Mikroagentkonfigurationer
Den här artikeln beskriver de olika typer av konfigurationer som mikroagenten stöder. Kunder kan konfigurera mikroagenten så att den passar deras enheters och nätverksmiljöers behov.
Kommentar
Defender for IoT planerar att dra tillbaka mikroagenten den 1 augusti 2025.
Mikroagentens beteende konfigureras av en uppsättning egenskaper för modultvillingar. Du kan konfigurera mikroagenten så att den passar dina behov. Du kan till exempel inaktivera vissa händelser för att minimera energiförbrukningen och minska annan resursanvändning.
Efter ändringar i konfigurationen skickar insamlaren omedelbart alla osedda händelsedata. När data har skickats tillämpas ändringarna och insamlare startas om efter behov.
Allmän konfiguration
Definiera i vilken frekvens meddelanden skickas för varje prioritetsnivå. Alla värden krävs.
Standardvärdena är följande:
| Frekvens | Tidsperiod (i minuter) |
|---|---|
| Låg | 1440 (24 timmar) |
| Medel | 120 (2 timmar) |
| Hög | 30 (,5 timmar) |
För att minska resursförbrukningen på enheten bör varje prioritet anges som en multipel av den under den. Till exempel Hög: 60 minuter, Medel: 120 minuter, Låg: 480 minuter.
Syntaxen för att konfigurera frekvenserna är följande:
"CollectorsCore_PriorityIntervals" : "<High>,<Medium>,<Low>"
Till exempel:
"CollectorsCore_PriorityIntervals" : "30,120,1440"
Insamlartyper och egenskaper
Konfigurera mikroagenten med hjälp av följande insamlarspecifika egenskaper och inställningar:
Inställningar för insamlare för baslinje
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| Baseline_Disabled | True/False |
Inaktiverar baslinjeinsamlaren. | False |
| Baseline_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens baslinjehändelser ska skickas. | Low |
| Baseline_GroupsDisabled | En lista över originalgruppnamn, avgränsade med ett kommatecken. Till exempel: Time Synchronization, Network Parameters Host |
Definierar den fullständiga listan över originalgruppnamn som ska inaktiveras. | Null |
| Baseline_ChecksDisabled | En lista över baslinjekontroll-ID:er, avgränsade med ett kommatecken. Till exempel: 3.3.5,2.2.1.1 |
Definierar den fullständiga listan över baslinjekontroll-ID:er som ska inaktiveras. | Null |
Systeminformation insamlarspecifika inställningar
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| SystemInformation_Disabled | True/False |
Inaktiverar Systeminformation-insamlaren. | False |
| SystemInformation_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens Systeminformation händelser ska skickas. | Low |
| SystemInformation_HardwareVendor | sträng | Ange information om maskinvaruleverantörer. | None |
| SystemInformation_HardwareModel | sträng | Ange information om maskinvarumodell. | None |
| SystemInformation_HardwareSerialNumber | sträng | Ange information om maskinvaruserienummer. | None |
| SystemInformation_FirmwareVendor | sträng | Ange leverantörsinformation för inbyggd programvara. | None |
| SystemInformation_FirmwareVersion | sträng | Ange versionsinformation för inbyggd programvara. | None |
Inställningar för SBoM-insamlare
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| SBoM_Disabled | True/False |
Inaktiverar SBoM-insamlaren. | False |
| SBoM_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens SBoM-händelser ska skickas. | Low |
Inställningar för pulsslagsinsamlare
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| Heartbeat_Disabled | True/False |
Inaktiverar sändning av pulsslagshändelsen. | False |
| Heartbeat_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens pulsslagshändelser ska skickas. | Low |
Inställningar för inloggningsinsamlare
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| Login_Disabled | True/False |
Inaktiverar inloggningsinsamlaren. | False |
| Login_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens inloggningshändelser ska skickas. | Medium |
| Login_UsePAM | True/False |
Använd en PAM-modul för att samla in inloggningshändelser. Utan PAM använder agenten en kombination av att läsa UTMP och Syslog för att samla in inloggningshändelser. Om systemet inte har UTMP eller Syslog aktiverat är det ett alternativ att använda PAM, men kräver ytterligare konfiguration för att fungera korrekt. Mer information finns i Konfigurera pluggbara autentiseringsmoduler (PAM) för granskning av inloggningshändelser | False |
IoT Hub-modulspecifika inställningar
