こんばんわ、ちま夫です。
仕事でSymantec Endpoint Protectionを使用しているのですが、先日ユーザーのPCを対応していて気が付きました。備忘録として記載します。
※環境はSEP14です
症状
1台のPCで数十個のリスクが検知されたのに、単一リスクイベント通知メールが1通しか送信されていない。もっと沢山のメール通知があっても良いのでは?
==2019/2/22追記==
SEP-Mサーバーでクライアントのウィルスログを表示する方法を書きましたので、よろしければ参照ください。
原因
Symantec Endpoint Protectionの仕様でした。(正常動作でした)
単一リスクイベント通知はイベント毎で通知するための機能ではなく、リスクイベントが発生したことを管理者にリマインドのための機能です。
単一リスクイベント通知には「ダンパー間隔」と言う設定値があり、初期値は「自動(15分)」となっています。
どう言う動きをするかと言うと、 「ダンパー間隔:15分」の場合、15分間以内に複数個のリスクイベントが発生しても、通知メールが1通のみで、メールに記載されているイベント情報も1つのみとなります。
ダンパー間隔設定可能値
以下の設定値から選択可能。
自動(15分):初期値
1分
20分
30分
1時間
1.5時間
2時間
3時間
5時間
10時間
ダンパー間隔値の設定画面
ダンパー設定値までの画面を記載します。
【画面-1】
【画面-2】
【画面-3】
シマンテック・テクニカルサポートより
テクニカルサポートへのリンクを記載します。
通知のしくみ
https://support.symantec.com/ja_JP/article.HOWTO80773.html
SEPM で通知のダンパーを [自動] に設定した時のダンパー間隔について
https://support.symantec.com/ja_JP/article.TECH96877.html