ProScan製品に関するFAQとなります。
こちらに記載された情報で問題が解決しない場合は、問い合わせページからメールもしくはフォームにてお問い合わせ下さい。


ライセンス・一般的な問い合わせなど

c Expand All C Collapse All

基本的には、その製品に対する有効な期限内のライセンスをお持ちであれば、そのライセンスが有効な期間において製品が動作しなくなることはございません。

ただしProScanはアンチウィルス製品であり、新たなマルウェアへの対策のために定期的(通常は毎日)更新されるウィルス定義ファイル(VDF)と組合わせて動作致します。

このVDFはエンジン提供元よりリリースされますが、弊社では利用者にこのVDFを配信する前に、製品においてサポートされているエンジン並びにOS環境において、動作エラーや異常動作が見られないか検証を行って、こちらをパスした場合のみリリースするようにしております。「サポート期限が終了した製品バージョン」のProScanはこの事前検証の対象から外れるため、検証済みのVDFをご利用の場合であっても動作異常等が発生する可能性が無いとは断言できません。

さらに、それらの動作異常を含む事象・問題などについて弊社テクニカルサポートにお問い合わせを頂いた場合、その問題を解決する為に「バージョンアップを行って頂く」という事を、最終的な解決策として回答提示させて頂く場合がございますので、その旨ご了承下さい。

この場合、様々な要因が考えられます。以下の手順に沿って原因の確認及び対策を実施してください。
(特にProScanバージョン6.0.7以降のclamdエンジン1.0では、スキャン時に受け入れ可能なファイルサイズ、メモリの利用上限といったエンジン自体が利用可能なリソース上限が大幅に増加しているため、結果的に以前のバージョンで自動的にエンジン内部の制約によりスキャン不可となっていたファイルオブジェクトで、リソース不足が発生してしまうケースが多くなっております。
各種制限値の見直しや物理リソースの増強などをご検討いただければ幸いです)

 

原因調査:
設定ファイルproscan.conf内[aveserver]セクションでReportLevel=263に設定し、そのファイルを単独でスキャンした結果もエラーになるかどうか確認して下さい。

A)エラーにならない場合、システムフルスキャンや大量にファイルオブジェクトが存在しているディレクトリなどの負荷の高い一括スキャンに伴う物理的、もしくはulimitによる制限が起きている可能性があります。
各種制限値を変更
(AIX:OSマニュアルのulimitコマンド、もしくは/etc/security/limitsのマニュアルを参照、Linux:https://atmarkit.itmedia.co.jp/ait/articles/1908/01/news031.html等の各種マニュアル・資料をご参照下さい。中でも"ulimit -m"で制限される物理メモリはシステム系等のrootユーザー権限で動く全てのプロセスの利用する総メモリの上限値となりますので、可能ならば"unlimited"、/etc/security/limits ファイルでは"-1"に設定して頂くことを推奨致します)
するか、
対象ファイルもしくはディレクトリを設定ファイルの[filescan.object] セクション内ExcludeMaskに指定し、通常時スキャンでは除外する事を推奨します。
その場合、フルスキャン実施後に別途proscanfsの"-E"オプション(コマンドラインオプションは設定ファイルのオプションより優先される)で設定ファイルの例外を上書きし、
"proscanfs -E /dev /path1 /path2"
(上記例では、製品が初期で除外設定をしている/devのみを上書き指定する事で、設定ファイルで除外した"/path1" "/path2"パス内のファイルを別途スキャン出来るようにしています)

のようにしてメインのスキャンとは別にスキャンを行う分割スキャンを行って頂く事で、一時的に除外したパスを含めてスキャンを行うことを可能にしています。
(前述の通りReportLevelを変更したままだとログが肥大化する可能性があるので、標準のReportLevel=7等に戻すことを推奨します)

 

B)単独でのスキャンでもエラーになる場合、同セクションで設定されている
ReportFileName(標準では/var/opt/proscan/log/clamd.log)に指定されたファイル名のログを確認して下さい。
対象のファイルにおいて起きているエラーを確認し、以下のそれぞれのエラーに:

