<section class="section" id="linux_agent__section_ags_ttt_rsb"><h2 class="doc-tairway">概述</h2> <p class="p">一些基于Linux的设备不支持通过SNMP或Syslog外发日志，此时，您可以通过在设备安装LINUX-AGENT（以下简称Agent）采集其日志信息。目前，Agent支持监控的数据库为MySQL、MSSQL、Oracle(9.2)，支持监控的应用服务器为Tomcat、Apache、Weblogic(9.2、10.3)。</p> <p class="p">Agent 支持采集设备上的文本型日志、数据库表中的数据、系统和应用服务的资源使用情况四种类型的数据，每种类型都需要修改对应的配置文件。Agent 所有配置文件都位于安装目录下的conf目录下，各配置文件作用如下表。</p> <table class="table" id="linux_agent__table_lm1_dst_rsb"><caption></caption><colgroup><col style="width:23.752969121140143%"><col style="width:31.353919239904993%"><col style="width:44.89311163895487%"></colgroup><thead class="thead"> <tr class="row"> <th class="entry" id="linux_agent__table_lm1_dst_rsb__entry__1"> <p class="p">序号</p> </th> <th class="entry" id="linux_agent__table_lm1_dst_rsb__entry__2"> <p class="p">文件名</p> </th> <th class="entry" id="linux_agent__table_lm1_dst_rsb__entry__3"> <p class="p">作用</p> </th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__1 "> <p class="p">1</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__2 "> <p class="p">agent.conf</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__3 "> <p class="p">设置日志发送、性能监控的配置文件。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__1 "> <p class="p">2</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__2 "> <p class="p">update.conf</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__3 "> <p class="p">设置Agent程序自动升级的配置文件，安装过程中不需要修改，使用默认配置即可。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__1 "> <p class="p">3</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__2 "> <p class="p">log4j.properties</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__3 "> <p class="p">控制 agent 自身产生的日志的配置文件，安装过程中不需要修改，使用默认配置即可。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__1 "> <p class="p">4</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__2 "> <p class="p">textAgent.xml</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__3 "> <p class="p">监控文本文件型日志的配置文件。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__1 "> <p class="p">5</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__2 "> <p class="p">databaseAgent.xml</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__3 "> <p class="p">监控数据库表数据的配置文件。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__1 "> <p class="p">6</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__2 "> <p class="p">webwall.xml</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__3 "> <p class="p">判断是否是存在威胁事件的配置文件，不支持查看或编辑。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__1 "> <p class="p">7</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__2 "> <p class="p">version.conf</p> </td> <td class="entry" headers="linux_agent__table_lm1_dst_rsb__entry__3 "> <p class="p">展示agent 版本信息，安装过程中不需要修改，使用默认配置即可。</p> </td> </tr> </tbody></table> </section> <section class="section" id="linux_agent__section_k1w_stt_rsb"><h2 class="doc-tairway">agent.conf文件修改说明</h2> <p class="p">设备安装Agent后，必须为Agent指定将采集的日志发送到哪台服务器上。因此，您需要将agent.conf文件中的agentServer.ip和apmServer.ip地址修改为日志审计平台地址，文件中其他配置项无需修改，使用默认配置即可。</p> <p class="p">agent.conf文件中各个配置项的说明如下表所示。</p> <table class="table" id="linux_agent__table_zbq_gyt_rsb"><caption></caption><colgroup><col><col></colgroup><thead class="thead"> <tr class="row"> <th class="entry" id="linux_agent__table_zbq_gyt_rsb__entry__1"> <p class="p">配置项</p> </th> <th class="entry" id="linux_agent__table_zbq_gyt_rsb__entry__2"> <p class="p">说明</p> </th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer=true</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">日志发送开关。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">apmServer=true</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">性能采集开关。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.ip=192.168.58.12</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">安全日志审计服务的采集器 IP地址。