-28 02:16:23: <info> [AMDTraversalThread::run]:520 AntiMalware scan started

  • 管理者定義のスキャンの場合には次のログも記録されます。

    2022-02-28 11:45:00: <info> [NotifyAction::NotifyAntiMalwareCollector]:467 MSTD,1,2022-02-28 02:45:00.000 Z+0900,I,0,R,,,,,root,,,,,,2,,,,,Scan started on all directories files and extensions,,,,,日次定時スキャン,,,,,,,,,,,,1646016300000,0,1646016300

    * 管理者定義のスキャン名は "日次定時スキャン" になります。

  • スキャンの経過は次のように記録されます。percentage は 10 ずつ増えます。

   2022-02-28 02:14:43:<info> [AMDUpdateStatus::updateStatus]:94 AMD_START scan 1345 3 Scan completion percentage 10

  • スキャンの完了は次のように記録されます。

    2022-02-28 02:16:53: <info> [AMDTraversalThread::run]:831 AntiMalware scan finished

  • スキャン中に検出されたリスクについては次のように記録されます。

    2022-02-28 02:16:43: <info> [NotifyAction::NotifyAntiMalwareCollector]:471 DMAL,3,2022-02-28 02:16:43.000 Z+0900,C,35,R,{A36D2836-4F03-42DE-B55F-3957FC1489C8},,,,root,,unknown,0,,/home/####/scantest.txt,1,,,,EICAR Test String,,131f95c51cc819465fa1797f6ccacf9d494aaaff46fa3eac73ae63ffbdfd8267,,/var/log/sdcsslog/quarantine/17f3e1d9fb5.QUR,,,11101,0,2,2,2,2,2,69,12,1,20220227.006,,100,1646014583,ScanCore,,1,,"0=11101,1=0,2=2,3=2,4=2,5=2,6=2,7=ScanCore,8=EICAR Test String,9=0,10=0,11=0,13=69,14=0,16=0,17=0,18=1,19=1,21=20220227.006,22=/home/####/scantest.txt,23=131f95c51cc819465fa1797f6ccacf9d494aaaff46fa3eac73ae63ffbdfd8267,24=/var/log/sdcsslog/quarantine/17f3e1d9fb5.QUR,25=12,26=1,27=1,28=100,29=33188,30=0,31=0,32=0,33=0,"

    * スキャンで検出されたファイル名は ”scantest.txt" です。
    * リスク名は "EICAR Test" です。

Additional Information

SES を使用している場合、ICDM 上では以下のようなログが記録されます。

  • sav manualscan で手動スキャンを行った場合。 

  An instance of scan is currently running
  Category: 6-Diagnostic

  • ポリシーで設定された定時スキャンの場合。

  Scan activity detected
  Category: 1-Security
  Disposition: 1-Scan - Started もしくは 2-Scan - Completed