Micro-Agent-Konfigurationen
In diesem Artikel werden die verschiedenen Arten von Konfigurationen beschrieben, die der Micro-Agent unterstützt. Kunden können den Micro-Agent so konfigurieren, dass er den Anforderungen ihrer Geräte und Netzwerkumgebungen entspricht.
Hinweis
Bei Defender for IoT soll der Micro-Agent am 1. August 2025 eingestellt werden.
Das Verhalten des Micro-Agents wird durch eine Reihe von Modulzwillingeigenschaften konfiguriert. Sie können den Micro-Agent so konfigurieren, dass er Ihren Anforderungen am besten entspricht. Sie können beispielsweise bestimmte Ereignisse deaktivieren, um den Stromverbrauch zu minimieren und andere Ressourcenauslastungen zu verringern.
Nach jeder Änderung der Konfiguration sendet der Collector sofort alle nicht gesendeten Ereignisdaten. Nachdem die Daten gesendet wurden, werden die Änderungen angewendet und alle Collectors werden neu gestartet.
Allgemeine Konfiguration
Definieren Sie die Häufigkeit, mit der Nachrichten für die einzelnen Prioritätsebenen gesendet werden. Alle Werte sind erforderlich.
Die Standwerte lauten wie folgt:
| Häufigkeit | Zeitraum (in Minuten) |
|---|---|
| Niedrig | 1440 (24 Stunden) |
| Mittel | 120 (2 Stunden) |
| Hoch | 30 (0,5 Stunden) |
Um die Anzahl der an die Cloud gesendeten Nachrichten zu verringern, sollte jede Priorität als ein Vielfaches der darunter liegenden Priorität festgelegt werden. Beispiel: Hoch: 60 Minuten, Mittel: 120 Minuten, Niedrig: 480 Minuten.
Die Syntax zum Konfigurieren der Häufigkeiten lautet wie folgt:
"CollectorsCore_PriorityIntervals" : "<High>,<Medium>,<Low>"
Beispiel:
"CollectorsCore_PriorityIntervals" : "30,120,1440"
Collector-Typen und -Eigenschaften
Konfigurieren Sie den Mikro-Agent mithilfe der folgenden collectorspezifischen Eigenschaften und Einstellungen:
Spezifische Einstellungen für den Baselinecollector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| Baseline_Disabled | True/False |
Deaktiviert den Basisplan-Collector. | False |
| Baseline_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der Baseline-Ereignisse gesendet werden sollen. | Low |
| Baseline_GroupsDisabled | Eine durch Komma getrennte Liste von Baselinegruppennamen. Beispiel: Time Synchronization, Network Parameters Host |
Definiert die vollständige Liste der Baselinegruppennamen, die deaktiviert werden sollen. | Null |
| Baseline_ChecksDisabled | Eine durch Komma getrennte Liste von Baseline-Prüf-IDs. Beispiel: 3.3.5,2.2.1.1 |
Definiert die vollständige Liste der Baseline-Prüf-IDs, die deaktiviert werden sollen. | Null |
Systeminformationscollector-spezifische Einstellungen
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| SystemInformation_Disabled | True/False |
Aktiviert den Collector für Systeminformationen. | False |
| SystemInformation_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, mit der Systeminformationsereignisse gesendet werden sollen. | Low |
| SystemInformation_HardwareVendor | Zeichenfolge | Dient zum Festlegen von Informationen zum Hardwareanbieter. | None |
| SystemInformation_HardwareModel | Zeichenfolge | Dient zum Festlegen von Informationen zum Modell. | None |
| SystemInformation_HardwareSerialNumber | Zeichenfolge | Dient zum Festlegen von Informationen zur Hardwareseriennummer. | None |
| SystemInformation_FirmwareVendor | Zeichenfolge | Dient zum Festlegen von Informationen zum Firmwareanbieter. | None |
| SystemInformation_FirmwareVersion | Zeichenfolge | Dient zum Festlegen von Informationen zur Firmwareversion. | None |
Spezifische Einstellungen für den SBoM-Collector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| SBoM_Disabled | True/False |
Deaktiviert den SBoM-Collector. | False |
| SBoM_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der SBoM-Ereignisse gesendet werden sollen. | Low |
Spezifische Einstellungen für den Heartbeat-Collector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| Heartbeat_Disabled | True/False |
Deaktiviert das Senden des Heartbeat-Ereignisses. | False |
| Heartbeat_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der Heartbeat-Ereignisse gesendet werden sollen. | Low |
Spezifische Einstellungen für den Anmelde-Collector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| Login_Disabled | True/False |
Deaktiviert den Anmelde-Collector. | False |
| Login_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der Anmeldeereignisse gesendet werden sollen. | Medium |
| Login_UsePAM | True/False |
Verwenden Sie ein PAM-Modul, um Anmeldeereignisse zu erfassen. Ohne PAM verwendet der Agent eine Kombination aus dem Lesen von UTMP und Syslog, um Anmeldeereignisse zu sammeln. Wenn das System UTMP oder Syslog nicht aktiviert hat, ist die Verwendung von PAM eine Option, erfordert jedoch eine zusätzliche Konfiguration, um ordnungsgemäß zu funktionieren. Weitere Informationen finden Sie unter Konfigurieren von PAM (Pluggable Authentication Modules) zum Überprüfen von Anmeldeereignissen | False |
Spezifische Einstellungen für das IoT Hub-Modul
