InsightIDR—事件代码排除

在1.4.88或更高版本上，您可以配置Insight Agent以从事件代码监视器中排除特定的事件代码;必威体育app登录这在高负载情况或“嘈杂”环境中非常有用。请注意，您不能将文件配置为收集其他事件代码。

要做到这一点，请完成以下步骤:

停止Insight必威体育app登录 Agent服务。
作为管理用户，打开配置\ agent.jobs.windows.ui_realtime.json文件，该文件应该位于代理根配置目录中。
将以下JSON添加到原始文件中，进行替换[n]将您选择的安全代码放在逗号分隔的列表中。

          
           高级配置
            
           
          

           
            
             1
            ｛
           
           
            
             2
            “EventLogMonitor”：｛
           
           
            
             3.
            “排除”：｛
           
           
            
             4
            “安全”：［5145，1234］
           
           
            
             5
            ｝
           
           
            
             6
            ｝
           
           
            
             7
            ｝
           
           
            
             8
            ｝

以上JSON将从安全日志扫描程序中删除EVID代码5145和1234，有效地将其从事件监视器中排除。

保存前请检查修改后的配置文件是否为有效的JSON。
重新启动Insight 必威体育app登录Agent服务。

请自行使用

Rapid7不管理您的配置文件;如果您注意到它会导致错误，您可以将它从文件中删除。

这个页面对你有帮助吗?

配置

auditd Linux资产兼容模式

配置

insighttops -配置Insight Agen必威体育app登录t发送日志