如何安装和卸载事件日志分析器
最后更新于:
如何安装?
若需安装EventLog Analyzer 64位版本:
- 在 Windows 操作系统中,执行ManageEngine_EventLogAnalyzer_64bit.exe
- 在 Linux 操作系统中,执行ManageEngine_EventLogAnalyzer_64bit.bin
针对 Linux 系统安装
- 在安装事件日志分析器前,请通过在Unix终端或Shell中执行以下命令使安装文件可执行:
- 现在,通过双击或在终端/Shell中运行./ManageEngine_EventLogAnalyzer.bin来启动程序。
chmod +x ManageEngine_EventLogAnalyzer.bin
启动安装程序后将依次执行以下步骤:
- 同意许可协议条款。可打印协议供离线查阅。
- 选择产品安装目录。使用"浏览"选项。默认安装路径为C:\ManageEngine\EventLog Analyzer。若新目录或默认目录不存在,系统将自动创建并完成安装。
- 输入Web服务器端口号。默认端口为8095。请确保默认端口或您选择的端口未被其他应用程序占用。
- 输入产品在程序文件夹中的显示名称。默认名称为ManageEngine EventLog Analyzer。
- 输入您的个人信息以便获取支持。
程序结束时,向导将显示ReadMe文件并启动EventLog Analyzer服务器。
至此,EventLog Analyzer产品安装完成。
如何卸载?
64 位元与 32 位元版本的解除安装程序相同。
Windows:
- 导航至EventLog Analyzer的安装程序文件夹。默认路径为:开始 > 程序 > ManageEngine EventLogAnalyzer <版本号>。
- 选择“卸载EventLogAnalyzer”选项。
- 系统将要求您确认选择,确认后EventLog Analyzer将被卸载。
Linux:
- 导航至"<EventLogAnalyzer安装目录>/_ManageEngine EventLogAnalyzer_installation"文件夹。
- 在终端控制台中执行以下命令:
- 系统将要求您确认选择,确认后 EventLog Analyzer 即可卸载。
./Change\ ManageEngine\ EventlogAnalyzer\ Installation
在您的环境中启动事件日志分析器前,请确保已完成以下准备工作。
EventLog Analyzer需要哪些端口?
1. 主端口
Web 服务器端口
| PORT | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| HTTP/8095(可配置) | 事件日志分析器服务器 |
|
端口使用说明:
|
Elasticsearch
| 端口 | INBOUND | 出站 | 附加权限 |
|---|---|---|---|
| TCP/9300-9400(可配置) | 事件日志分析器搜索引擎管理节点 [ SEM节点] | 事件日志分析器服务器 |
端口使用情况:
|
内部通信
| 端口 | 入站与出站 | 附加权限 |
|---|---|---|
| UDP/5000(可配置) | 事件日志分析器服务器 |
端口使用情况:
|
数据库
| 端口 | 附加权限和许可 |
|---|---|
| TCP/33335 |
端口使用情况:
|
2. 日志收集
Windows 日志收集
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/135 | Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 在WMI属性中为root\cimv2设置:
防火墙权限:
|
| TCP/139 | Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | |
| RPC 端口的动态范围 - TCP/49152 至 65,535 | Windows设备 | 事件日志分析器服务器 | RPC 为 Windows Server 2008 及更高版本以及 Windows Vista 及更高版本随机分配高 TCP 端口 |
- 在事件日志分析器代理计算机上无需打开出站端口,在事件日志分析器服务器上也无需打开入站端口。
- 对于 Windows 2000、Windows XP 和 Windows Server 2003,动态 RPC 端口范围为 1025 至 5000。
- 为提升各类开放端口的安全防护,建议将服务器IP地址纳入防火墙管控范围。此举可确保仅允许来自指定服务器的授权流量通过防火墙。 此外,通过预定义规则结合进程与服务过滤器(如WMI、RPC、HTTP/HTTPS、远程事件日志管理),仅允许特定进程或服务通过指定端口通信,可进一步强化安全防护。若服务器IP发生变更,务必及时更新对应的防火墙规则。
Syslog收集
| 端口 | 入站 | 出站 | 服务 | 附加权限和许可 |
|---|---|---|---|---|
| UDP/514(可配置) | 事件日志分析器服务器 | 目标设备 | Syslog |
用户权限:
|
| UDP/513(可配置) | 事件日志分析器服务器 | 目标设备 | Syslog | |
| TLS/513(可配置) | 事件日志分析器服务器 | 目标设备 | Syslog | |
| TCP/514(可配置) | 事件日志分析服务器 | 目标设备 | Syslog |
SSH通信
| PERMISSION | 使用情况 |
|---|---|
|
确保以下算法存在于 sshd_config 文件中。 文件位置:/etc/ssh/sshd_config 密钥交换(KEX):diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha256, diffie-hellman-group14-sha1, diffie-hellman-group14-sha256, diffie-hellman-group15-sha512, diffie-hellman-group16-sha512, diffie-hellman-group17-sha512, diffie-hellman-group18-sha512 , ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp52 密码套件:aes128cbc, aes128ctr, aes192cbc, aes192ctr, aes256cbc, aes256ctr, arcfour128, arcfour256, blowfishcbc, tripledescbc 消息认证码:hmacmd5、hmacmd596、hmacsha1、hmacsha196、hmacsha256、hmacsha512 *此项为所有Linux通信的必备要求。 |
|
配置自动Syslog转发
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/22 | Linux设备 | 事件日志分析器服务器 | SSH |
用户权限: 'rsyslog' 或 'syslog' 服务的重启权限。 用户权限:
|
AS400日志收集
| 端口 | 入站 | 出站 |
|---|---|---|
| TCP/446-449 | AS400服务器 | 事件日志分析器服务器 |
| TCP/8470-8476 | AS400 服务器 | 事件日志分析器服务器 |
| TCP/9470-9476 | AS400 服务器 | 事件日志分析器服务器 |
SNMP 陷阱收集
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| UDP/162(可配置) | 事件日志分析器服务器 | 网络设备/应用程序 | SNMP |
用户权限:
|
IIS 日志收集
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/135 | IIS 服务器 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/139 | IIS服务器 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | IIS服务器 | 事件日志分析器服务器 | SMB RPC/NP |
3. 代理协调
Windows 代理日志收集与通信
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| HTTP/8095(可配置) | 事件日志分析器服务器 | 事件日志分析器代理计算机 |
环境权限:
|
通信包括代理同步和检查代理状态等任务。
Windows 代理安装与管理
| 端口 | 入站 | 出站 | 服务 | 附加权限 |
|---|---|---|---|---|
| TCP/135 | 事件日志分析器代理计算机 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/139 | 事件日志分析器代理计算机 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | 事件日志分析器代理计算机 | 事件日志分析器服务器 | SMB RPC/NP | |
| RPC 端口的动态范围 - TCP/49152 至 65,535 | 事件日志分析器代理机 | 事件日志分析器服务器 | RPC 为 Windows Server 2008 及更高版本以及 Windows Vista 及更高版本随机分配高 TCP 端口 |
管理涉及启动、停止或卸载代理软件等操作。
Linux 代理安装
| 端口 | 入站 | 出站 | 服务 | 附加权限和许可 |
|---|---|---|---|---|
| TCP/22 | 事件日志分析器代理计算机 | 事件日志分析器服务器 | SSH |
Sudo用户权限:
|
Linux 代理管理与通信
| 端口 | 入站 | 出站 | 附加权限和许可 |
|---|---|---|---|
| TCP/22 | 事件日志分析器服务器 | 事件日志分析器服务器 |
用户权限:
|
| HTTP/8095(可配置) | 事件日志分析器服务器 | 事件日志分析器代理计算机 |
4. 日志导入
使用SMB导入日志
| 端口 | 入站 | 出站 | 服务 | 附加权限 |
|---|---|---|---|---|
| TCP/137 | 目标设备 | 事件日志分析器服务器 | NetBIOS 名称解析RPC/命名管道 (NP) |
用户权限:
|
| TCP/138 | 目标设备 | 事件日志分析器服务器 | NetBIOS 数据报 | |
| TCP/139 | 目标设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | 目标设备 | 事件日志分析器服务器 | SMB RPC/NP |
使用FTP导入日志
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/20 | 目标设备 | 事件日志分析器服务器 | FTP/SFTP |
用户权限:
|
| TCP/21 | 目标设备 | 事件日志分析器服务器 | FTP/SFTP |
5. 发现
Windows 域发现
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/389 | 域控制器 | 事件日志分析器服务器 | LDAP |
用户权限:
|
Windows 工作组发现
| 端口 | 入站 | 出站 | 服务 | 附加权限和许可 |
|---|---|---|---|---|
| TCP/135 | 工作组服务器 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/139 | 工作组服务器 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | 工作组服务器 | 事件日志分析器服务器 | SMB RPC/NP | |
| TCP/1024-65535 | 工作组服务器 | 事件日志分析器服务器 | RPC 随机分配高 TCP 端口 |
事件源发现
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/135 | 目标 Windows 设备 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/137 | 目标 Windows 设备 | 事件日志分析器服务器 | NetBIOS 名称解析RPC/命名管道 (NP) | |
| TCP/138 | 目标 Windows 设备 | 事件日志分析器服务器 | NetBIOS 数据报 | |
| TCP/139 | 工作组服务器 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | 工作组服务器 | 事件日志分析器服务器 | SMB RPC/NP |
MSSQL服务器发现-Windows
| 端口 | 入站 | 出站 | 附加权限和许可 |
|---|---|---|---|
| UDP/1434 | MSSql 服务器 | 事件日志分析器服务器 |
用户权限:
|
| TCP/1433 | MSSQL服务器 | 事件日志分析器服务器 |
网络设备发现
