マイクロ エージェントの構成
この記事では、マイクロ エージェントでサポートされるさまざまな種類の構成について説明します。 お客様は、デバイスとネットワーク環境のニーズに合わせてマイクロ エージェントを構成できます。
Note
Defender for IoT は、2025 年 8 月 1 日にマイクロ エージェントを廃止する予定です。
マイクロ エージェントの動作は、一連のモジュール ツイン プロパティによって構成されます。 ニーズに合わせて最適になるように、マイクロ エージェントを構成できます。 たとえば、電力消費を最小限に抑えるために特定のイベントをオフにし、他のリソース使用量を減らすことができます。
構成を変更すると、未送信のイベント データがコレクターによってすぐに送信されます。 データが送信されると、変更が適用されます。また、必要に応じてコレクターが再起動されます。
全般構成
各優先度レベルに対してメッセージを送信する頻度を定義します。 すべての値が必須です。
既定値は次のとおりです。
| 頻度 | 期間 (分単位) |
|---|---|
| 低 | 1440 (24 時間) |
| 中 | 120 (2 時間) |
| 高 | 30 (0.5 時間) |
デバイスのリソース消費を減らすには、各優先度をその下の優先度の倍数として設定するようにします。 例: 高: 60 分、中: 120 分、低: 480 分。
頻度を構成するための構文は次のとおりです。
"CollectorsCore_PriorityIntervals" : "<High>,<Medium>,<Low>"
次に例を示します。
"CollectorsCore_PriorityIntervals" : "30,120,1440"
コレクターの種類とプロパティ
次のコレクター固有のプロパティと構成を使って、マイクロ エージェントを構成します。
ベースライン コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| Baseline_Disabled | True/False |
ベースライン コレクターを無効にします。 | False |
| Baseline_MessageFrequency | Low/Medium/High |
ベースライン イベントを送信する頻度を定義します。 | Low |
| Baseline_GroupsDisabled | コンマで区切られたベースライン グループ名の一覧。 例: Time Synchronization, Network Parameters Host |
無効にする必要があるベースライン グループ名の完全な一覧を定義します。 | Null |
| Baseline_ChecksDisabled | コンマで区切られたベースライン チェック ID の一覧。 例: 3.3.5,2.2.1.1 |
無効にする必要があるベースライン チェック ID の完全な一覧を定義します。 | Null |
システム情報コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| SystemInformation_Disabled | True/False |
システム情報コレクターを無効にします。 | False |
| SystemInformation_MessageFrequency | Low/Medium/High |
システム情報イベントを送信する頻度を定義します。 | Low |
| SystemInformation_HardwareVendor | string | ハードウェア ベンダーの情報を設定します。 | None |
| SystemInformation_HardwareModel | string | ハードウェア モデルの情報を設定します。 | None |
| SystemInformation_HardwareSerialNumber | string | ハードウェアのシリアル番号の情報を設定します。 | None |
| SystemInformation_FirmwareVendor | string | ファームウェア ベンダーの情報を設定します。 | None |
| SystemInformation_FirmwareVersion | string | ファームウェア バージョンの情報を設定します。 | None |
SBoM コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| SBoM_Disabled | True/False |
SBoM コレクターを無効にします。 | False |
| SBoM_MessageFrequency | Low/Medium/High |
SBoM イベントを送信する頻度を定義します。 | Low |
ハートビート コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| Heartbeat_Disabled | True/False |
ハートビート イベントの送信を無効にします。 | False |
| Heartbeat_MessageFrequency | Low/Medium/High |
ハートビート イベントを送信する頻度を定義します。 | Low |
ログイン コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| Login_Disabled | True/False |
ログイン コレクターを無効にします。 | False |
| Login_MessageFrequency | Low/Medium/High |
ログイン イベントを送信する頻度を定義します。 | Medium |
| Login_UsePAM | True/False |
PAM モジュールを使ってログイン イベントを収集します。 PAM を使わない場合、エージェントは UTMP と Syslog の読み取りを組み合わせてログイン イベントを収集します。 システムの UTMP または Syslog が有効ではない場合、PAM の使用は省略可能ですが、適切に動作するには追加の構成が必要です。 詳細については、「Pluggable Authentication Modules (PAM) を構成してサインイン イベントを監査する」を参照してください。 | False |
IoT Hub モジュール固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| IothubModule_MessageTimeout | 正の整数 (制限を含む) | メッセージが削除された後に、送信キュー内のメッセージを IoT Hub に保持する時間 (分) を定義します。 | 2880 (=2 日間) |
ネットワーク アクティビティ コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| NetworkActivity_Disabled | True/False |
ネットワーク アクティビティ コレクターを無効にします。 | False |
| NetworkActivity_MessageFrequency | Low/Medium/High |
ネットワーク アクティビティ イベントを送信する頻度を定義します。 | Medium |
| NetworkActivity_Devices | コンマで区切られたネットワーク デバイスの一覧。 例: eth0,eth1。 |
エージェントがトラフィックの監視に使用するネットワーク デバイス (インターフェイス) の一覧を定義します。 ネットワーク デバイスが一覧に表示されていない場合、ネットワークの生イベントは、不足しているデバイスについては記録されません。 |
eth0 |
| NetworkActivity_CacheSize | 正の整数 | 送信間隔の間にキャッシュに保持する (集計後の) ネットワーク アクティビティ イベント数。 この数を超えると、古いイベントはドロップされます (失われます)。 | 256 |
| NetworkActivity_PacketBufferSize | 正の整数 | 方向 (着信または発信トラフィック) ごとに 1 つのデバイスのパケットをキャプチャするために使われるバッファーのサイズ (バイト単位) を構成します。 | 2097152 (=2MB) |
プロセス コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| Process_Disabled | True/False |
プロセス コレクターを無効にします。 | False |
| Process_MessageFrequency | Low/Medium/High |
プロセス イベントを送信する頻度を定義します。 | Medium |
| Process_PollingInterval | 正の整数 | ポーリング間隔をマイクロ秒単位で定義します。 この値は、Process_Mode が Polling のモードのときに使用されます。 |
100000 (=0.1 秒) |
| Process_Mode | 1 = Auto2 = Netlink3 = Polling |
プロセス コレクター モードを決定します。 Auto のモードでは、エージェントは最初に Netlink モードを有効にしようと試みます。 失敗した場合は、自動的に Polling モードに切り替わります。 |
1 |
| Process_CacheSize | 正の整数 | 送信間隔の間にキャッシュに保持する (集計後の) プロセス イベント数。 この数を超えると、古いイベントはドロップされます (失われます)。 | 256 |
ログ コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| LogCollector_Disabled | True/False |
ログ コレクターを無効にします。 | False |
| LogCollector_MessageFrequency | Low/Medium/High |
ログ イベントを送信する頻度を定義します。 | Low |
ファイル システム コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| FileSystem_Disabled | True/False |
ファイル システム コレクターを無効にします。 | False |
| FileSystem_MessageFrequency | Low/Medium/High |
ファイル システム イベントを送信する頻度を定義します。 | Low |
| FileSystem_Recursive | True/False |
true に設定すると、指定したパスの下にあるすべてのディレクトリを監視します。 | True |
| FileSystem_Paths | 監視するパス。 例: /path/to/monitor、/another/path/to/monitor |
監視するパスを定義します。複数のパスを監視できます。 | Null |
| FileSystem_CacheSize | 正の整数 | 送信間隔の間にキャッシュに保持する (集計後の) ファイル システム イベントの数。 この数を超えると、古いイベントはドロップされます (失われます)。 | 256 |
周辺機器コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| Peripheral_Disabled | True/False |
周辺機器コレクターを無効にします。 | False |
| Peripheral_MessageFrequency | Low/Medium/High |
周辺機器イベントを送信する頻度を定義します。 | Low |
| Peripheral_CacheSize | 正の整数 | 送信間隔の間にキャッシュに保持する (集計後の) 周辺機器イベントの数。 この数を超えると、古いイベントはドロップされます (失われます)。 | 256 |
統計コレクター固有の設定
| 設定名 | 設定オプション | 説明 | Default |
|---|---|---|---|
| Statistics_Disabled | True/False |
統計コレクターを無効にします。 | False |
| Statistics_MessageFrequency | Low/Medium/High |
統計イベントを送信する頻度を定義します。 | Low |
| Statistics_CacheSize | 正の整数 | 送信間隔の間にキャッシュに保持する (集計後の) 統計イベントの数。 この数を超えると、古いイベントはドロップされます (失われます)。 | 256 |
次のステップ
詳細については、次を参照してください。