Jump to content
Kaspersky Support Forum

kesl-control --scan-file

KeslControl
 Share
Go to solution Solved by durtuno,

Recommended Posts

KeslControl

KeslControl

Posted
Posted

Добрый день!

Установлен и запущен Kaspersky Endpoint Security 12.1 for Linux

Возникла проблема: Нужно отсканировать архив и проверить работу антивируса, но объекты пропускаются

kesl-control --scan-file /MY_PATH/ 

Scanned objects                     : 0
Total detected objects              : 0
Infected objects and other objects  : 0
Disinfected objects                 : 0
Moved to Backup                     : 0
Removed objects                     : 0
Not disinfected objects             : 0
Scan errors                         : 0
Password-protected objects          : 0
Skipped objects                     : 1


Подскажите, пожалуйста, как правильно отсканировать, чтобы тестовый вирус обнаруживался и не пропускался

durtuno

durtuno

Posted
Posted

GUI установлен?

Можно было бы глянуть в отчётах, с какими параметрами выполняется задача и, возможно, увидеть ответ на поставленный вопрос.

KeslControl

KeslControl

Posted
  • Author
Posted
19 минут назад, durtuno сказал:

GUI установлен?

Можно было бы глянуть в отчётах, с какими параметрами выполняется задача и, возможно, увидеть ответ на поставленный вопрос.

К сожалению, нет возможности поставить GUI ☹️

Я так понимаю, можно проверить конфиг-файл, но где он может находиться тоже непонятно.

По пути /opt/kaspersky/kesl не обнаружился

KeslControl

KeslControl

Posted
  • Author
Posted
22 часа назад, durtuno сказал:

Тогда повторите сканирование и изучите записи в журнале KESL, где следует обратить внимание на параметры сканирования.

Здравствуйте!

Попробовали сделать так
(132 TaskId связана с отсканированным файлом, содержащим вирус)