配置后，Agent将采集到的日志发送到该IP地址。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.syslogPort=514</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">采集器 Syslog协议接收端口，一般为 514。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.logSendCharSet=utf8</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">日志发送编码，当收集的日志是乱码时，可以修改成gbk。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.logReaderCharSet=utf8</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">日志读取编码，当收集的日志是乱码时，可以修改成gbk。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.logDetectInterval=5</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">文件型日志监视间隔，单位秒。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.systemStatusDetectInterval=120</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">系统状态检测时间间隔，单位秒。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.sendSignalInterval=300</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">Agent 自身的心跳事件发送间隔，单位秒。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.limitResourceMode=on</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">CPU 占用模式开关。</p> <div class="p"> <div class="note note note_note" id="linux_agent__note_qgf_nb5_rsb"><span class="note__title">说明：</span> 为了限制linuxAgent自身占用过多系统CPU，可以通过 打开agentServer.limitResourceMode来进行控制。</div> </div> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.sendLogInterval=60</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">每条日志发送的时间间隔，单位毫秒。</p> <div class="p"> <div class="note note note_note" id="linux_agent__note_er1_wpn_ssb"><span class="note__title">说明：</span> 当agentServer.limitResourceMode=on时，agentServer.sendLogInterval配置项才会生效，发送间隔越小占用系统资源越多。</div> </div> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">apmServer.ip=192.168.58.12</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 "> <p class="p">安全日志审计服务的采集器 IP地址。配置后，Agent将采集到的性能数据发送到该IP地址。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">window.event.log.enable=false(如果是true，则改成false)</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 " rowspan="3"> <p class="p">Windows 事件采集相关（无需配置）。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">window.event.log.sleep=10</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">window.event.log.types=Application,System,Security,DNS Server,Directory Service,File Replication Service,HardwareEvents,Internet Explorer,Key Management Service,Windows PowerShell</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.updatePort=443</p> </td> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__2 " rowspan="5"> <p class="p">Agent 在线升级配置项，使用默认配置即可。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.updateSSLEnable=on</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.updateInterval=3</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.updateUserName=abc</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_zbq_gyt_rsb__entry__1 "> <p class="p">agentServer.updatePassword=abc</p> </td> </tr> </tbody></table> </section> <section class="section" id="linux_agent__section_bxh_sc4_ssb"><h2 class="doc-tairway">log4j.properties文件修改说明</h2> <p class="p">log4j.properties是控制agent自身产生的日志的配置文件，一般情况下不需要修改此配置文件，如有特殊需要请提交<a class="xref" href="https://www.ocftcloud.com/console/workorder/create" target="_blank" rel="external noopener">工单</a>联系技术人员处理。</p> </section> <section class="section" id="linux_agent__section_phk_kqn_ssb"><h2 class="doc-tairway">textAgent.xml文件修改说明</h2> <p class="p">textAgent.xml是控制采集文本型日志的配置文件，如需采集文本型日志，请根据下图说明修改配置文件。</p> <div class="p"> <img class="image" id="linux_agent__image_djw_sz4_ssb" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112056-13249f2d980b.png" width="800"> </div> <ul class="ul" id="linux_agent__ul_hxs_5z4_ssb"> <li class="li"><strong class="ph b">日志路径配置</strong>：<p class="p">当安装Agent的日志服务器上，存在属于不同的应用的多个文本型日志时，如需在安全日志审计上识别产生日志的应用，则需配置资产重识别。即将各个logPath中device的值与安全日志审计上对应资产的资产别名设置成相同值；不需要重识别时，设置成device=""即可。</p><p class="p">您可以配置一个或多个logPath，来采集多个路径下面的日志。logPath的值可以配置为一个目录（监控并采集该目录下的所有日志文件，包括子目录下的文件），也可以配置为某个具体的文件，还可以使用通配符指定某类文件，如*.log或xxx.*等。</p></li> <li class="li"><strong class="ph b">多行日志合并配置</strong>：<p class="p">安全日志审计还支持对采集到的日志进行多行日志合并，只需要在对应的logPath中配置lineMergeRegex即可，合并规则需要根据项目的实际情况进行定制，定制规则请提交<a class="xref" href="https://www.ocftcloud.com/console/workorder/create" target="_blank" rel="external noopener">工单</a>联系技术人员。</p></li> <li class="li"><strong class="ph b">老日志采集配置</strong>：<p class="p">若运行Agent前，文本中已经存在的日志也需要采集，只需要打开发送老日志开关即可，即设置sendOldLogSwitch=on。您还可以通过配置sendOldLogLineCount来指定发送文本中最后多少条日志，0表示发送文本中所有的日志。</p><p class="p">发送老日志功能只在Agent第一次运行时生效，Agent根据安装目录的save下是否存在文件text_timestamp.conf来判断是否是第一次运行。若文件不存在，则说明程序是第一次运行；若文件存在，则说明程序不是第一次运行。</p></li> <li class="li"><strong class="ph b">过滤配置</strong>：<p class="p">Agent支持对采集到的日志进行过滤，如需使用过滤功能，请打开日志过滤总开关，即设置logFilter status="on"，只有总开关打开的情况下，子规则才会生效。</p><p class="p">您可以根据需要设置一个或多个子规则，每条过滤子规则对应的文件必须包含在某个logPath节点中，且每个子规则都有单独的开关。其中，rule的值即为过滤规则的内容，可以是短语、正则表达式；mode是过滤规则模式，true表示与过滤规则内容匹配成功的日志会被过滤；false表示与过滤规则内容匹配不成功的日志会被过滤。如需过滤多个文件中的内容，可以复制多个logPath节点，如：</p><ul class="ul" id="linux_agent__ul_sgq_f3p_ssb"> <li class="li"><code class="ph codeph"><filter target="c:/test/*.log" rule="中文" mode="true" status="on"/></code></li> <li class="li"><code class="ph codeph"><filter target="/home/candy/socAgent_Linux_100623/log/2.log" rule="123" mode="true" status="on"/></code></li> </ul> </li> <li class="li"><strong class="ph b">威胁事件检测开关</strong>：<p class="p">以webwall.xml为依据对采集到的每条日志进行检测。当检测到有威胁时，则此条日志被标记为威胁事件；否则为普通事件，不进行处理。</p><p class="p">只有打开威胁事件检测总开关，即设置logAttackCheck="on"时，各个子检测项才生效。您可以配置一个或多个子检测项，每个子检测项中对应的文件必须包含在某个logPath节点中，且每个子检测项有单独的开关。其中，mode表示日志发送模式，true表示只发送威胁事件，不发送普通事件，false表示威胁事件和普通事件都会发送。</p></li> </ul> </section> <section class="section" id="linux_agent__section_umv_pjp_ssb"><h2 class="doc-tairway">databaseAgent.xml文件修改说明</h2> <p class="p">databaseAgent.xml是控制采集数据库中表里的数据的配置文件。目前，安全日志审计支持采集mysql、oracle、sqlserver三种类型的数据库中的数据。同时，还支持监控远程计算机上的数据库表内容，只要对方开通了数据库的访问权限。</p> <p class="p">如需采集数据库中的日志，需要根据各数据库的jdbc连接格式修改配置文件databaseAgent.xml，各数据库jdbc连接格式如下：</p> <ul class="ul" id="linux_agent__ul_lny_lkp_ssb"> <li class="li"><strong class="ph b">MySql</strong>：<p class="p">driver: com.mysql.jdbc.Driver</p><p class="p">connectUrl: jdbc:mysql://host:port/databaseName</p></li> <li class="li"><strong class="ph b">oracle</strong>：<p class="p">driver: oracle.jdbc.driver.OracleDriver</p><p class="p">connectUrl: jdbc:oracle:thin:@host:port:SID</p><p class="p">查看SID方法: select name form V$database</p></li> <li class="li"><strong class="ph b">SQLServer</strong>:<p class="p">driver : net.sourceforge.jtds.jdbc.Driver</p><p class="p">connectUrl: jdbc:jtds:sqlserver://host:port/databaseName</p></li> </ul> <p class="p">databaseAgent.xml中各个配置项说明如下表所示：</p> <table class="table" id="linux_agent__table_cbc_skp_ssb"><caption></caption><colgroup><col style="width:51.45631067961165%"><col style="width:48.54368932038835%"></colgroup><thead class="thead"> <tr class="row"> <th class="entry" id="linux_agent__table_cbc_skp_ssb__entry__1"> <p class="p">配置项</p> </th> <th class="entry" id="linux_agent__table_cbc_skp_ssb__entry__2"> <p class="p">说明</p> </th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><jdbc status="on"></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">jdbc节点监控开关。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><name>mysql_01</name></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">用于标识该模块监控的内容，不同jdbc中模块名不要设置成相同。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><appendName>true</appendName></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">资产重识别需要时添加这一行，true为转发日志带头标记，如DbAppSOCAgent get log from " mysql-01"，false为不带头标记。也用于数据表日志资产重识别。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"> <type>mysql</type></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">数据库类型，mysql , oracle , sqlserver 类型名必须设置正确。</p> <div class="p"> <div class="note note note_note" id="linux_agent__note_chh_xmp_ssb"><span class="note__title">说明：</span> 您可以根据需求设置多个jdbc节点，每个jdbc节点对应一种类型的数据库连接配置，各个jdbc中的 type值不能相同。</div> </div> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><driver>com.mysql.jdbc.Driver</driver></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">驱动名。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><connectUrl>jdbc:mysql://127.0.0.1:3306/agent</connectUrl></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">连接url，其中<em class="ph i">agent</em>处是对应的数据库名称。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"> <user>admin</user></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">连接到数据库的用户名。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><password>123456</password></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">连接到数据库的密码。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"> <logDetectInterval>3</logDetectInterval></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">数据库表检测间隔，单位秒。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"> <logs></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 ">　<p class="p">/</p></td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><log status="on"></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">可以配置多个log节点，一个节点对应一张表的数据。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><name>test</name></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">区分不同log节点的属性。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"><query>select * from test</query></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">将需要发送的字段用sql查询出来，查询结果作为日志发送给安全日志审计服务。</p> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"> <filter rule="test" mode="true" status="on"/></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">日志过滤开关：</p> <p class="p"> 如需对查询到的结果进行过滤再发送，则需要打开日志过滤开关。</p> <ul class="ul" id="linux_agent__ul_ovf_vlp_ssb"> <li class="li"> status为on表示打开过滤功能，off表示关闭过滤功能。</li> <li class="li">mode为过滤模式，true表示与rule匹配成功的日志会被过滤，false表示只有与rule匹配成功的日志不会被过滤。</li> <li class="li">rule为过滤规则内容，可以是短语、正则表达式。</li> </ul> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"> <sendOldLog lineCount="5" status="on"/></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">发送老数据开关：</p> <p class="p"> 程序第一次启动时，如果需要发送表中已经存在的数据时，需要打开发送老数据开关。</p> <ul class="ul" id="linux_agent__ul_mxp_dmp_ssb"> <li class="li"> status为on时表示发送老数据，为off时表示不发送。</li> <li class="li"> lineCount表示发送的老数据行数。</li> </ul> <div class="p"> <div class="note note note_note" id="linux_agent__note_b55_pmp_ssb"><span class="note__title">说明：</span> Agent根据安装目录的save下是否存在文件name_jdbc_timestamp.conf（<em class="ph i">name</em>为配置文件中对应的<name>值）来判断程序是否是第一次运行。若文件不存在，说明程序是第一次运行；若文件存在，则不是第一次运行。</div> </div> </td> </tr> <tr class="row"> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__1 "> <p class="p"><code class="ph codeph"> <logAttackCheck mode="false" status="on"/></code></p> </td> <td class="entry" headers="linux_agent__table_cbc_skp_ssb__entry__2 "> <p class="p">威胁日志检测开关：</p> <p class="p"> 如需检查查询到的日志是否为威胁日志，则需要打开威胁日志检测开关。</p> <ul class="ul" id="linux_agent__ul_yvk_2lp_ssb"> <li class="li">status为on表示对日志进行威胁检测，为off时表示不检测。</li> <li class="li"> mode为日志发送模式，为true表示只发送威胁日志，false表示发送威胁日志和普通日志。</li> </ul> </td> </tr> </tbody></table> </section> <section class="section" id="linux_agent__section_fnw_hnp_ssb"><h2 class="doc-tairway">程序重启</h2> <p class="p">当各个配置文件有改动时，需要重启agent，修改项才会生效。</p> <p class="p">在Agent安装目录的bin目录下，执行sh restart.sh或./restart.sh文件，即可完成重启操作。</p> </section> <section class="section" id="linux_agent__section_byg_3np_ssb"><h2 class="doc-tairway">程序卸载</h2> <p class="p">在Agent安装目录的bin目录下，执行sh uninstall.sh或./uninstall.sh文件，会先停止运行Agent，再卸载程序，然后删除linuxAgent安装目录即可彻底删除Agent，不会遗留任何数据。</p> </section>