配置 Elastic Endpoint 的数据卷

Elastic Stack Serverless Security

Elastic Endpoint 是执行 Elastic Defend 威胁监控和防御的已安装组件，经过优化，可以减少数据卷和 CPU 使用率。 您可以通过重新配置 Elastic Defend 集成策略中的以下高级设置来禁用或修改其中一些优化。

每个设置都有几个特定于操作系统的变体，在下面列出的名称中以 [linux|mac|windows] 表示。 使用与您的主机操作系统相关的变体（例如，windows.advanced.events.deduplicate_network_events 配置 Windows 主机的网络事件去重）。

当检测到来自同一进程的重复网络连接时，Elastic Endpoint 将不会为后续连接生成网络事件。 要禁用或减少网络事件的去重，请使用以下高级设置

[linux|mac|windows].advanced.events.deduplicate_network_events

输入 false 以完全禁用网络事件去重。 默认值：true

[linux|mac|windows].advanced.events.deduplicate_network_events_below_bytes

输入要对其进行去重的事件的传输大小阈值（以字节为单位）。 低于阈值的连接将被去重，而高于阈值的连接将不会被去重。 这允许您抑制较小数据传输的重复连接，但始终为较大的传输生成事件。 默认值：1048576 (1MB)

Elastic Endpoint 仅在事件文档的 host.* 字段集中包含一小部分数据。 完整的 host.* 信息仍然包含在写入 metrics-* 索引模式的文档和 Elastic Endpoint 警报中。 要覆盖此行为并包含所有 host.* 事件数据，请使用以下高级设置

[linux|mac|windows].advanced.set_extended_host_information

输入 true 以包含所有 host.* 事件数据。 默认值：false

Elastic Endpoint 会尽可能合并进程 create/terminate 事件 (Windows) 和 fork/exec/end 事件 (macOS/Linux)。 这意味着生命周期短的进程仅生成包含进程终止时详细信息的单个事件。 对于生命周期短的连接，Elastic Endpoint 还会尽可能合并网络 connection/termination 事件 (Windows/macOS/Linux)。 要禁用此行为，请使用以下高级设置

[linux|mac|windows].advanced.events.aggregate_process

输入 false 以禁用进程事件的合并。 默认值：true

[linux|mac|windows].advanced.events.aggregate_network

输入 false 以禁用网络事件的合并。 默认值：true

默认情况下，Elastic Endpoint 不会在事件数据中报告 MD5 和 SHA-1 哈希。 如果任何受信任的应用程序、阻止列表条目、事件过滤器或Endpoint 例外需要它们，它们仍然会被报告。 要在所有事件数据中包含这些哈希，请使用以下高级设置

[linux|mac|windows].advanced.events.hash.md5

输入 true 以计算并在事件中包含进程和库的 MD5 哈希。 默认值：false

[linux|mac|windows].advanced.events.hash.sha1

输入 true 以计算并在事件中包含进程和库的 SHA-1 哈希。 默认值：false

[linux|mac|windows].advanced.alerts.hash.md5

输入 true 以计算并在警报中包含进程和库的 MD5 哈希。 默认值：false

[linux|mac|windows].advanced.alerts.hash.sha1

输入 true 以计算并在警报中包含进程和库的 SHA-1 哈希。 默认值：false