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| UDP/162 | 网络设备 | 事件日志分析器服务器 |
端口使用情况:
|
IIS 发现
| 端口 | INBOUND | 出站 | 服务 | 附加权限和许可 |
|---|---|---|---|---|
| TCP/445 | IIS 服务器 | 事件日志分析器服务器 | SMB RPC/NP |
端口使用情况:
|
MYSQL服务器发现-Windows
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/135 | MySql服务器 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/445 | MySQL服务器 | 事件日志分析器服务器 | SMB RPC/NP |
MySQL服务器发现-Linux
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/22 | MySql服务器 | 事件日志分析器服务器 | SMB RPC/NP |
用户权限:
|
6. 事件工作流管理
网络操作
| BLOCK | 端口 | 入站 | 出站 |
|---|---|---|---|
| PING设备 | ICMP/无端口 | 受审计的 Windows/Linux 设备 | 事件日志分析器服务器 |
| Windows 追踪路由 | ICMP/无端口 | 已审核的 Windows 设备 | 事件日志分析服务器 |
| 追踪路由 Linux | UDP/33434 -33534 | 已审核的 Linux 设备 | 事件日志分析器服务器 |
Windows 操作
| BLOCK | 端口 | INBOUND | 出站 | 服务 | 附加权利与许可 |
|---|---|---|---|---|---|
| 注销 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于 root\cim v2 在 WMI 属性中:
环境权限:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 关机和重启 | TCP/135 | 已审核的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
环境权限:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 执行 Windows 脚本 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
环境权限:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 禁用USB | TCP/135 | 已审核的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
环境权限:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 所有服务阻塞 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 启动进程 | TCP/135 | 已审核的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 停止进程 | TCP/135 | 已审核的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 测试进程 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 |
Linux 操作
| BLOCK | 阻止 | INBOUND | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|---|
| 关机和重启 | TCP/指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:用户应为root用户。 |
| 执行 Windows 脚本 | TCP/指定端口。 | 受稽核的 Linux 裝置 | 事件日志分析器服务器 | - | 环境权限:用户具备sudo权限。 |
| 所有服务阻止 | TCP/指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:Sudo权限。 |
| 启动进程 | TCP/指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:应为提供凭据的用户授予执行命令的权限。 |
| 停止进程 | 指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:应为提供凭据的用户授予执行命令的权限。 |
| 测试进程 | TCP/指定端口。 | 受稽核的 Linux 裝置 | 事件日志分析器服务器 | - | - |
通知
| BLOCK | 端口 | 入站 | 出港 | 服务 | 附加权利与许可 |
|---|---|---|---|---|---|
| 弹出窗口 | TCP/135 | 审计的 Linux 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限 对于 root\cim v2 在 WMI 属性中:
环境权限:
|
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 弹出 LINUX | TCP/指定端口。 | 审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:用户具备sudo权限。 |
| 发送电子邮件(Windows & Linux) | 配置SMTP服务器时提及的TCP/端口 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:SMTP服务器应配置在事件日志分析器服务器上 |
| 发送短信(Windows & Linux) | - | - | - | - | 环境权限:产品中应配置短信服务器。 |
| 发送 SNMP 陷阱 WINDOWS & LINUX | UDP/工作流块中指定的端口 | 受监控的Windows/Linux设备 | 事件日志分析器服务器 | - | 环境权限:工作流配置中提及的端口应保持开放状态。 |
AD操作
| BLOCK | 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|---|
| 删除广告用户窗口 | TCP/389 | 受稽核的網域控制器 | 事件日志分析器服务器 | LDAP |
用户权限:
|
