CAVA設定のベストプラクティス

What are the best practices for Celerra virus checkingというタイトルのナレッジベース9796（emc62326）が公開されているために、最新の情報については当該ナレッジベースを参照してください。

【参考】
2014年7月時点の記載（の日本語訳）は以下の通りです。

接続形態

1. サポートされる構成には最低でも2台のウィルスチェックに特化したAVサーバが必要です。これはアクセス性、冗長性、及び負荷分散のために必要とされます。それぞれのAVサーバーにCAVAライセンスが必要です。ベースCAVAパッケージには2つのライセンスが含まれています。追加のライセンスは必要に応じて購入可能です。
2. AVエンジン（サードパーティのウィルスチェックソフトウェア）ベンダーが環境における最初のサイジングを行うべきです。高負荷な環境においては追加でAVエンジンが必要となるかもしれません。実際に必要とされるAVサーバーの数はそれぞれの環境により異なります。これは例えば共有に同時にアクセスするユーザー数、AVサーバのハードウェアスペック、LAN接続環境、ピーク時のユーザの利用状況、ウィルスチェックを必要とするCIFSユーザーのアクティビティ等に依存します。それぞれの環境に必要とされるAVサーバーの理想数の決定に関するアシスタントとして利用可能な、CAVAサイジングツールに関する情報についてはEMCの窓口に確認してください。
3. 最適なパフォーマンスとプロダクション環境への最小限の影響を実現するために、（ウィルスチェックに）特化したネットワーク接続環境を準備することを推奨します。
4. CIFSユーザーやデータムーバーへの負荷が増えた場合には、追加のAVサーバーの必要性について考慮してください。

ウィルスチェッカー構成ファイルに関する考察
（データムーバー内にviruschecker.confというファイル名で存在しています）

1. 常にウィルスチェックソフトウェアベンダーと相談し、どのようなファイルタイプがリアルタイムネットワークスキャンを行うことが出来ない/するべきではないのかを決定し、そのワークアラウンドについても確認してください。
2. mask=パラメータはウィルスチェックのパフォーマンスに大きなインパクトを与えます。mask=*.*の設定を行うと全てのファイルをスキャンすることになるために、利用することはお勧めできません。ウィルスに侵されることがない多くのファイルタイプがあるために、mask=*.*は効率的な設定ではありません。ほとんどのAVエンジンは全てのファイルタイプをスキャンすることはありません。また、不明な拡張子を持つファイルのスキャンはファイル全体に対しておこなわれるために、より多くのネットワーク帯域と資源を必要とします。
3. .pstや類似のコンテナファイルについては、Celerra AV機能のスキャンキューから外しておくことをお勧めします。McAfeeとSymantecはOutlookの.pstファイルをスキャンせず、それらのファイルをスキャン対象から外しておくことを推奨しています。これは他のAVプロダクトに対しても当てはまります。
4. リアルタイムスキャンをデータベースに対して行うことはお勧めできません。データベースへのアクセスは通常多くのスキャンを引き起こし、大きな遅延発生の原因となります。データベースファイルがウィルスに感染していないかを確認するためには、データベースが利用されていない時間にスケジュールによる定期的なウィルススキャンの実行を行うべきです。スキャンのスケジューリングはAVエンジンを介して行うことが出来ます。ナレッジベース5270に排除（exclude）するべき拡張子に関する情報があります。
5. ほとんどのウィルスチェクソフトウェアベンダーはリアルタイムネットワークスキャンから圧縮/アーカイブファイルを外すことを推奨しています。圧縮/アーカイブファイルのスキャンには多くのシステムリソースが必要となります。圧縮/アーカイブファイルをスキャンするためには、AVソフトウェアは一時領域に一旦ファイルを展開しなくてはならず、この処理に伴いRAM、ディスクスペース、CPUを必要とし、サーバー全体のパフォーマンス低下を引き起こします。完全なネットワークAVソリューションにおいては、感染したファイルは圧縮/アーカイブファイル「へ」、もしくは「から」の追加、移動、起動に伴い発見されます。この実現には複数階層のアンチウィルスアプローチ（つまり、サーバーべースのファイルスキャン、デスクトップスキャン等）の必要性が強調されます。
6. サードーパーティーのAVパッケージにより、圧縮や何重にもZip化されたファイルコンテンツのネットワーク共有に関するリアルタイムスキャンのサポート有無は異なります。もしもベンダーが圧縮ファイルや何重にもZip化されたファイルのスキャンをサポートしていない場合や、圧縮ファイルのスキャン機能が有効化されていない場合には、それらのファイルはスキャン対象から外すべきです。
7. マイクロソフトExcelやProjectソフトウェアとウィルスチェックソフトウェアとの互換性に関する既知事象により、排除（exclude）リストの修正が必要となるでしょう。これはファイルを保存や編集した際に作成される8文字の一時ファイルのタイミング問題やデッドロック問題を避けるために必要です。詳細はナレッジベース24281に記載があります。
8. 最大限の保護を得るためには、ウィルスチェックソフトウェアベンダーは実行可能なファイル、及び実行可能なコードを含むファイルへのスキャンを提案します。最大限のパフォーマンスとネットワーク帯域の軽減のためには、実行可能なコードが入っていないファイルタイプは対象外としなければなりません。常にウィルスチェックソフトウェアベンダーと最新の情報を元に相談をしてください。viruschecker.confファイルのshutdown=設定に関してはshutdown=virus checkingをお勧めします。これはデータムーバーで動作しているVCクライアントが定期的に行っているポーリング処理によるAVサーバーの死活確認において、オンラインのAVサーバーが一つも見つからなかった際に実行するアクションを決めるものです。このアクションが実行された時にはそのことを通知し、AVサーバーを再度機能させるためにアラートが構成されているべきです。ウィルスチェックサービスがオフラインである間にサーバーの保護を行うために手動によるスキャンや最初の読み込み時のスキャン機能（first read feature）を利用してください。これは一つも利用可能なAVサーバーが存在していない時にウィルスチェックを継続するために推奨されます。もしも全てのAVサーバーが長い間オフラインになると、ウィルスチェックの条件に合うファイルタイプはAVサーバーがオンラインになるまでキュー内で待たされます。それらキュー内のファイルはスキャンが成功するまでは、ユーザーに対してロックされます。それぞれのスキャンはデータムーバー内の一つのスレッドと紐付けられるために、ある一定の時間を経て最終的にはデータムーバー内のスレッドを枯渇させることがあります。
   注意：オンラインステータスとはデータムーバー内のVCクライアント、CAVA、AVサーバー内で動いてるサードパーティのウィルスチェックソフトウェア間の通信が問題なく行われていることを示唆しています。ある特定時のAVサーバーの状態確認を行うためには、server_viruschk server_xコマンドが利用できます。
9. RPCRequestTimeoutはAVエンジンにおけるscan timeout設定よりも高く設定されるべきです。