sudo kesl-control -E --query -n 10 --json
  

{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:58:01",
   "EventId" : "9137",
   "EventType" : "TaskStateChanged",
   "Initiator" : "User",
   "PrevTaskState" : "Starting",
   "RuntimeTaskId" : "70",
   "SCTaskName" : "Scan_File_265d8f80-3fa2-4f6b-8079-84f0c98ef215",
   "TaskId" : "131",
   "TaskName" : "Scan_File_265d8f80-3fa2-4f6b-8079-84f0c98ef215",
   "TaskState" : "Started",
   "TaskType" : "ODS",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:58:01",
   "EventId" : "9138",
   "EventType" : "TaskStateChanged",
   "Initiator" : "Product",
   "PrevTaskState" : "Started",
   "RuntimeTaskId" : "70",
   "SCTaskName" : "Scan_File_265d8f80-3fa2-4f6b-8079-84f0c98ef215",
   "TaskId" : "131",
   "TaskName" : "Scan_File_265d8f80-3fa2-4f6b-8079-84f0c98ef215",
   "TaskState" : "Stopped",
   "TaskType" : "ODS"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:58:02",
   "EventId" : "9139",
   "EventType" : "TaskDeleted",
   "Initiator" : "User",
   "SCTaskName" : "Scan_File_265d8f80-3fa2-4f6b-8079-84f0c98ef215",
   "TaskId" : "131",
   "TaskName" : "Scan_File_265d8f80-3fa2-4f6b-8079-84f0c98ef215",
   "TaskType" : "ODS",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:59:20",
   "EventId" : "9140",
   "EventType" : "EventLogOpen",
   "Initiator" : "User",
   "Role" : "Admin",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:59:58",
   "DeviceNameMasks.item_0000" : "/**",
   "EventId" : "9141",
   "EventType" : "TaskCreated",
   "FirstAction" : "Recommended",
   "HeuristicLevel" : "Recommended",
   "Initiator" : "User",
   "ReportCleanObjects" : "No",
   "ReportPackedObjects" : "No",
   "ReportUnprocessedObjects" : "No",
   "SCTaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "ScanArchived" : "Yes",
   "ScanBootSectors" : "No",
   "ScanComputerMemory" : "No",
   "ScanFiles" : "Yes",
   "ScanMailBases" : "No",
   "ScanPlainMail" : "No",
   "ScanScope.item_0000.AreaDesc" : "All objects",
   "ScanScope.item_0000.AreaMask.item_0000" : "*",
   "ScanScope.item_0000.Path" : "/path/to/file.zip",
   "ScanScope.item_0000.UseScanArea" : "Yes",
   "ScanSfxArchived" : "Yes",
   "ScanStartupObjects" : "No",
   "SecondAction" : "Skip",
   "SizeLimit" : "0",
   "TaskId" : "132",
   "TaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "TaskType" : "ODS",
   "TimeLimit" : "0",
   "UseAnalyzer" : "Yes",
   "UseExcludeMasks" : "No",
   "UseExcludeThreats" : "No",
   "UseGlobalExclusions" : "Yes",
   "UseIChecker" : "Yes",
   "UseOASExclusions" : "Yes",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:59:58",
   "DeviceNameMasks.item_0000" : "/**",
   "EventId" : "9142",
   "EventType" : "TaskStateChanged",
   "FirstAction" : "Recommended",
   "HeuristicLevel" : "Recommended",
   "Initiator" : "User",
   "PrevTaskState" : "Stopped",
   "ReportCleanObjects" : "No",
   "ReportPackedObjects" : "No",
   "ReportUnprocessedObjects" : "No",
   "RuntimeTaskId" : "71",
   "SCTaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "ScanArchived" : "Yes",
   "ScanBootSectors" : "No",
   "ScanComputerMemory" : "No",
   "ScanFiles" : "Yes",
   "ScanMailBases" : "No",
   "ScanPlainMail" : "No",
   "ScanScope.item_0000.AreaDesc" : "All objects",
   "ScanScope.item_0000.AreaMask.item_0000" : "*",
   "ScanScope.item_0000.Path" : "/path/to/file.zip",
   "ScanScope.item_0000.UseScanArea" : "Yes",
   "ScanSfxArchived" : "Yes",
   "ScanStartupObjects" : "No",
   "SecondAction" : "Skip",
   "SizeLimit" : "0",
   "TaskId" : "132",
   "TaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "TaskState" : "Starting",
   "TaskType" : "ODS",
   "TimeLimit" : "0",
   "UseAnalyzer" : "Yes",
   "UseExcludeMasks" : "No",
   "UseExcludeThreats" : "No",
   "UseGlobalExclusions" : "Yes",
   "UseIChecker" : "Yes",
   "UseOASExclusions" : "Yes",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:59:58",
   "EventId" : "9143",
   "EventType" : "TaskStateChanged",
   "Initiator" : "User",
   "PrevTaskState" : "Starting",
   "RuntimeTaskId" : "71",
   "SCTaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "TaskId" : "132",
   "TaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "TaskState" : "Started",
   "TaskType" : "ODS",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:59:58",
   "EventId" : "9144",
   "EventType" : "TaskStateChanged",
   "Initiator" : "Product",
   "PrevTaskState" : "Started",
   "RuntimeTaskId" : "71",
   "SCTaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "TaskId" : "132",
   "TaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "TaskState" : "Stopped",
   "TaskType" : "ODS"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 16:59:59",
   "EventId" : "9145",
   "EventType" : "TaskDeleted",
   "Initiator" : "User",
   "SCTaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "TaskId" : "132",
   "TaskName" : "Scan_File_24bb21c2-1ffe-45ab-b797-53164fa4900b",
   "TaskType" : "ODS",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-24 17:00:11",
   "EventId" : "9146",
   "EventType" : "EventLogOpen",
   "Initiator" : "User",
   "Role" : "Admin",
   "UserId" : "0",
   "UserName" : "root"
}

 

durtuno

durtuno

Posted
Posted

С параметрами, вроде как, всё в порядке.

Как вариант, можно попробовать отсканировать тестовый архив "EICAR test file" в указанном расположении:

52 минуты назад, KeslControl сказал: 
"ScanScope.item_0000.Path" : "/path/to/file.zip"

По приведённому Вами выводу, можно предположить, что файл архива ничего вредоносного не содержит.

KeslControl

KeslControl

Posted
  • Author
Posted
17 часов назад, durtuno сказал:

С параметрами, вроде как, всё в порядке.

Как вариант, можно попробовать отсканировать тестовый архив "EICAR test file" в указанном расположении:

По приведённому Вами выводу, можно предположить, что файл архива ничего вредоносного не содержит.

Пробовали сделать таким образом, попытались проверить тестовый вирус
В кодах ответов получаем 0 с пропущенным одним объектом

Если ориентироваться на https://support.kaspersky.ru/kes-for-linux/12.1.0/264016 статус код 0 – команда / задача выполнена успешно. Должен ли файл с вирусом возвращать 0 и пропускаться (skipped) ?

image.thumb.png.723914834103785c005ef111f5cc5bc8.png

durtuno

durtuno

Posted
Posted
52 минуты назад, KeslControl сказал:

Должен ли файл с вирусом возвращать 0 и пропускаться (skipped) ?

Нет. Если файл вредоносный, то в событиях об этом будет указано.

  • Solution
durtuno

durtuno

Posted
  • Solution
Posted 
# kesl-control --scan-file /home/det/eicar.zip
Проверенные объекты             : 2
Всего обнаружено объектов       : 1
Зараженные и другие объекты     : 1
Вылеченные объекты              : 0
Помещено в резервное хранилище  : 1
Удаленные объекты               : 1
Невылеченные объекты            : 0
Ошибки проверки                 : 0
Объекты, защищенные паролем     : 0
Пропущено объектов              : 0
Спойлер 
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-25 14:51:23",
   "DeviceNameMasks.item_0000" : "/**",
   "EventId" : "282332",
   "EventType" : "TaskCreated",
   "FirstAction" : "Recommended",
   "HeuristicLevel" : "Recommended",
   "Initiator" : "User",
   "ReportCleanObjects" : "No",
   "ReportPackedObjects" : "No",
   "ReportUnprocessedObjects" : "No",
   "SCTaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "ScanArchived" : "Yes",
   "ScanBootSectors" : "No",
   "ScanComputerMemory" : "No",
   "ScanFiles" : "Yes",
   "ScanMailBases" : "No",
   "ScanPlainMail" : "No",
   "ScanScope.item_0000.AreaDesc" : "All objects",
   "ScanScope.item_0000.AreaMask.item_0000" : "*",
   "ScanScope.item_0000.Path" : "/home/det/eicar.zip",
   "ScanScope.item_0000.UseScanArea" : "Yes",
   "ScanSfxArchived" : "Yes",
   "ScanStartupObjects" : "No",
   "SecondAction" : "Skip",
   "SizeLimit" : "0",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskType" : "ODS",
   "TimeLimit" : "0",
   "UseAnalyzer" : "Yes",
   "UseExcludeMasks" : "No",
   "UseExcludeThreats" : "No",
   "UseGlobalExclusions" : "No",
   "UseIChecker" : "Yes",
   "UseOASExclusions" : "No",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-25 14:51:23",
   "DeviceNameMasks.item_0000" : "/**",
   "EventId" : "282333",
   "EventType" : "TaskStateChanged",
   "FirstAction" : "Recommended",
   "HeuristicLevel" : "Recommended",
   "Initiator" : "User",
   "PrevTaskState" : "Stopped",
   "ReportCleanObjects" : "No",
   "ReportPackedObjects" : "No",
   "ReportUnprocessedObjects" : "No",
   "RuntimeTaskId" : "102",
   "SCTaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "ScanArchived" : "Yes",
   "ScanBootSectors" : "No",
   "ScanComputerMemory" : "No",
   "ScanFiles" : "Yes",
   "ScanMailBases" : "No",
   "ScanPlainMail" : "No",
   "ScanScope.item_0000.AreaDesc" : "All objects",
   "ScanScope.item_0000.AreaMask.item_0000" : "*",
   "ScanScope.item_0000.Path" : "/home/det/eicar.zip",
   "ScanScope.item_0000.UseScanArea" : "Yes",
   "ScanSfxArchived" : "Yes",
   "ScanStartupObjects" : "No",
   "SecondAction" : "Skip",
   "SizeLimit" : "0",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskState" : "Starting",
   "TaskType" : "ODS",
   "TimeLimit" : "0",
   "UseAnalyzer" : "Yes",
   "UseExcludeMasks" : "No",
   "UseExcludeThreats" : "No",
   "UseGlobalExclusions" : "No",
   "UseIChecker" : "Yes",
   "UseOASExclusions" : "No",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-25 14:51:23",
   "EventId" : "282334",
   "EventType" : "TaskStateChanged",
   "Initiator" : "User",
   "PrevTaskState" : "Starting",
   "RuntimeTaskId" : "102",
   "SCTaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskState" : "Started",
   "TaskType" : "ODS",
   "UserId" : "0",
   "UserName" : "root"
},
{
   "AccessUser" : "root",
   "AccessUserId" : "0",
   "DangerLevel" : "Critical",
   "Date" : "2024-10-25 14:51:23",
   "DetectCertainty" : "Sure",
   "DetectDanger" : "High",
   "DetectName" : "EICAR-Test-File",
   "DetectSource" : "Local",
   "DetectType" : "Virware",
   "EventId" : "282335",
   "EventType" : "ThreatDetected",
   "FileName" : "/home/det/eicar.zip//eicar/eicar.com",
   "FileOwner" : "san",
   "FileOwnerId" : "10000",
   "FileSize" : "358",
   "Initiator" : "Product",
   "Md5Hash" : "44d88612fea8a8f36de82e1278abb02f",
   "ObjectId" : "2",
   "ObjectName" : "File",
   "RuntimeTaskId" : "102",
   "Sha256Hash" : "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskType" : "ODS",
   "UniqueFileId" : "63d9431b79086cf668bfb7f0f2ebeeca4c28717c59f08b67fcb177dd59ac12b0"
},
{
   "AccessUser" : "root",
   "AccessUserId" : "0",
   "DangerLevel" : "Critical",
   "Date" : "2024-10-25 14:51:23",
   "EventId" : "282336",
   "EventType" : "ObjectSavedToBackup",
   "FileName" : "/home/det/eicar.zip",
   "FileOwner" : "san",
   "FileOwnerId" : "10000",
   "FileSize" : "358",
   "Initiator" : "Product",
   "Md5Hash" : "44d88612fea8a8f36de82e1278abb02f",
   "ObjectId" : "2",
   "ObjectName" : "File",
   "RuntimeTaskId" : "102",
   "Sha256Hash" : "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskType" : "ODS",
   "UniqueFileId" : "a7098ecdb7217ade16cfc23258c386c1649b740c3698911610f1690dacb2813c"
},
{
   "AccessUser" : "root",
   "AccessUserId" : "0",
   "DangerLevel" : "Medium",
   "Date" : "2024-10-25 14:51:23",
   "EventId" : "282337",
   "EventType" : "ObjectNotDisinfected",
   "FileName" : "/home/det/eicar.zip//eicar/eicar.com",
   "FileOwner" : "san",
   "FileOwnerId" : "10000",
   "FileSize" : "358",
   "Initiator" : "Product",
   "Md5Hash" : "44d88612fea8a8f36de82e1278abb02f",
   "ObjectId" : "2",
   "ObjectName" : "File",
   "ObjectNotDisinfectedReason" : "NonCurable",
   "RuntimeTaskId" : "102",
   "Sha256Hash" : "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskType" : "ODS",
   "UniqueFileId" : "63d9431b79086cf668bfb7f0f2ebeeca4c28717c59f08b67fcb177dd59ac12b0"
},
{
   "AccessUser" : "root",
   "AccessUserId" : "0",
   "DangerLevel" : "Informational",
   "Date" : "2024-10-25 14:51:23",
   "EventId" : "282338",
   "EventType" : "ObjectDeleted",
   "FileName" : "/home/det/eicar.zip//eicar/eicar.com",
   "FileOwner" : "san",
   "FileOwnerId" : "10000",
   "FileSize" : "358",
   "Initiator" : "Product",
   "Md5Hash" : "44d88612fea8a8f36de82e1278abb02f",
   "ObjectId" : "2",
   "ObjectName" : "File",
   "RuntimeTaskId" : "102",
   "Sha256Hash" : "275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskType" : "ODS",
   "UniqueFileId" : "63d9431b79086cf668bfb7f0f2ebeeca4c28717c59f08b67fcb177dd59ac12b0"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-25 14:51:23",
   "EventId" : "282339",
   "EventType" : "TaskStateChanged",
   "Initiator" : "Product",
   "PrevTaskState" : "Started",
   "RuntimeTaskId" : "102",
   "SCTaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskState" : "Stopped",
   "TaskType" : "ODS"
},
{
   "DangerLevel" : "Informational",
   "Date" : "2024-10-25 14:51:23",
   "EventId" : "282340",
   "EventType" : "TaskDeleted",
   "Initiator" : "User",
   "SCTaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskId" : "104",
   "TaskName" : "Scan_File_b9eaa4d7-5fc9-4cd9-9b1d-b24073a1165e",
   "TaskType" : "ODS",
   "UserId" : "0",
   "UserName" : "root"
},

 

 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...