Configuraciones de microagente
En este artículo se describen los diferentes tipos de configuraciones que admite el microagente. Los clientes pueden configurar el microagente para que se ajuste a las necesidades de sus dispositivos y entornos de red.
Nota:
Defender para IoT planea retirar el microagente el 1 de agosto de 2025.
El comportamiento del microagente se configura mediante un conjunto de propiedades de módulo gemelo. Puede configurar el microagente para que se adapte mejor a sus necesidades. Por ejemplo, puede desactivar determinados eventos para minimizar el consumo de energía y reducir el uso de otros recursos.
Después de cualquier cambio en la configuración, el recopilador enviará inmediatamente todos los datos de eventos no enviados. Una vez enviados los datos, se aplicarán los cambios y se reiniciarán los recopiladores según sea necesario.
Configuración general
Defina la frecuencia con la que se envían los mensajes para cada nivel de prioridad. Todos los valores son obligatorios.
Estos son los valores predeterminados:
| Frecuencia | Período de tiempo (en minutos) |
|---|---|
| Baja | 1440 (24 horas) |
| Mediano | 120 (2 horas) |
| Alta | 30 (0,5 horas) |
Para reducir el consumo de recursos en el dispositivo, cada prioridad debe establecerse como un múltiplo de la anterior. Por ejemplo, Alta: 60 minutos, Media: 120 minutos, Baja: 480 minutos.
La sintaxis para configurar las frecuencias es la siguiente:
"CollectorsCore_PriorityIntervals": "<High>,<Medium>,<Low>"
Por ejemplo:
"CollectorsCore_PriorityIntervals": "30,120,1440"
Tipos y propiedades de recopilador
Configure el microagente con las configuraciones y propiedades siguientes específicas del recopilador:
Configuración específica del recopilador de línea de base
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| Baseline_Disabled | True/False |
Deshabilita el recopilador de línea base. | False |
| Baseline_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se van a enviar eventos de línea base. | Low |
| Baseline_GroupsDisabled | Lista de nombres de grupo de línea de base separados por coma. Por ejemplo: Time Synchronization, Network Parameters Host |
Define la lista completa de nombres de grupo de línea de base que se deben deshabilitar. | Null |
| Baseline_ChecksDisabled | Lista de identificadores de comprobación de línea de base, separados por coma. Por ejemplo: 3.3.5,2.2.1.1 |
Define la lista completa de los identificadores de comprobación de línea de base que se deben deshabilitar. | Null |
Configuración específica del recopilador de información del sistema
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| SystemInformation_Disabled | True/False |
Deshabilita el recopilador de información del sistema. | False |
| SystemInformation_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos de información del sistema. | Low |
| SystemInformation_HardwareVendor | string | Establece la información del proveedor de hardware. | None |
| SystemInformation_HardwareModel | string | Establece la información del modelo de hardware. | None |
| SystemInformation_HardwareSerialNumber | string | Establece la información del número de serie de hardware. | None |
| SystemInformation_FirmwareVendor | string | Establece la información del proveedor de firmware. | None |
| SystemInformation_FirmwareVersion | string | Establece la información de la versión del firmware. | None |
Configuración específica del recopilador de SBoM
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| SBoM_Disabled | True/False |
Deshabilita el recopilador de SBoM. | False |
| SBoM_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos SBoM. | Low |
Configuración específica del recopilador de latidos
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| Heartbeat_Disabled | True/False |
Deshabilita el envío del evento de latido. | False |
| Heartbeat_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos de latido. | Low |
Configuración específica del recopilador de inicios de sesión
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| Login_Disabled | True/False |
Deshabilita el recopilador de inicios de sesión. | False |
| Login_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos de inicio de sesión. | Medium |
| Login_UsePAM | True/False |
Use un módulo PAM para recopilar eventos de inicio de sesión. Sin PAM, el agente usa una combinación de lectura de UTMP y Syslog para recopilar eventos de inicio de sesión. Si el sistema no tiene habilitado UTMP o Syslog, el uso de PAM es una opción, pero requerirá una configuración adicional para funcionar correctamente. Para obtener más información, consulte Configuración de módulos de autenticación conectables (PAM) para auditar eventos de inicio de sesión. | False |
Configuración específica del módulo de IoT Hub
