Konfiguracje mikro agenta
W tym artykule opisano różne typy konfiguracji obsługiwane przez mikro agenta. Klienci mogą skonfigurować mikro agenta tak, aby odpowiadał potrzebom swoich urządzeń i środowisk sieciowych.
Uwaga
Usługa Defender dla IoT planuje wycofać mikro agenta 1 sierpnia 2025 r.
Zachowanie mikro agenta jest konfigurowane przez zestaw właściwości bliźniaczej reprezentacji modułu. Mikro agenta można skonfigurować tak, aby był najlepiej dopasowany do Twoich potrzeb. Można na przykład wyłączyć niektóre zdarzenia, aby zminimalizować zużycie energii i zmniejszyć użycie innych zasobów.
Po każdej zmianie konfiguracji moduł zbierający natychmiast wyśle wszystkie niewykonalne dane zdarzenia. Po wysłaniu danych zmiany zostaną zastosowane, a moduły zbierające zostaną ponownie uruchomione zgodnie z potrzebami.
Konfiguracja ogólna
Zdefiniuj częstotliwość wysyłania komunikatów dla każdego poziomu priorytetu. Wszystkie wartości są wymagane.
Wartości domyślne są następujące:
| Częstotliwość | Okres (w minutach) |
|---|---|
| Niska | 1440 (24 godziny) |
| Medium | 120 (2 godziny) |
| Wysoka | 30 (5 godzin) |
Aby zmniejszyć zużycie zasobów na urządzeniu, należy ustawić każdy priorytet jako wielokrotność tych zasobów poniżej. Na przykład Wysoki: 60 minut, Średni: 120 minut, Niski: 480 minut.
Składnia konfigurowania częstotliwości jest następująca:
"CollectorsCore_PriorityIntervals" : "<High>,<Medium>,<Low>"
Na przykład:
"CollectorsCore_PriorityIntervals" : "30,120,1440"
Typy i właściwości modułów zbierających
Skonfiguruj mikro agenta przy użyciu następujących właściwości i ustawień specyficznych dla modułu zbierającego:
Ustawienia specyficzne dla modułu zbierającego punkt odniesienia
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| Baseline_Disabled | True/False |
Wyłącza moduł zbierający punkt odniesienia. | False |
| Baseline_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń punktu odniesienia. | Low |
| Baseline_GroupsDisabled | Lista nazw grup punktów odniesienia oddzielona przecinkami. Na przykład: Time Synchronization, Network Parameters Host. |
Definiuje pełną listę nazw grup punktów odniesienia, które powinny być wyłączone. | Null |
| Baseline_ChecksDisabled | Lista identyfikatorów sprawdzania linii bazowej oddzielona przecinkami. Na przykład: 3.3.5,2.2.1.1. |
Definiuje pełną listę identyfikatorów sprawdzania punktu odniesienia, które powinny być wyłączone. | Null |
ustawienia specyficzne dla modułu zbierającego Informacje o systemie
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| SystemInformation_Disabled | True/False |
Wyłącza moduł zbierający Informacje o systemie. | False |
| SystemInformation_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń Informacje o systemie. | Low |
| SystemInformation_HardwareVendor | string | Ustaw informacje o dostawcy sprzętu. | None |
| SystemInformation_HardwareModel | string | Ustaw informacje o modelu sprzętu. | None |
| SystemInformation_HardwareSerialNumber | string | Ustaw informacje o numerze seryjnym sprzętu. | None |
| SystemInformation_FirmwareVendor | string | Ustaw informacje o dostawcy oprogramowania układowego. | None |
| SystemInformation_FirmwareVersion | string | Ustaw informacje o wersji oprogramowania układowego. | None |
Ustawienia specyficzne dla modułu zbierającego SBoM
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| SBoM_Disabled | True/False |
Wyłącza moduł zbierający SBoM. | False |
| SBoM_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń SBoM. | Low |
Ustawienia specyficzne dla modułu zbierającego puls
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| Heartbeat_Disabled | True/False |
Wyłącza wysyłanie zdarzenia pulsu. | False |
| Heartbeat_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń pulsu. | Low |
Ustawienia specyficzne dla modułu zbierającego dane logowania
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| Login_Disabled | True/False |
Wyłącza moduł zbierający dane logowania. | False |
| Login_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń logowania. | Medium |
| Login_UsePAM | True/False |
Użyj modułu PAM do zbierania zdarzeń logowania. Bez usługi PAM agent używa kombinacji odczytywania protokołów UTMP i Syslog do zbierania zdarzeń logowania. Jeśli system nie ma włączonego protokołu UTMP lub dziennika systemowego, użycie usługi PAM jest opcją, ale wymaga dodatkowej konfiguracji, aby działać prawidłowo. Aby uzyskać więcej informacji, zobacz Konfigurowanie podłączonych modułów uwierzytelniania (PAM) w celu inspekcji zdarzeń logowania | False |
Ustawienia specyficzne dla modułu usługi IoT Hub
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| IothubModule_MessageTimeout | Dodatnia liczba całkowita, w tym limity | Definiuje liczbę minut przechowywania komunikatów w kolejce wychodzącej do usługi IoT Hub, po której zostaną usunięte komunikaty. | 2880 (=2 dni) |
Ustawienia specyficzne dla modułu zbierającego aktywność sieci
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| NetworkActivity_Disabled | True/False |
Wyłącza moduł zbierający działania sieciowe. | False |
| NetworkActivity_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń działania sieciowego. | Medium |
| NetworkActivity_Devices | Lista urządzeń sieciowych rozdzielonych przecinkami. Na przykład eth0,eth1 |
Definiuje listę urządzeń sieciowych (interfejsów), których agent będzie używać do monitorowania ruchu. Jeśli urządzenie sieciowe nie znajduje się na liście, nieprzetworzone zdarzenia sieciowe nie zostaną zarejestrowane dla brakującego urządzenia. |
eth0 |
| NetworkActivity_CacheSize | Dodatnia liczba całkowita | Liczba zdarzeń działania sieci (po agregacji), które mają być przechowywane w pamięci podręcznej między interwałami wysyłania. Poza tym numerem starsze zdarzenia zostaną porzucone (utracone). | 256 |
| NetworkActivity_PacketBufferSize | Dodatnia liczba całkowita | Skonfiguruj rozmiar buforu (w bajtach), który będzie używany do przechwytywania pakietów dla jednego urządzenia na kierunek (ruch przychodzący lub wychodzący). | 2097152 (=2MB) |
Ustawienia specyficzne dla modułu zbierającego procesy
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| Process_Disabled | True/False |
Wyłącza moduł zbierający proces. | False |
| Process_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń procesu. | Medium |
| Process_PollingInterval | Dodatnia liczba całkowita | Definiuje interwał sondowania w mikrosekundach. Ta wartość jest używana, gdy Process_Mode jest w Polling trybie. |
100000 (=0,1 sekundy) |
| Process_Mode | 1 = Auto 2 = Netlink 3= Sondowanie |
Określa tryb modułu zbierającego proces. W Auto trybie agent najpierw próbuje włączyć tryb Netlink. Jeśli to się nie powiedzie, nastąpi automatyczne powrót/przełączenie do trybu sondowania. |
1 |
| Process_CacheSize | Dodatnia liczba całkowita | Liczba zdarzeń procesu (po agregacji), które mają być przechowywane w pamięci podręcznej między interwałami wysyłania. Poza tym numerem starsze zdarzenia zostaną porzucone (utracone). | 256 |
Ustawienia specyficzne dla modułu zbierającego dzienniki
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| LogCollector_Disabled | True/False |
Wyłącza moduł zbierający dzienniki. | False |
| LogCollector_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń dziennika. | Low |
Ustawienia specyficzne dla modułu zbierającego system plików
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| FileSystem_Disabled | True/False |
Wyłącza moduł zbierający system plików. | False |
| FileSystem_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń systemu plików. | Low |
| FileSystem_Recursive | True/False |
W przypadku ustawienia wartości true wszystkie katalogi są monitorowane pod daną ścieżką. | True |
| FileSystem_Paths | Ścieżki do monitorowania. Na przykład: /path/to/monitor, /another/path/to/monitor |
Definiuje ścieżki do monitorowania, można monitorować więcej niż jedną ścieżkę. | Null |
| FileSystem_CacheSize | Dodatnia liczba całkowita | Liczba zdarzeń systemu plików (po agregacji), które mają być przechowywane w pamięci podręcznej między interwałami wysyłania. Poza tym numerem starsze zdarzenia zostaną porzucone (utracone). | 256 |
Ustawienia specyficzne dla modułu zbierającego urządzenia peryferyjne
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| Peripheral_Disabled | True/False |
Wyłącza moduł zbierający peryferyjny. | False |
| Peripheral_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń peryferyjnych. | Low |
| Peripheral_CacheSize | Dodatnia liczba całkowita | Liczba zdarzeń peryferyjnych (po agregacji), które mają być przechowywane w pamięci podręcznej między interwałami wysyłania. Poza tym numerem starsze zdarzenia zostaną porzucone (utracone). | 256 |
Ustawienia specyficzne dla modułu zbierającego statystyki
| Nazwa ustawienia | Opcje ustawień | opis | Wartość domyślna |
|---|---|---|---|
| Statistics_Disabled | True/False |
Wyłącza moduł zbierający statystyki. | False |
| Statistics_MessageFrequency | Low/Medium/High |
Definiuje częstotliwość wysyłania zdarzeń statystyk. | Low |
| Statistics_CacheSize | Dodatnia liczba całkowita | Liczba zdarzeń statystyk (po agregacji), które mają być przechowywane w pamięci podręcznej między interwałami wysyłania. Poza tym numerem starsze zdarzenia zostaną porzucone (utracone). | 256 |
Następne kroki
Aby uzyskać więcej informacji, zobacz: