Secret Net Studio: устранение проблемы с заполнением диска — очистка логов, настройка ротации Проблема с неконтролируемым ростом потребления дискового пространства агентом Secret Net Studio (разработчик «Код Безопасности») обычно связана с накоплением журналов аудита, резервных копий политик/ключей, файлов карантина или некорректной настройкой ротации. Ниже приведён подробный, безопасный и соответствующий требованиям ИБ гайд по диагностике и устранению проблемы.

Важно:

• Не удаляйте файлы продукта вручную через Проводник или командную строку. Это может нарушить целостность модулей защиты, привести к потере ключей шифрования или отказу агента. Все действия выполняйте через консоль администратора или штатные утилиты.

---

Шаг 1. Локализация файлов, занимающих пространство

1. Запустите утилиту анализа диска (например, TreeSize Free, WinDirStat или встроенный «Анализатор хранилища» в Windows 10/11).
2. Отсканируйте системный диск.

Обратите внимание на папки:

• C:\ProgramData\CodeSecurity\SecretNetStudio\ (или ...\SecretNet\)
• C:\Program Files\Secret Net Studio\
• C:\Windows\Temp и %TEMP% (могут содержать временные файлы установки/обновления)

3. Ищите подпапки с названием Logs, Audit, Backup, Quarantine, Cache, Temp, Database.
4. Зафиксируйте объём и дату последнего изменения наиболее крупных файлов.

---

Шаг 2. Определение источника роста

Источник	Как проявляется	Где проверить
Журналы аудита/отладки	Файлы .log, .evt, .csv размером от сотен МБ до ГБ	Консоль → Политики → Журналирование → Уровень детализации
Резервные копии	Папки Backup, KeysBackup, PolicySnapshots	Консоль → Агент → Резервное копирование
Карантин	Заблокированные файлы, образы устройств	Консоль → Управление устройствами/Контроль приложений → Карантин
Локальная БД агента	Файлы .db, .sqlite, .edb в ProgramData	Проверка через services.msc → служба SecretNetAgent

---

Шаг 3. Настройка ротации и лимитов (через консоль администратора)

1. Откройте Secret Net Studio Console (локально или централизованно).
2. Перейдите в Настройки агента → Журналирование (или Аудит → Параметры хранения).

3. Установите рекомендуемые значения:

• Максимальный размер файла журнала: 50–100 МБ
• Количество архивных ротированных файлов: 3–5
• Уровень детализации: Информация или Предупреждения (не Отладка/Verbose без задачи расследования)
• Автоматическая очистка: Включить

4. Для журналов резервных копий:

• Установите лимит хранения: 7–30 дней (в зависимости от регламента ИБ)
• Включите шифрование архивов перед удалением старых копий

5. Примените политику к целевому узлу и дождитесь синхронизации агента.

Примечание:

• Если доступ к консоли ограничен, настройки могут наследоваться от групповой политики или сервера управления. Уточните у ответственного за ИБ.

---

Шаг 4. Безопасная очистка накопленных данных

1. Журналы:

• Консоль → Обслуживание → Очистка журналов агента → Выберите период → Выполнить.

2. Карантин:

• Контроль устройств/Приложений → Карантин → Отфильтруйте по дате → Удалите только те записи, которые не требуют сохранения для расследования.

3. Резервные копии:

• Оставьте последние 2–3 актуальных бэкапа политик и ключей. Старые копии перенесите на внешний носитель или сетевое хранилище, затем удалите через интерфейс.

4. Временные файлы:

• Остановите службу SecretNetAgent → Очистите C:\Windows\Temp и %TEMP% → Перезапустите службу. (Только если файлы не заблокированы процессом агента).

---

Шаг 5. Обновление и проверка на известные проблемы

1. Проверьте текущую версию: Панель управления → Программы и компоненты или about в консоли.

2. В версиях до 8.5 встречались баги с:

• Неочищаемыми кэшами модуля контроля съёмных носителей
• Дублированием записей в Audit.log при конфликте с групповыми политиками Windows

3. Установите последние накопительные обновления с официального портала support.code.ru (или через сервер управления).

4. Проверьте совместимость:

• Не установлено ли несколько агентов ИБ одновременно (например, Касперский, Dr.Web, Dallas Lock) → возможны циклические события и рост логов.
• Включён ли Windows Defender Real-time Protection на исключениях C:\ProgramData\CodeSecurity\ → конфликт сканирования может вызывать временные дампы.

Шаг 6. Диагностика и обращение в поддержку

Если проблема не решена:

1. Запустите штатную утилиту диагностики (обычно SNDiag.exe или SecretNetDiagnostic.exe в папке установки).
2. Соберите пакет: логи агента, дамп политик, версию ОС, список установленного ПО ИБ.

3. Проверьте журнал событий Windows:

• eventvwr.msc → Журналы приложений и служб → Code Security / Secret Net Studio → ищите ошибки 0x8007xxxx или Event ID 1001/1002.

4. Откройте заявку в техподдержке «Код Безопасности» с приложением диагностического архива.

Укажите:

• Версию Secret Net Studio
• Версию ОС и билд
• Скриншоты заполнения диска и настроек ротации
• Шаги, которые уже выполнены

---

Профилактика и мониторинг

Мера	Реализация
Автоматический мониторинг	PowerShell-скрипт, проверяющий размер ProgramData\CodeSecurity\ и отправляющий алерт при >5 ГБ
Оповещение о заполнении	Настроить порог 85% в Zabbix/PRTG/SCOM или через Get-Volume + Task Scheduler
Выделенный том	При развёртывании новых узлов выделять отдельный раздел под логи агента (монтируется через mklink /D)
Регламент очистки	Включить в ИБ-политику ежемесячную ротацию карантина и архивирование бэкапов

---

Критические предупреждения

• Не отключайте журналирование полностью. Это нарушает требования ФСТЭК (Приказ № 21, № 17) и № 152-ФЗ.
• Не удаляйте файлы *.key, *.pfx, policy.db, agent.cfg вручную.
• Все операции по очистке согласовывайте с ответственным за информационную безопасность.
• Перед изменением политик создайте точку восстановления системы и бэкап конфигурации агента.