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| IothubModule_MessageTimeout | Entero positivo, incluidos los límites | Define el número de minutos que se conservan los mensajes que están en la cola de salida en la IoT Hub, tras lo que se descartan los mensajes. | 2880 (=2 días) |
Configuración específica del recopilador de actividades de red
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| NetworkActivity_Disabled | True/False |
Deshabilita el recopilador de actividades de red. | False |
| NetworkActivity_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos de actividad de red. | Medium |
| NetworkActivity_Devices | Lista de los dispositivos de red separados por comas. Por ejemplo, eth0,eth1. |
Define la lista de dispositivos de red (interfaces) que usará el agente para supervisar el tráfico. Si no aparece un dispositivo de red, los eventos de red sin procesar no se registrarán para el dispositivo que falta. |
eth0 |
| NetworkActivity_CacheSize | Un número entero positivo | Número de eventos de actividad de red (después de la agregación) que se mantendrán en la memoria caché entre los intervalos de envío. Los eventos más antiguos de ese número se quitarán (se pierden). | 256 |
| NetworkActivity_PacketBufferSize | Un número entero positivo | Configura el tamaño del búfer (en bytes) que se usará para capturar paquetes para un único dispositivo por dirección (tráfico entrante o saliente). | 2097152 (=2MB) |
Configuración específica del recopilador de procesos
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| Process_Disabled | True/False |
Deshabilita el recopilador de procesos. | False |
| Process_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos de procesos. | Medium |
| Process_PollingInterval | Entero positivo | Define el intervalo de sondeo, en microsegundos. Este valor se usa cuando Process_Mode está en modo Polling. |
100000 (=0,1 segundos) |
| Process_Mode | 1 = Auto 2 = Netlink 3= Polling |
Determina el modo del recopilador de procesos. En el modo Auto, el agente primero intenta habilitar el modo Netlink. Si se produce un error, se producirá una reversión o un cambio de forma automática al modo de sondeo. |
1 |
| Process_CacheSize | Un número entero positivo | Número de eventos de procesos (después de la agregación) que se mantendrán en la memoria caché entre los intervalos de envío. Los eventos más antiguos de ese número se quitarán (se pierden). | 256 |
Configuración específica del recopilador de registros
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| LogCollector_Disabled | True/False |
Deshabilita el recopilador de registros. | False |
| LogCollector_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se van a enviar eventos de registro. | Low |
Configuración específica del recopilador del sistema de archivos
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| FileSystem_Disabled | True/False |
Deshabilita el recopilador del sistema de archivos. | False |
| FileSystem_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos del sistema de archivos. | Low |
| FileSystem_Recursive | True/False |
Si se establece en true, supervisa todos los directorios de la ruta de acceso especificada. | True |
| FileSystem_Paths | Rutas de acceso que se van a supervisar. Por ejemplo: /path/to/monitor, /another/path/to/monitor |
Define las rutas de acceso que se van a supervisar; se puede supervisar más de una ruta de acceso. | Null |
| FileSystem_CacheSize | Un número entero positivo | Número de eventos del sistema de archivos (después de la agregación) que se mantendrán en la memoria caché entre los intervalos de envío. Los eventos más antiguos de ese número se quitarán (se pierden). | 256 |
Configuración específica del recopilador periférico
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| Peripheral_Disabled | True/False |
Deshabilita el recopilador periférico. | False |
| Peripheral_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos periféricos. | Low |
| Peripheral_CacheSize | Un número entero positivo | Número de eventos periféricos (después de la agregación) que se mantendrán en la memoria caché entre los intervalos de envío. Los eventos más antiguos de ese número se quitarán (se pierden). | 256 |
Configuración específica del recopilador de estadísticas
| Nombre de la opción de configuración | Opciones de configuración | Descripción | Valor predeterminado |
|---|---|---|---|
| Statistics_Disabled | True/False |
Deshabilita el recopilador de estadísticas. | False |
| Statistics_MessageFrequency | Low/Medium/High |
Define la frecuencia en la que se envían eventos de estadísticas. | Low |
| Statistics_CacheSize | Un número entero positivo | Número de eventos de estadísticas (después de la agregación) que se mantendrán en la memoria caché entre los intervalos de envío. Los eventos más antiguos de ese número se quitarán (se pierden). | 256 |
Pasos siguientes
Para más información, consulte: