마이크로 에이전트 구성
이 문서에서는 마이크로 에이전트에서 지원하는 다양한 유형의 구성을 설명합니다. 고객은 디바이스와 네트워크 환경의 요구 사항에 맞게 마이크로 에이전트를 구성할 수 있습니다.
참고 항목
Defender for IoT는 2025년 8월 1일에 마이크로 에이전트를 사용 중지할 계획입니다.
마이크로 에이전트의 동작은 모듈 쌍 속성 세트를 통해 구성됩니다. 요구 사항에 가장 적합하도록 마이크로 에이전트를 구성할 수 있습니다. 예를 들어 특정 이벤트를 비활성화하여 전력 사용량을 최소화하고 기타 리소스 사용량을 줄일 수 있습니다.
구성이 변경된 후 수집기는 전송되지 않은 모든 이벤트 데이터를 즉시 보냅니다. 데이터를 보낸 후에는 변경 내용이 적용되고 필요에 따라 수집기가 다시 시작됩니다.
일반 구성
각 우선 순위 수준에서 메시지가 전송되는 빈도를 정의합니다. 모든 값이 필요합니다.
기본값은 다음과 같습니다.
| 빈도 | 기간(분) |
|---|---|
| 낮음 | 1440(24시간) |
| 중간 | 120(2시간) |
| 높음 | 30(.5시간) |
디바이스의 리소스 사용량을 줄이려면 각 우선 순위를 그 아래에 있는 우선 순위의 배수로 설정해야 합니다. 예를 들어, 높음: 60분, 중간: 120분, 낮음: 480분입니다.
빈도를 구성 하기 위한 구문은 다음과 같습니다.
"CollectorsCore_PriorityIntervals", ,
예시:
"CollectorsCore_PriorityIntervals", ,
수집기 형식 및 속성
다음 수집기별 속성 및 설정을 사용하여 마이크로 에이전트를 구성합니다.
기준 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| Baseline_Disabled | True/False |
기준 수집기를 사용하지 않도록 설정합니다. | False |
| Baseline_MessageFrequency | Low/Medium/High |
기준 이벤트를 보낼 빈도를 정의합니다. | Low |
| Baseline_GroupsDisabled | 쉼표로 구분된 기준 그룹 이름 목록입니다. 예: Time Synchronization, Network Parameters Host |
사용하지 않도록 설정해야 하는 기준 그룹 이름의 전체 목록을 정의합니다. | Null |
| Baseline_ChecksDisabled | 쉼표로 구분된 기준 검사 ID 목록입니다. 예: 3.3.5,2.2.1.1 |
사용하지 않도록 설정해야 하는 기준 검사 ID의 전체 목록을 정의합니다. | Null |
시스템 정보 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| SystemInformation_Disabled | True/False |
시스템 정보 수집기를 사용하지 않도록 설정합니다. | False |
| SystemInformation_MessageFrequency | Low/Medium/High |
시스템 정보 이벤트를 보낼 빈도를 정의합니다. | Low |
| SystemInformation_HardwareVendor | string | 하드웨어 공급업체 정보를 설정합니다. | None |
| SystemInformation_HardwareModel | string | 하드웨어 모델 정보를 설정합니다. | None |
| SystemInformation_HardwareSerialNumber | string | 하드웨어 일련 번호 정보를 설정합니다. | None |
| SystemInformation_FirmwareVendor | string | 펌웨어 공급업체 정보를 설정합니다. | None |
| SystemInformation_FirmwareVersion | string | 펌웨어 버전 정보를 설정합니다. | None |
SBoM 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| SBoM_Disabled | True/False |
SBoM 수집기를 사용하지 않도록 설정합니다. | False |
| SBoM_MessageFrequency | Low/Medium/High |
SBoM 이벤트를 보낼 빈도를 정의합니다. | Low |
하트비트 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| Heartbeat_Disabled | True/False |
하트비트 이벤트 전송을 사용하지 않도록 설정합니다. | False |
| Heartbeat_MessageFrequency | Low/Medium/High |
하트비트 이벤트를 보낼 빈도를 정의합니다. | Low |
로그인 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| Login_Disabled | True/False |
로그인 수집기를 사용하지 않도록 설정합니다. | False |
| Login_MessageFrequency | Low/Medium/High |
로그인 이벤트를 보낼 빈도를 정의합니다. | Medium |
| Login_UsePAM | True/False |
PAM 모듈을 사용하여 로그인 이벤트를 수집합니다. PAM이 없으면 에이전트는 UTMP 및 Syslog 읽기 조합을 사용하여 로그인 이벤트를 수집합니다. 시스템에 UTMP 또는 Syslog가 사용하도록 설정되어 있지 않은 경우 PAM을 사용할 수 있지만 제대로 작동하려면 추가 구성이 필요합니다. 자세한 내용은 로그인 이벤트를 감사하도록 PAM(Pluggable Authentication Module) 구성을 참조하세요. | False |
IoT Hub 모듈별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| IothubModule_MessageTimeout | 한도를 포함한 양의 정수 | IoT Hub에 대한 아웃바운드 큐의 메시지를 유지할 시간(분)을 정의합니다. 그 후 메시지가 삭제됩니다. | 2880(=2일) |
네트워크 활동 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| NetworkActivity_Disabled | True/False |
네트워크 활동 수집기를 사용하지 않도록 설정합니다. | False |
| NetworkActivity_MessageFrequency | Low/Medium/High |
네트워크 활동 이벤트를 보낼 빈도를 정의합니다. | Medium |
| NetworkActivity_Devices | 쉼표로 구분된 네트워크 디바이스 목록입니다. 예: eth0,eth1 |
에이전트가 트래픽을 모니터링하는 데 사용할 네트워크 디바이스(인터페이스) 목록을 정의합니다. 네트워크 디바이스가 나열되지 않으면 네트워크 원시 이벤트는 누락된 디바이스에 대해 기록되지 않습니다. |
eth0 |
| NetworkActivity_CacheSize | 양의 정수 | 전송 간격 사이에 캐시에 보관할 네트워크 활동 이벤트(집계 후)의 수입니다. 이 수를 초과하면 이전 이벤트가 삭제(손실)됩니다. | 256 |
| NetworkActivity_PacketBufferSize | 양의 정수 | 방향당 단일 디바이스에 대한 패킷을 캡처하는 데 사용할 버퍼 크기(바이트)를 구성합니다(들어오는 트래픽 또는 나가는 트래픽). | 2097152 (=2MB) |
프로세스 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| Process_Disabled | True/False |
프로세스 수집기를 사용하지 않도록 설정합니다. | False |
| Process_MessageFrequency | Low/Medium/High |
프로세스 이벤트를 보낼 빈도를 정의합니다. | Medium |
| Process_PollingInterval | 양의 정수 | 폴링 간격을 마이크로초 단위로 정의합니다. 이 값은 Process_Mode가 Polling 모드일 때 사용됩니다. |
100000(=0.1초) |
| Process_Mode | 1 = Auto 2 = Netlink 3= 폴링 |
프로세스 수집기 모드를 결정합니다. Auto 모드에서 에이전트는 먼저 Netlink 모드를 사용하도록 설정합니다. 실패하면 폴링 모드로 자동 대체/전환됩니다. |
1 |
| Process_CacheSize | 양의 정수 | 전송 간격 사이에 캐시에 보관할 프로세스 이벤트(집계 후)의 수입니다. 이 수를 초과하면 이전 이벤트가 삭제(손실)됩니다. | 256 |
로그 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| LogCollector_Disabled | True/False |
로그인 수집기를 사용하지 않도록 설정합니다. | False |
| LogCollector_MessageFrequency | Low/Medium/High |
로그 이벤트를 보낼 빈도를 정의합니다. | Low |
파일 시스템 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| FileSystem_Disabled | True/False |
파일 시스템 수집기를 사용하지 않도록 설정합니다. | False |
| FileSystem_MessageFrequency | Low/Medium/High |
파일 시스템 이벤트를 보낼 빈도를 정의합니다. | Low |
| FileSystem_Recursive | True/False |
true로 설정하면 지정된 경로 아래의 모든 디렉터리를 모니터링합니다. | True |
| FileSystem_Paths | 모니터링할 경로입니다. 예: /path/to/monitor, /another/path/to/monitor |
모니터링할 경로를 정의하며 둘 이상의 경로를 모니터링할 수 있습니다. | Null |
| FileSystem_CacheSize | 양의 정수 | 전송 간격 사이에 캐시에 보관할 파일 시스템 이벤트(집계 후)의 수입니다. 이 수를 초과하면 이전 이벤트가 삭제(손실)됩니다. | 256 |
주변 장치 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| Peripheral_Disabled | True/False |
주변 장치 수집기를 사용하지 않도록 설정합니다. | False |
| Peripheral_MessageFrequency | Low/Medium/High |
주변 장치 이벤트를 보낼 빈도를 정의합니다. | Low |
| Peripheral_CacheSize | 양의 정수 | 전송 간격 사이에 캐시에 보관할 주변 장치 이벤트(집계 후)의 수입니다. 이 수를 초과하면 이전 이벤트가 삭제(손실)됩니다. | 256 |
통계 수집기별 설정
| 설정 이름 | 설정 옵션 | 설명 | 기본값 |
|---|---|---|---|
| Statistics_Disabled | True/False |
통계 수집기를 사용하지 않도록 설정합니다. | False |
| Statistics_MessageFrequency | Low/Medium/High |
통계 이벤트를 보낼 빈도를 정의합니다. | Low |
| Statistics_CacheSize | 양의 정수 | 전송 간격 사이에 캐시에 보관할 통계 이벤트(집계 후)의 수입니다. 이 수를 초과하면 이전 이벤트가 삭제(손실)됩니다. | 256 |
다음 단계
자세한 내용은 다음을 참조하세요.