InsightIDR—事件代码排除
在1.4.88或更高版本上,您可以配置Insight Agent以从事件代码监视器中排除特定的事件代码;必威体育app登录这在高负载情况或“嘈杂”环境中非常有用。请注意,您不能将文件配置为收集其他事件代码。
要做到这一点,请完成以下步骤:
- 停止Insight必威体育app登录 Agent服务。
- 作为管理用户,打开
配置\ agent.jobs.windows.ui_realtime.json
文件,该文件应该位于代理根配置目录中。 - 将以下JSON添加到原始文件中,进行替换
[n]
将您选择的安全代码放在逗号分隔的列表中。
高级配置
1{2“EventLogMonitor”:{3.“排除”:{4“安全”:[5145,1234]5}6}7}8}
以上JSON将从安全日志扫描程序中删除EVID代码5145和1234,有效地将其从事件监视器中排除。
- 保存前请检查修改后的配置文件是否为有效的JSON。
- 重新启动Insight 必威体育app登录Agent服务。
请自行使用
Rapid7不管理您的配置文件;如果您注意到它会导致错误,您可以将它从文件中删除。
这个页面对你有帮助吗?