CES et logiciels antivirus

Coveo Enterprise Search (CES) a très peu de chances d'être infecté ou de contribuer à la propagation de virus informatiques ou d'autres programmes malveillants. L'analyse de fichiers d'index Coveo pour trouver des virus est possible, mais très certainement inutile.

Si la politique de réduction des menaces de votre organisation exige l'analyse de fichiers d'index CES pour trouver des virus, CES et les opérations de logiciel antivirus doivent être prudemment coordonnés pour empêcher les problèmes importants décrits ci-dessous.

Considérations CES/Virus

Les documents que les connecteurs Coveo téléchargent à partir de référentiels indexés vers le serveur maître de Coveo sont enregistrés en fichiers .tmp pendant qu'ils sont indexés. Ces fichiers .tmp sont des tampons de disque compressés qui sont enregistrés dans le dossier temporaire de l'index (habituellement D:\CES7\Temp), mais peut également être en partie RAM. Une fois indexés, les documents téléchargés sont supprimés des fichiers ou de la mémoire temporaire(s). Dans l'index, le contenu des documents téléchargés est déconstruit seulement afin de retenir les termes qu'ils contiennent et leur position. Le HTML en cache ou l'Aperçu rapide généré pour des documents qui ne sont pas en HTML sont enregistrés dans un format compressé.

Si un document téléchargé devait être infecté, la signature du virus ne pouvait être détectée, sauf si le fichier était décompressé. Les documents téléchargés ne sont pas exécutés afin qu'un virus ne soit pas activé.

Avec son système d'enregistrement à deux phases de l'index, CES crée et supprime constamment des fichiers temporaires et de transaction. Un processus externe tel qu'un antivirus peut bloquer ces opérations en conservant un verrou sur les fichiers analysés. CES effectue quelques nouvelles tentatives sur des fichiers verrouillés afin d'empêcher ou de minimiser les interférences, mais il y aura encore des cas avec des problèmes.

Les fichiers d'index sont des fichiers binaires de format propriétaire, un peu comme un fichier de base de données. Habituellement, ils sont de taille élevée. Ils sont constamment modifiés en cours d'indexation. Des modifications peuvent se produire à tout endroit dans le fichier, non seulement à la fin. Un logiciel antivirus va souvent exiger une nouvelle analyse complète de ces fichiers modifiés et ainsi interférer avec les processus de CES.

Il y a une très petite chance qu'un fichier CES compressé puisse aléatoirement générer un modèle qui correspond à une signature de virus. Dans un tel cas, la détection d'un virus serait un faux positif.

CES conserve une quantité suffisante d'informations dans diverses caches mémoires. Un processus d'analyse de mémoire antivirus peut être exécuté dans un serveur Coveo dans la mesure où il ne verrouille, modifie ou supprime pas du contenu de mémoire utilisé par CES.

Interférences possibles

Le tableau suivant présente les types possibles d'interférences qu'une analyse antivirus peut avoir sur CES.

Opération de logiciel antivirus	Impact possible sur CES	Résolution
Analyse de fichiers d'index	Performances réduites	Aucun
Blocage de l'accès de CES à des fichiers d'index	Crash Désynchronisation de miroir	Redémarrez CES Synchronisez le miroir
Modification, suppression ou mise en quarantaine d'un fichier d'index	Corruption de l'index	Régénérez l'index au complet

Recommandations

Face aux considérations et possibles interférences ci-dessus, nos recommandations sont :

Lorsque possible, excluez le dossier [Index_Path] (habituellement D:\CES7) de vos processus d'analyse antivirus.
Sinon, prenez en considération l'une des deux solutions suivantes :
- Analyse de fichiers Coveo lorsque l'index est en mode lecture seulement
- Analyse de fichiers Coveo lorsque le service CES est interrompu
Important : Si vous choisissez de scanner des fichiers de Coveo pour trouver des virus, votre processus antivirus ne doit jamais automatiquement modifier, supprimer, déplacer ou placer en quarantaine un fichier d'index Coveo. Si un fichier d'index Coveo s'avère être infecté, vous devez, avant d'effectuer l'une de ces opérations sur le fichier, contacter Coveo Support afin d'empêcher l'arrêt de CES ou, bien pire, la corruption de l'index.

Analyse de fichiers Coveo lorsque l'index est en mode lecture seulement

Vous pouvez analyser la plupart des fichiers d'index Coveo (pas tous) pour détecter des virus lorsque l'index est en mode lecture seulement.

Pour chaque serveur Coveo, respectez les directives suivantes pour configurer vos analyses antivirus :
- N'analysez jamais les sous-dossiers d'index Coveo suivants, même si l'index Coveo est en mode lecture seulement (CES peut toujours modifier leur contenu et le processus d'analyse entraîne des interférences) :
  - [Index_Path]\Temp
  - [Index_Path]\Log
- Vous devriez effectuer une analyse antivirus qui n'inspecte que le sous-dossier d'index Coveo suivant tandis que l'index est en mode lecture seulement :
  - [Index_Path]\Config
  - [Index_Path]\Index
  Cette analyse sera plus courte, sa durée plus prévisible, et ainsi plus facile à coordonner avec les changements de mode de l'index.
- Retirez les fichiers d'index Coveo de toutes les autres analyses.
Manuellement ou automatiquement avec un horaire, placez l'index Coveo en mode lecture seulement (voir Choix entre les modes lecture/écriture et lecture seulement pour l'index).

Note : Pensez à utiliser un horaire système CES pour automatiser le basculement du mode de l'index (voir Modification d'horaires de système).
Confirmez que l'index Coveo a complété les opérations en attente et a changé le mode à lecture seulement (voir Outil d'administration - Menu Détails).
Manuellement ou automatiquement avec un horaire, démarrez l'analyse du serveur Coveo.

Note : Lorsque le changement de mode de l'index Coveo est prévu, évaluez le temps typiquement nécessaire pour que votre index Coveo passe en mode lecture seulement, et reportez le début de l'analyse en conséquence.
Confirmez que l'analyse antivirus est complétée et inspectez les résultats.

Important : Si votre antivirus détecte des fichiers d'index Coveo qui doivent être modifiés, déplacés ou supprimés, contactez Coveo Support avant d'effectuer l'une de ces opérations afin de vérifier l'impact de telles interférences avec CES et obtenir les étapes de récupération nécessaires.
Manuellement ou automatiquement avec un horaire, placez l'index Coveo en mode lecture-écriture (voir Choix entre les modes lecture/écriture et lecture seulement pour l'index).

Note : Lorsque le changement de mode de l'index Coveo est prévu, évaluez le temps typiquement nécessaire pour effectuer l'analyse, et reportez le retour de l'index Coveo en mode lecture-écriture en conséquence.

Analyse de fichiers Coveo lorsque le service CES est interrompu

Si votre déploiement Coveo contient des miroirs à charge balancée, vous pouvez éteindre le service CES sur un miroir afin d'analyser tous ses fichiers d'index Coveo, tandis que les autres miroirs continuent de fournir des résultats de recherche.

Retirez le serveur Coveo que vous souhaitez analyser du groupe à charge balancée.
Sur ce serveur Coveo, interrompez le service CES (voir Arrêt du service CES).
Effectuez l'analyse sur les fichiers d'index Coveo.
Confirmez que l'analyse antivirus est complétée et inspectez les résultats.

Important : Si votre antivirus détecte des fichiers d'index Coveo qui doivent être modifiés, déplacés ou supprimés, contactez Coveo Support avant d'effectuer l'une de ces opérations afin de vérifier l'impact de telles interférences avec CES et obtenir les étapes de récupération nécessaires.
Redémarrez le service CES (voir Démarrage du service CES).
Replacez l'index dans le groupe à charge balancée.

Obtenez des réponses à vos questions sur answers.coveo.com.

Communauté