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| IothubModule_MessageTimeout | Positive ganze Zahl, einschließlich Grenzwerten | Definiert, wie viele Minuten lang Nachrichten in der ausgehenden Warteschlange für den IoT Hub beibehalten werden sollen, bevor sie gelöscht werden. | 2880 (= 2 Tage) |
Spezifische Einstellungen für den Netzwerkaktivitätscollector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| NetworkActivity_Disabled | True/False |
Aktiviert den Collector für Netzwerkaktivität. | False |
| NetworkActivity_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, mit der Netzwerkaktivitätsereignisse gesendet werden sollen. | Medium |
| NetworkActivity_Devices | Eine durch Komma getrennte Liste der Netzwerkgeräte. Beispiel: eth0,eth1 |
Definiert die Liste der Netzwerkgeräte (Schnittstellen), die der Agent zum Überwachen des Datenverkehrs verwendet. Wenn ein Netzwerkgerät nicht aufgeführt ist, werden die Ereignisse für die Netzwerkrohdaten für das fehlende Gerät nicht aufgezeichnet. |
eth0 |
| NetworkActivity_CacheSize | Positive ganze Zahl | Die Anzahl der Netzwerkaktivitätsereignisse (nach der Aggregation), die zwischen Sendeintervallen im Cache gespeichert werden soll. Darüber hinaus werden ältere Ereignisse gelöscht (verloren). | 256 |
| NetworkActivity_PacketBufferSize | Positive ganze Zahl | Dient zum Konfigurieren der Puffergröße (in Bytes), die zum Erfassen von Paketen für ein einzelnes Gerät pro Richtung (ein- oder ausgehender Datenverkehr) verwendet wird. | 2097152 (=2MB) |
Spezifische Einstellungen für den Prozesscollector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| Process_Disabled | True/False |
Deaktiviert den Prozesscollector. | False |
| Process_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der Prozessereignisse gesendet werden sollen. | Medium |
| Process_PollingInterval | Positive Ganzzahl | Definiert das Abrufintervall in Mikrosekunden. Dieser Wert wird verwendet, wenn der Process_Mode sich im Polling-Modus befindet. |
100000 (= 0,1 Sekunden) |
| Process_Mode | 1 = Automatisch 2 = Netlink 3= Abruf |
Bestimmt den Modus des Prozesscollectors. Im Auto-Modus versucht der Agent zuerst, den Netlink-Modus zu aktivieren. Wenn das fehlschlägt, führt er automatisch ein Fallback durch oder wechselt in den Abrufmodus. |
1 |
| Process_CacheSize | Positive ganze Zahl | Die Anzahl der Prozessereignisse (nach der Aggregation), die zwischen Sendeintervallen im Cache gespeichert werden soll. Darüber hinaus werden ältere Ereignisse gelöscht (verloren). | 256 |
Spezifische Einstellungen für den Protokollsammler
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| LogCollector_Disabled | True/False |
Deaktiviert den Protokollsammler. | False |
| LogCollector_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der Protokollereignisse gesendet werden sollen. | Low |
Spezifische Einstellungen für den Dateisystem-Collector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| FileSystem_Disabled | True/False |
Deaktiviert den Dateisystem-Collector. | False |
| FileSystem_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der Dateisystemereignisse gesendet werden sollen. | Low |
| FileSystem_Recursive | True/False |
Wenn diese Einstellung auf „true“ festgelegt ist, werden alle Verzeichnisse unter dem angegebenen Pfad überwacht. | True |
| FileSystem_Paths | Zu überwachende Pfade. Beispiel: /path/to/monitor, /another/path/to/monitor |
Definiert, welche Pfade überwacht werden sollen (es können mehrere Pfade überwacht werden). | Null |
| FileSystem_CacheSize | Positive ganze Zahl | Die Anzahl von Dateisystemereignissen (nach der Aggregation), die zwischen Sendeintervallen zwischengespeichert werden sollen. Darüber hinaus werden ältere Ereignisse gelöscht (verloren). | 256 |
Spezifische Einstellungen für den Peripherie-Collector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| Peripheral_Disabled | True/False |
Deaktiviert den Peripherie-Collector. | False |
| Peripheral_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der Peripherieereignisse gesendet werden sollen. | Low |
| Peripheral_CacheSize | Positive ganze Zahl | Die Anzahl von Peripherieereignissen (nach der Aggregation), die zwischen Sendeintervallen zwischengespeichert werden sollen. Darüber hinaus werden ältere Ereignisse gelöscht (verloren). | 256 |
Spezifische Einstellungen für den Statistik-Collector
| Einstellungsname | Einstellungsoptionen | Beschreibung | Standard |
|---|---|---|---|
| Statistics_Disabled | True/False |
Deaktiviert den Statistik-Collector. | False |
| Statistics_MessageFrequency | Low/Medium/High |
Definiert die Häufigkeit, in der Statistikereignisse gesendet werden sollen. | Low |
| Statistics_CacheSize | Positive ganze Zahl | Die Anzahl von Statistikereignissen (nach der Aggregation), die zwischen Sendeintervallen zwischengespeichert werden sollen. Darüber hinaus werden ältere Ereignisse gelöscht (verloren). | 256 |
Nächste Schritte
Weitere Informationen finden Sie unter