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| IothubModule_MessageTimeout | Positivt heltal, inklusive gränser | Definierar antalet minuter för att behålla meddelanden i den utgående kön till IoT Hub, varefter meddelandena tas bort. | 2880 (=2 dagar) |
Inställningar för insamlare för nätverksaktivitet
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| NetworkActivity_Disabled | True/False |
Inaktiverar nätverksaktivitetsinsamlaren. | False |
| NetworkActivity_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens nätverksaktivitetshändelser ska skickas. | Medium |
| NetworkActivity_Devices | En lista över de nätverksenheter som avgränsas med ett kommatecken. Till exempel eth0,eth1 |
Definierar listan över nätverksenheter (gränssnitt) som agenten ska använda för att övervaka trafiken. Om en nätverksenhet inte visas registreras inte nätverksråvarans händelser för den saknade enheten. |
eth0 |
| NetworkActivity_CacheSize | Positivt heltal | Antalet nätverksaktivitetshändelser (efter aggregering) som ska behållas i cacheminnet mellan sändningsintervallen. Utöver det antalet kommer äldre händelser att tas bort (förloras). | 256 |
| NetworkActivity_PacketBufferSize | Positivt heltal | Konfigurera buffertstorleken (i byte) som ska användas för att samla in paket för en enskild enhet per riktning (inkommande eller utgående trafik). | 2097152 (=2MB) |
Bearbeta insamlarspecifika inställningar
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| Process_Disabled | True/False |
Inaktiverar processinsamlaren. | False |
| Process_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens processhändelser ska skickas. | Medium |
| Process_PollingInterval | Positivt heltal | Definierar avsökningsintervallet i mikrosekunder. Det här värdet används när Process_Mode är i Polling läge. |
100000 (=0,1 sekund) |
| Process_Mode | 1 = Auto 2 = Netlink 3= Avsökning |
Avgör läget Processinsamlare. I Auto läge försöker agenten först aktivera Netlink-läget. Om det misslyckas kommer det automatiskt att falla tillbaka/växla till avsökningsläget. |
1 |
| Process_CacheSize | Positivt heltal | Antalet processhändelser (efter aggregering) som ska behållas i cacheminnet mellan sändningsintervallen. Utöver det antalet kommer äldre händelser att tas bort (förloras). | 256 |
Inställningar för logginsamlare
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| LogCollector_Disabled | True/False |
Inaktiverar logginsamlaren. | False |
| LogCollector_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens logghändelser ska skickas. | Low |
Insamlarspecifika inställningar för filsystem
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| FileSystem_Disabled | True/False |
Inaktiverar filsysteminsamlaren. | False |
| FileSystem_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens filsystemhändelser ska skickas. | Low |
| FileSystem_Recursive | True/False |
Om värdet är true övervakar du alla kataloger under den angivna sökvägen. | True |
| FileSystem_Paths | Sökvägar att övervaka. Till exempel: /path/to/monitor, /another/path/to/monitor |
Definierar vilka sökvägar som ska övervakas, mer än en sökväg kan övervakas. | Null |
| FileSystem_CacheSize | Positivt heltal | Antalet filsystemhändelser (efter aggregering) som ska behållas i cacheminnet mellan sändningsintervallen. Utöver det antalet kommer äldre händelser att tas bort (förloras). | 256 |
Inställningar för kringutrustningsspecifik insamlare
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| Peripheral_Disabled | True/False |
Inaktiverar kringutrustningsinsamlaren. | False |
| Peripheral_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens kringutrustningshändelser ska skickas. | Low |
| Peripheral_CacheSize | Positivt heltal | Antalet kringutrustningshändelser (efter aggregering) som ska behållas i cacheminnet mellan sändningsintervallen. Utöver det antalet kommer äldre händelser att tas bort (förloras). | 256 |
Statistikinsamlarspecifika inställningar
| Namn | Inställningsalternativ | beskrivning | Standard |
|---|---|---|---|
| Statistics_Disabled | True/False |
Inaktiverar statistikinsamlaren. | False |
| Statistics_MessageFrequency | Low/Medium/High |
Definierar i vilken frekvens statistikhändelser ska skickas. | Low |
| Statistics_CacheSize | Positivt heltal | Antalet statistikhändelser (efter aggregering) som ska sparas i cacheminnet mellan sändningsintervallen. Utöver det antalet kommer äldre händelser att tas bort (förloras). | 256 |
Nästa steg
Mer information finns i: