Änderungskonfiguration für Azure Operator Insights-Erfassungs-Agents
Der Erfassungs-Agent ist ein Softwarepaket, das auf einer Linux-VM (virtueller Computer) installiert und von Ihnen verwaltet wird. In einigen Fällen müssen Sie die Agent-Konfiguration ändern.
In diesem Artikel ändern Sie die Konfiguration Ihres Erfassungs-Agents und führen ein Rollback einer Konfigurationsänderung aus.
Voraussetzungen
- Überprüfen Sie anhand der Dokumentation für Ihr Datenprodukt, welche Konfiguration für den Erfassungs-Agent erforderlich ist oder empfohlen wird.
- Ausführliche Informationen zu den Konfigurationsoptionen finden Sie in der Konfigurationsreferenz für den Azure Operator Insights-Erfassungs-Agent.
Aktualisieren der Agent-Konfiguration
Warnung
Zum Ändern der Konfiguration muss der Agent neu gestartet werden. Für die MCC-EDR-Quelle kann eine kleine Anzahl von behandelten EDRs verworfen werden. Es ist nicht möglich, einen ordnungsgemäßen Neustart durchzuführen, ohne dass Daten verloren gehen. Aktualisieren Sie die Agents zur Sicherheit einzeln, und aktualisieren Sie den nächsten erst, wenn Sie sicher sind, dass das vorherige Update erfolgreich war.
Warnung
Wenn Sie die Pipeline-ID für eine SFTP-Pullquelle ändern, behandelt der Agent sie als neue Quelle und lädt möglicherweise doppelte Dateien mit der neuen Pipeline-ID hoch. Um dies zu vermeiden, fügen Sie in der Konfiguration für die Dateiquelle den exclude_before_time-Parameter hinzu. Wenn Sie beispielsweise exclude_before_time: "2024-01-01T00:00:00-00:00" konfigurieren, werden alle Dateien, die vor Mitternacht am 1. Januar 2024 (UTC) zuletzt geändert wurden, vom Agent ignoriert.
Wenn Sie die Konfiguration des Agents ändern müssen, führen Sie die folgenden Schritte aus.
- Speichern Sie eine Kopie der vorhandenen Konfigurationsdatei /etc/az-aoi-ingestion/config.yaml.
- Bearbeiten Sie die Konfigurationsdatei, um die Konfigurationswerte zu ändern.
- Starten Sie den Agent neu.
sudo systemctl restart az-aoi-ingestion.service
Ausführen eines Rollbacks von Konfigurationsänderungen
Bei Fehlern bei einer Konfigurationsänderung:
- Kopieren Sie die gesicherte Konfigurationsdatei vor der Änderung in die Datei /etc/az-mcc-edr-uploader/config.yaml.
- Starten Sie den Agent neu.
sudo systemctl restart az-aoi-ingestion.service
Zugehöriger Inhalt
In diesem Artikel werden folgende Themen erläutert:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für