"Can't write to file ERROR"
各種ログ、あるいはアーカイブを展開する際に利用されるテンポラリディレクトリ(設定ファイルの[path]セクション内TempPath=/var/opt/proscan/tmpで指定)の属するディスクエリアの空きが一時的に枯渇している可能性があります。
上記テンポラリディレクトリ,及び設定ファイルで指定されたログのパスが含まれるディスクエリアを拡張して上記パスへの書き込み容量を確保して頂けるでしょうか。

"Can't open file or directory ERROR","Can't read to file ERROR"
スキャン可能なファイルでないものをスキャンしようとしている場合(デバイスファイルやシステムファイル、アクセス権限の設定によって他のサービス(セキュリティもしくはRDBMS)などがロックしているファイル)をスキャンしようとしている可能性があります。スキャン時に原因となっている設定やサービスを停止できない場合、前述のExcludeMaskに指定して除外することをお勧めします。(特にRDBMSに関しては、多くのベンダーが製品マニュアルやFAQ等においてアンチウィルスでの除外対象とすべきパスを指定しておりますので、そちらの情報もご確認ください)

[aveserver]セクションのReportFileNameで指定されたエンジンログ内にスキャンしたはずのファイル結果がない場合、[filescan.options] セクションのMaxSize設定によるサイズオーバーでスキャン除外されている可能性、あるいは前述のリソース不足によりエンジン自体がクラッシュしてしまった可能性(特にエンジンログがスキャン処理処理途中で記録が途絶えている場合)がございます。


前者の可能性がある場合、スキャン結果もしくはfilescanner.logにて"exclude :"にカウントされていないか確認可能です。

後者の場合はAでご案内した対応方法をご参照頂き、物理リソースの増強や制限値の変更、通常時スキャンでの除外設定にてご対応をお願いします。また単独のスキャンで再現性のあるクラッシュの場合、上記ログと共に弊社サポートまでお知らせ下さい。もし可能でしたら問題の発生しているファイル検体のご提供を頂けると、弊社からエンジン開発元にファイル解析によるクラッシュ原因についての問い合わせをさせて頂くことも可能です。

(いずれの場合も、設定ファイルproscan.conf内[aveserver]セクションでReportLevel=263に設定したままだとログが肥大化する可能性があるので、設定・対応変更後には標準のReportLevel=7等に戻す事をお勧めします)

ProScanのインストールについて

必要ではありません。オフライン環境のサーバでもProScanを導入して頂くことが出来ます。

また、最新のウィルス定義ファイル(VDF)を手動でファイルコピーして所定のディレクトリに配置する事でVDFの更新を行うことも可能ですので、導入の際に弊社、もしくは代理店までその旨お知らせ下さい。

スキャンについて

c Expand All C Collapse All

ProScan各製品に搭載された各種スキャナコマンド(procanfs)はスキャンの実施の必要がある度に呼び出されて実行されるコマンドとして設計されていますが、内部的にはスキャンエンジン(savapi/clamd)をサービスとして利用する事も可能になっています。

これは、スキャナコマンドの側でエンジンが「既にサービスとして実行されているかどうか」を判定し、既に実行中であればそのサービスを利用、未実行であればスキャナコマンド自身でエンジンを起動し、スキャン完了時に自身が起動したエンジンを停止させる、という処理を行う事で実現しています。

このため、エンジンが非常駐の状態で複数のスキャナコマンドが同時実行されるような状況(同時に複数のproscanfsを実行して並行処理を行う、先に起動したproscanfsが処理を終わらせる前に新たなprosanfsで処理を開始する)がありますと、並列で実行されている各々のスキャナコマンドがエンジンチェックを行い、処理完了時にも(自身が立ち上げたエンジンを利用している場合は)エンジン停止処理を行います。
エンジンを起動したスキャナコマンドが処理を完了したタイミングで、そのスキャナコマンドは自身が起動したエンジンを停止させますので、そのエンジンを利用していた他のスキャナコマンドが存在していた場合はそれらのコマンドは「scan engine abend」等のエンジン接続エラーにより停止致します。

これを回避する為にスキャンエンジンの手動起動/停止、もしくは常駐を行う必要があります。

製品付属のエンジンの起動/終了コマンド(/opt/proscan/bin/proscan [start/stop])を利用して「スキャン処理の実行前にエンジンを起動し、全ての処理が終わった後でエンジンを停止」させるようにして下さい。

例:ProScan(ClamAV版/Linux)にて、"/data1"と"/data2"の2つのエリアを同時にスキャンする際、処理開始前にエンジンを手動で起動し、完了後に停止させるシェルスクリプト)

#!/bin/sh
#あらかじめclamdエンジンを手動起動する
/opt/proscan/bin/proscan start

#スキャナによる処理を並列で実施-さらに多くのスキャンコマンドを並列実行する場合は、&で繋いでバックグラウンド処理にしたのち、waitで終了を待つ
/opt/proscan/bin/proscanfs /data1 &
/opt/proscan/bin/proscanfs /data2 &

wait

#全ての処理が完了した後、clamdエンジンを手動停止させる
/opt/proscan/bin/proscan stop

ProScanにおいてファイルがスキャン出来ない(scan resultにerrorとしてカウントされる)場合は、幾つかの原因が考えられます。

  1. OSのデバイスファイル/システムファイル等の特殊なファイルである
  2. データベースのデータファイル等、他のプロセスなどでロックが掛けられている
  3. ProScanのスキャナー(proscanfs)の実行ユーザーに、該当ファイルの読み取り権限が与えられていない

対象のファイルがどのようなファイルかを確認し、除外対象に加えるか、権限を適切に設定する等の対応を行って下さい。

なお、2に含まれる「データベース」のデータファイルにつきましては、ほとんどのDBベンダーはパフォーマンスや動作上の問題を回避するため、セキュリティソフトのスキャンから特定のファイルを除外するよう求めています。お使いのDB製品のマニュアルやサポート情報をご確認下さい。

ProScanのスキャナコマンドであるproscanfsでは、OSに対する優先度(nice値)を通常よりも下げて実行しています。

この為、他の常駐プロセスがほとんどない環境ではCPUを空いている分だけ使用しますが、より優先度の高いプロセスが実行されている場合はnice値の設定に応じて自動的にCPUリソースが低く割り当てられますので、他のプロセスへの影響は極力低くなるようになっています。

OSのrootユーザーはこのnice値を通常よりも上げ、優先度をより高く設定することが可能ですので、必要に応じてOSのniceコマンドを使って設定変更を行って下さい。

「EICAR Standard Anti-Virus Test File」をご利用頂けます。
このファイルは非営利団体EICAR(European Institute forComputer Antivirus Research)が策定したもので、68バイトの文字列が記載されたテキストファイルの形で利用されます。(さらに詳細を知りたい方は、https://www.jpcert.or.jp/tips/2009/wr093901.htmlをご覧下さい)

ファイルの入手はEICARのWEBサイトから、「Download Anti Malware Testfile」のロゴ画像のリンクに移動して行えます。テストファイルそのもの、あるいはZIP圧縮した形式でもダウンロード可能です。

また同ページには、中身となる「68バイトの文字列」も記載されていますので、直接インターネットに繋がらない環境等でも、テキストエディタ等で新規にテキストを作成し、該当の文字列を書き込むことでテストファイルとして利用することも可能です。

なお、「EICAR Standard Anti-Virus Test File」は弊社ProScan製品のいずれでも検出が可能です。

この場合、様々な要因が考えられます。以下の手順に沿って原因の確認及び対策を実施してください。
(特にProScanバージョン6.0.7以降のclamdエンジン1.0では、スキャン時に受け入れ可能なファイルサイズ、メモリの利用上限といったエンジン自体が利用可能なリソース上限が大幅に増加しているため、結果的に以前のバージョンで自動的にエンジン内部の制約によりスキャン不可となっていたファイルオブジェクトで、リソース不足が発生してしまうケースが多くなっております。
各種制限値の見直しや物理リソースの増強などをご検討いただければ幸いです)

 

原因調査:
設定ファイルproscan.conf内[aveserver]セクションでReportLevel=263に設定し、そのファイルを単独でスキャンした結果もエラーになるかどうか確認して下さい。

