関連トピック
Gateway AntiVirus のトラブルシューティング
ネットワーク上のクライアントがウイルスに感染した場合、その発生理由を特定することが重要です。
- Gateway AntiVirus にはこのウイルスを検出するための署名がない
- 感染したファイルが Gateway AntiVirus によりスキャンされなかった
- Firebox デバイスが最新の署名セットをダウンロードしていなかった
Gateway AntiVirus のテスト
Gateway AV が適切なポリシーで有効になっていること、かつウイルスを検出できることを確認するために、EICAR テスト ツールを使用できます。このツールを入手するには、Eicar.org を参照してください。これを実行する方法の詳細については、WatchGuard ナレッジ ベースで EICAR テスト ファイルを使って Gateway AV をテストする を参照してください。
ウイルス署名
Gateway AntiVirus は、感染したファイルを検出するのに Bitdefender からの署名セットを使用します。ウイルスが検出されていない場合、またはウイルスが存在しないと思うファイルでウイルスが検出された場合は、偽陰性または偽陽性を報告し、ファイルを Bitdefender に送信して解析を受けることができます。
場合によっては、Bitdefender データベースに存在するウイルスが、Firebox により使用される署名セットに含まれていないことがあります。一部の Firebox モデルは、一般的なウイルスに的を絞ったより小規模な署名セットを使用しているため、すべてのウイルスを検出できない場合があります。詳細は、WatchGuard ナレッジ ベースの記事 Gateway AntiVirus 署名セットのサイズ を参照してください。
Gateway AntiVirus スキャンのログ メッセージを確認する
Firebox デバイスがログ データを Dimension システムまたは WatchGuard Log Server に送信するよう構成されている場合は、ログ データでファイル名を検索し、Firebox がそのファイルをスキャンしたかどうかを特定し、スキャン結果を確認することができます。
既定では、ウイルスが検出された場合、またはスキャン中にエラーが発生した場合にプロキシ ポリシーはイベントをすべてログに記録します。感染が検出されなかったファイルを含めて、すべてのプロキシ イベントをプロキシ ポリシーに記録させるには、プロキシ アクションで レポートのログ記録を有効にする チェック ボックスをオンにします。
Dimension でログ メッセージを検索する方法の詳細については、以下を参照してください:デバイス ログ メッセージを検索する。
ログ メッセージの例
このログ メッセージでは、HTTP プロキシが eicar.com という名前のファイルをスキャンし、ウイルスを検出しました。
Deny 2-Internal-traffic 4-External-traffic TCP 10.0.1.8 192.168.53.92 57525 80 msg="ProxyDrop: HTTP ウイルスが検出されました" proxy_act="HTTP-Client.1" virus="EICAR_Test" host="192.168.53.92" path="/viruses/eicar.com" (HTTP-proxy-00)
このログ メッセージは、Firebox デバイスで Gateway AntiVirus サービス が失敗したことを示しています。この問題のよくある原因は、署名セットが古すぎるか無効であることです。Fireware Web UI または Firebox System Manager の 登録サービス タブで Firebox System Manager で 登録サービス ダッシュボードをレビューし、Gateway AV が署名を更新できるかどうか、および最後の署名更新がいつダウンロードされたかを確認します。
Allow 1-Trusted 0-External tcp 10.0.1.2 8.25.35.115 51859 80 msg="ProxyAllow: HTTP AV スキャン エラー" proxy_act="HTTP-Client.3" error="AVG スキャナが作成されていません" host="api.yontoo.com" path="/LoadJS.ashx" (HTTP-proxy-00)
Firebox System Manager における登録サービスの詳細については、以下を参照してください:登録サービスの統計 (登録サービス)。
このログ メッセージはスキャンの失敗を示しています。これは、圧縮レベルが多すぎる .zip やその他の種類の圧縮ファイル、または暗号化されたファイルやその他の理由により開くことのできないファイルで発生する可能性があります。
Allow 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 39589 25 msg="ProxyLock: SMTP は Gateway AV スキャンを実行できません" proxy_act="SMTP-Outgoing.1" sender="[email protected]" recipients="wg@localhost" error="スキャン要求に失敗しました" filename="message.scr" (SMTP-proxy-00)
Gateway AntiVirus の電子メール ヘッダーを確認する
ユーザーが電子メールでウイルスを受信した場合、ファイルがスキャンされたかどうか、その結果がどうだったかを確認することができます。ウイルスが検出されたかどうかを示す、X-WatchGuard-AntiVirus: 'file.pdf' をスキャンしました。クリーン アクション=許可 に似たヘッダーを探します。
メッセージ ヘッダーを保存する方法の詳細については、WatchGuard ナレッジ ベースで 技術サポートに分析を求めるメッセージを送信する際に、元のメッセージ ヘッダーをどうすれば保存できますか? を参照してください。