以下のパスに 0 バイトのログファイルが多数存在する。

• /opt/Symantec/sdcssagent/AMD/sef/appdata/databases/*/*

• Symantec Endpoint Protection (SEP) / Symantec Endpoint Security (SES) 14.3 RU5 for Linux

これらのデータベースは一般的に RocksDB または Write Ahead Logs として知られています。

通常 rocksdb データベースでは、以下のような動作が発生します。

1. rocksdb データベースがオープンされる。オープン時に新しい 0 バイトの WAL (例：000005.log) が作成される。
2. プロセスのメモリからデータベースや WAL にデータが書き込まれる。
3. データベースがフラッシュを実行する (多くの場合データベースのクライアントの要求によるか、データベースがクローズされた時に) 。WAL のデータは SST ファイル (例：000006.sst) に永続化される。WAL ファイル (複数可) は削除される。

しかしながら、データベースにデータが書き込まれていない場合、WAL (.log) は 0 バイトのままであり、この場合フラッシュしても SST ファイルは作成されず、WAL (.log) ファイルが削除されることはありません。データベースを再オープンすると、より高いシーケンス番号の新しい WAL (.log) が作成されます。

要約すると、データが書き込まれていない状態で rocksdb がオープン、クローズされるたびに、ディレクトリに 0 バイトの .log ファイルが追加されます。

弊社ではこの問題を認識しており、解決策が利用可能になり次第、この文書を更新します。

一時的な対処策として、以下の手順でこれらのファイルを安全に削除できます。

1. /usr/lib/symantec/stop.sh を実行してエージェントを停止します。
2. /opt/Symantec/sdcssagent/AMD/sef/appdata/databases/file_reputation/* を削除します。
3. /opt/Symantec/sdcssagent/AMD/sef/appdata/databases/scheduler/* を削除します。
4. /opt/Symantec/sdcssagent/AMD/sef/appdata/databases/EDR/* を削除します。(注: エンドポイントで EDR を有効にしている場合は削除しないでください)
5. /usr/lib/symantec/start.sh を実行してエージェントを再起動します。

CRE-13166

[英語文書] Large number of 0 byte files in databases directories on linux client