🐢

C1WS環境でのリアルタイムスキャンによるディスク負荷と対策

に公開
c1ws
workloadsecurity
リアルタイムスキャン
iowait
除外設定
tech

事象

C1WS(Trend Micro Cloud One Workload Security)が導入されているサーバーにて、大量のファイルコピー・更新を行うスクリプトを実行したところ、処理時間が想定以上にかかるという事象が発生しました

原因

処理実行中のサーバーのリソース状況を確認したところ、CPU使用率の上昇とディスクI/O待ち(iowait)の増加が見られました
さらに、C1WSのリアルタイムスキャンプロセスが多くのリソースを消費しており、スクリプトによる大量のファイルアクセスに反応していることがわかりました
スクリプトのファイル操作にリアルタイムスキャンが逐次反応し、ディスクI/Oを圧迫していたことが原因と考えられました

対応

試しにリアルタイムスキャンを一時停止したところ、CPU使用率とiowaitは大幅に改善し、スクリプトは短時間で正常に完了しました
このことから、リアルタイムスキャンの影響が処理遅延の主要因であることが確認できました

考察:どうすればよかったか

今回のケースでは、リアルタイムスキャンが処理対象のディレクトリ内ファイルに反応し続けたことがボトルネックになっていました

対応策としては以下が考えられます

  • 処理中はリアルタイムスキャンを停止
    • 一時的に停止することで I/O 負荷を抑えて処理時間を短縮可能
    • ただし停止中はセキュリティリスクがあるため、本番環境では慎重な判断が必要
  • リアルタイムスキャン除外設定を活用
    • スクリプトが大量に読み書きするディレクトリを除外対象に設定

C1WSで除外設定を行う方法はこちら
不正プログラム検索の設定

まとめ

C1WS環境では、リアルタイムスキャンが大量アクセスされるファイルやディレクトリに反応し、ディスクI/Oを圧迫することがあります
対応策としてはリアルタイムスキャンの一時停止や除外設定が有効です

本記事が、同様の事象に直面した方の参考になれば幸いです

Discussion