Endpoint Discover の増分スキャンの機能の仕組み
Endpoint Discover
の増分スキャンの機能の仕組み 増分スキャンでは、DLP Agent は最終ファイルスキャンの日付、時刻、およびファイルの場所を記録します。これは、チェックポイントと呼ばれる情報です。DLP Agent はチェックポイントをそのローカルデータベースに保存します。そのため、このチェックポイントを使用して、スキャンを最後に終えたところから再開できます。
増分スキャンは、以下のいくつかの段階で実行できます。
- 段階 1: DLP Agent は、同じEndpoint Discoverターゲットの直前の実行でスキャンできなかったファイルをスキャンします。
- 段階 2: DLP Agent は、最後のチェックポイント以降に追加または変更されたファイルのみをスキャンします。
次の例は、2 つのエンドポイントの増分スキャンシーケンスの概要を示しています。
- 直前のスキャンが、エンドポイント 1 では完了せず、エンドポイント 2 では完了した場合は、次のようになります。増分スキャンは、次の 2 つの段階でスキャンします。エンドポイント 1 の場合:
- 段階 1: 直前の不完全なスキャンを完了させます。
- 段階 2: 最後のチェックポイント以降に追加または変更されたファイルのみをスキャンします。
エンドポイント 2 の場合:- 直前のスキャンが完了しているので、段階 1 は適用されません。
- 段階 2 が適用され、増分スキャンは、最後のチェックポイント以降に追加または変更されたファイルのみをスキャンします。
次の表では、前の例が要約されています。
段階 | 直前のスキャンがエンドポイント 1 で完了していない | 直前のスキャンがエンドポイント 2 で完了している |
|---|---|---|
段階 1 | 適用される | 適用されない |
段階 2 | 適用される | 適用される |
- 増分スキャンオプションが指定された新しいEndpoint Discoverターゲットスキャンが初めて実行され、その場合に段階 2 のみが適用されるという別の例を考慮してみましょう。増分スキャンは、1970 年 1 月 1 日 (エポック時間) 以降に追加または変更されたすべてのファイルをスキャンします。
メモ: 次のような場合、シマンテック社は増分スキャンではなくフルスキャンを実行することを推奨します。
- Endpoint Discoverターゲットスキャンを実行し、後でフィルタパスを変更して、以前のこのEndpoint Discoverターゲットスキャンの対象にならなかったファイルを組み込みます。ファイルが最後のチェックポイント以降に変更されていない場合には、そのファイルは増分スキャンの実行時にスキャン対象になりません。
- macOS では、ファイルを 1 つの場所から別の場所にコピーした場合、ファイルのタイムスタンプ (ファイルが作成、修正、アクセスされたときのタイムスタンプ) が変更しません。Endpoint Discoverのフルスキャンが実行された場合、その後にEndpoint Discover対象フォルダパスにローカルに移動されるファイルがあり、ファイルがフルスキャンの時より前に最後に修正されると、次の増分スキャンはこれらのファイルをスキャンしません。ファイルのタイムスタンプがフルスキャンの時より前の日付であるため、ファイルが対象フォルダにスキャンの後に追加されても、それらは増分スキャンの対象ファイルとして認識されません。
- ドライブに関する種類の詳細情報を提供するには、すべてのコンテンツのベースラインの分類を実行するのが有効です。