AVサーバー ワークステーション

1. データムーバーでウィルスチェック対象の条件を満たしているファイルタイプが全てAVサーバーでチェックできることを確認します。サードーパーティウィルスチェックのファイルタイプスキャンと排除（exclude)設定はviruschecker.confファイルの設定と整合性をもたせるべきです。また、データムーバーのVCクライアントはAVサーバーのウィルスチェックソフトウェアがスキャン対象としていないファイルタイプについてはスキャンリクエストを依頼しないように設定するべきです。
2. AVサーバーはCAVAの利用のみに使われるべきです。AVサーバーではドメインコントローラー、DNS、WINS、バックアップサーバー、CIFSクライアント等他のWindowsサービスの利用は行うべきではありません。
3. AVサーバーでは1種類のみのサードパーティウィルスチェックソフトウェア製品を動作させるべきです。
4. CAVAサービスをスタートする際のAVサーバ用のドメインアカウントのパスワードは期限切れを起こさないように設定されるべきです。CAVAとCAVAサーバーのサードパーティソフトウェアサービス群は必ずAVユーザードメインアカウントを利用してスタートし、ローカルアドミンやAVユーザーアカウントは利用しないでください。
5. もしもAVサーバーがAVベンダーの提供するグループポリシー管理ソフトウェアパッケージによって管理されている場合、そのAVサーバーは標準のワークステーション設定とは別に、ユーザー、パーミッション、CAVAを利用したCelerraウィルスチェックに必要とされるスキャンオプションなどの保護を行うためのポリシーに従い管理されるべきです。
6. AVサーバーはコピーや概念実証試験のスキャン用に使用されるべきではありません。これらの試験はクライアント側のみで実施されるべきです。
7. もしも1台のAVサーバーが一時的に、もしくは完全に排除された場合、そのIPアドレスはCAVAサービスをシャットダウンする前にviruschecker.confファイルから削除されるべきです。
8. NICチーミングを利用する場合には注意してください。もしも間違えた構成になっていると、「packet reflect」というCelerraのデフォルト構成の動作を適切に行えなくなります。正しいNICチーミング構成の詳細についてはナレッジベース14200を参照してください。
9. 「Dual-homed」なAVサーバーはサポートされていません。「dual-homed」サーバーは複数のインタフェースを持ち、1つのホスト名に対して2つ以上のIPアドレスをDNSに登録しています。技術的には可能なのですが、我々はviruschecker.confファイルに2つ目のIPアドレスを登録することは推奨していません。CAVAはそれぞれのIPアドレスを異なったAVエンジンとみなし、それにより特定のワークステーションが倍の負荷を受けることになります。

データムーバーに関する考察

1. CIFSの設定は問題なく行われ、テストされ、ウィルスチェックを開始する前にちきんと動作しているべきです。実際にプロダクションサイトに対してCelerraウィルスチェックを使用する前に、データムーバーに対してプロダクションサイトにかかるであろう負荷をかけてみて、そのサイト環境に適した構成になっているのかをテストしてください。
2. 常にCIFSに利用されているスレッド数が、ウィルスチェッカーに利用されているスレッド数よりも大きいことを確認してください。
3. EMCの開発部門や上級エンジニアからの指示がない限り、maxVCThreads=パラメーターの変更は行わないでください。
4. VirusCheckerは標準のCIFSサーバーを利用している物理データムーバーにのみ構成することが可能でCIFS VDM（バーチャルデータムーバー）サーバーに対しては構成できません。その理由は物理データムーバーのrootのみがウィルスチェック処理に利用されるCHECK$シェアをホスト可能だからです。

その他の考察

1. VC: highwater mark reached (peak activity)エントリがserver_logやsystem log（/nas/log/sys_log）にあるかををモニターします。これらのメッセージはAVサーバーの追加必要性を示唆するものかもしれません。
2. Celerraウィルスチェック機能に加えて、Celerraの共有に対してリアルタイムネットワークスキャンを行わないようにします。CelerraのCIFS共有に対してはクライアントのAVスキャンは無効にしておくべきです；そうしないと共有違反やパフォーマンス低下などを引き起こすことがあります。
3. ウィルスチェッカーはマイグレーション時には無効にしておかなければなりません。ファイルはマイグレーション前、もしくはマイグレーション後にスキャンされるべきです。ウィルスチェッカーソリューションは問題のないファイルシステムに対して開始されることを想定しています。