A)エラーにならない場合、システムフルスキャンや大量にファイルオブジェクトが存在しているディレクトリなどの負荷の高い一括スキャンに伴う物理的、もしくはulimitによる制限が起きている可能性があります。
各種制限値を変更
(AIX:OSマニュアルのulimitコマンド、もしくは/etc/security/limitsのマニュアルを参照、Linux:https://atmarkit.itmedia.co.jp/ait/articles/1908/01/news031.html等の各種マニュアル・資料をご参照下さい。中でも"ulimit -m"で制限される物理メモリはシステム系等のrootユーザー権限で動く全てのプロセスの利用する総メモリの上限値となりますので、可能ならば"unlimited"、/etc/security/limits ファイルでは"-1"に設定して頂くことを推奨致します)
するか、
対象ファイルもしくはディレクトリを設定ファイルの[filescan.object] セクション内ExcludeMaskに指定し、通常時スキャンでは除外する事を推奨します。
その場合、フルスキャン実施後に別途proscanfsの"-E"オプション(コマンドラインオプションは設定ファイルのオプションより優先される)で設定ファイルの例外を上書きし、
"proscanfs -E /dev /path1 /path2"
(上記例では、製品が初期で除外設定をしている/devのみを上書き指定する事で、設定ファイルで除外した"/path1" "/path2"パス内のファイルを別途スキャン出来るようにしています)

のようにしてメインのスキャンとは別にスキャンを行う分割スキャンを行って頂く事で、一時的に除外したパスを含めてスキャンを行うことを可能にしています。
(前述の通りReportLevelを変更したままだとログが肥大化する可能性があるので、標準のReportLevel=7等に戻すことを推奨します)

 

B)単独でのスキャンでもエラーになる場合、同セクションで設定されている
ReportFileName(標準では/var/opt/proscan/log/clamd.log)に指定されたファイル名のログを確認して下さい。
対象のファイルにおいて起きているエラーを確認し、以下のそれぞれのエラーに:

"Can't write to file ERROR"
各種ログ、あるいはアーカイブを展開する際に利用されるテンポラリディレクトリ(設定ファイルの[path]セクション内TempPath=/var/opt/proscan/tmpで指定)の属するディスクエリアの空きが一時的に枯渇している可能性があります。
上記テンポラリディレクトリ,及び設定ファイルで指定されたログのパスが含まれるディスクエリアを拡張して上記パスへの書き込み容量を確保して頂けるでしょうか。

"Can't open file or directory ERROR","Can't read to file ERROR"
スキャン可能なファイルでないものをスキャンしようとしている場合(デバイスファイルやシステムファイル、アクセス権限の設定によって他のサービス(セキュリティもしくはRDBMS)などがロックしているファイル)をスキャンしようとしている可能性があります。スキャン時に原因となっている設定やサービスを停止できない場合、前述のExcludeMaskに指定して除外することをお勧めします。(特にRDBMSに関しては、多くのベンダーが製品マニュアルやFAQ等においてアンチウィルスでの除外対象とすべきパスを指定しておりますので、そちらの情報もご確認ください)

[aveserver]セクションのReportFileNameで指定されたエンジンログ内にスキャンしたはずのファイル結果がない場合、[filescan.options] セクションのMaxSize設定によるサイズオーバーでスキャン除外されている可能性、あるいは前述のリソース不足によりエンジン自体がクラッシュしてしまった可能性(特にエンジンログがスキャン処理処理途中で記録が途絶えている場合)がございます。


前者の可能性がある場合、スキャン結果もしくはfilescanner.logにて"exclude :"にカウントされていないか確認可能です。

後者の場合はAでご案内した対応方法をご参照頂き、物理リソースの増強や制限値の変更、通常時スキャンでの除外設定にてご対応をお願いします。また単独のスキャンで再現性のあるクラッシュの場合、上記ログと共に弊社サポートまでお知らせ下さい。もし可能でしたら問題の発生しているファイル検体のご提供を頂けると、弊社からエンジン開発元にファイル解析によるクラッシュ原因についての問い合わせをさせて頂くことも可能です。

(いずれの場合も、設定ファイルproscan.conf内[aveserver]セクションでReportLevel=263に設定したままだとログが肥大化する可能性があるので、設定・対応変更後には標準のReportLevel=7等に戻す事をお勧めします)

バージョンアップについて

管理ツールについて

c Expand All C Collapse All