| 禁用 AD 用户 Windows | TCP/389 | 已审核的域控制器 | 事件日志分析器服务器 | LDAP |
用户权限:
|
| 禁用用户计算机 Windows 和 Linux | TCP/389 | 已审核的域控制器 | 事件日志分析器服务器 | LDAP | 用户权限:
|
其他操作
| BLOCK | 端口 | INBOUND | 出站 | 附加权限和许可 |
|---|---|---|---|---|
| 写入文件窗口 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 |
用户组:
用户权限:
用户权限: 对于 root\cim v2 在 属性中:
环境权限:
|
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | ||
| 写入文件 Linux | TCP/指定端口。 | 审计的 Linux 设备 | 事件日志分析器服务器 | 环境权限:
|
| HTTP WebHook | - | - | - | 环境权限:
|
| 转发日志 | TCP/指定端口 | 受审计的 Windows/Linux 设备 | 事件日志分析器服务器 | - |
| CSV 查询 | TCP/指定端口 | 受审计的 Windows/Linux 设备 | 事件日志分析器服务器 | 用户权限:
|
防火墙操作
| BLOCK | 端口 | 入站 | 出站 | 附加权限与许可 |
|---|---|---|---|---|
| 思科ASA拒绝入站/出站规则 | https/443 | 防火墙设备 | 事件日志分析器服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#ciscoCredentials |
| Fortigate 拒绝访问规则 | https/443 | 防火墙设备 | 事件日志分析服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#fortigateCredentials |
| Palo Alto 拒绝访问规则 | https/443 | 防火墙设备 | 事件日志分析服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#paloAltoCredentials |
| Sophos XG 拒绝访问规则 | https/443 | 防火墙设备 | 事件日志分析服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#sophosXGCredentials |
| Barracuda 拒绝访问规则 | https/8443 | 防火墙设备 | 事件日志分析器服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#fortigateCredentials |
7. 分布式通信设置
分布式
| PORT | 进港 | 外向 | 附加权限与许可 |
|---|---|---|---|
| HTTP/8095(可配置) | 事件日志分析器管理服务器计算机 | EventLog Analyzer 管理服务器计算机 |
用户权限:
|
| HTTP/8095(可配置) | 事件日志分析器管理服务器机器 | EventLog Analyzer 受管伺服器機器 |
用户权限:
|
集中归档端口
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| SSH/8080(可配置) | EventLog Analyzer 管理服务器计算机 | EventLog Analyzer 受管伺服器機器 |
用户权限:
|
在防病毒应用程序中使用事件日志分析器
为确保事件日志分析器正常运行,需将下列文件添加至防病毒软件的例外列表:
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| <ELA_HOME>/ES/data | Elasticsearch索引数据存储位置。 | 若数据被删除,所有收集的日志将不可用。 |
| <ELA_HOME>/ES/repo | Elasticsearch索引快照存储于此位置。 | 若此目录下的文件被删除,快照及Elasticsearch归档功能将失效。 |
| <ELA_HOME>/ES/archive | Elasticsearch归档文件存储于此。 | 若此处文件被删除,归档日志数据将不可用。 |
| <ME>/elasticsearch/ES/data | Elasticsearch索引数据存储于此。 | 若删除此数据,报表功能将受影响。 |
| <ME>/elasticsearch/ES/repo | Elasticsearch索引快照在此位置生成。 | 若删除此目录下的文件,快照及Elasticsearch归档功能将失效。 |
| <ME>/elasticsearch/ES/archive | Elasticsearch归档文件存储于此。 | 若此处文件被删除,数据将不可用。 |
| <ELA_HOME>/data/za/threatfeeds | 此处存储捆绑文件,内含恶意IP、域名及URL列表,用于断网情况下的数据访问。这些文件将在首次默认威胁源同步时被删除。白名单设置仅需维持至首次同步完成。 | 若文件被移除且网络断开,则数据集中将缺失恶意威胁源列表。 |
| <ELA_HOME>/data/AlertDump | 格式化日志在告警处理前存储于此。可能被防病毒软件误判为误报。 | 若文件被隔离或删除,相关告警将无法触发。 |
| <ELA_HOME>/data/NotificationDump | 格式化日志在处理通知前存储。可能被防病毒应用程序误判为误报。 | 若文件被隔离或删除,触发的告警通知将丢失。 |
| <ELA_HOME>/bin | 所有二进制文件均存放于此。部分防病毒应用可能将其误判为误报而拦截。 | 产品可能无法正常运行。 |
| <ELA_HOME>/data/imworkflow | 用户上传用于工作流执行的二进制文件存储于此。 | 脚本告警工作流可能无法正常运行。 |
| <ELA_HOME>/pgsql/bin | 此处包含 Postgres 二进制文件。可能被防病毒应用程序误报为误报。 | 产品可能无法启动。 |
| <ELA_HOME>/lib/native | 所有二进制文件均存放于此。部分杀毒软件可能误判为病毒而拦截。 | 产品可能无法正常运行。 |
| <ELA_HOME>/archive(若归档文件夹已移动至新位置,请添加新路径) | 杀毒软件可能导致频繁写入操作变慢。 | 若杀毒软件导致写入操作变慢,产品可能出现性能问题。 |
| <ELA_HOME>/troubleshooting | 所有故障排除二进制文件均包含在此处。某些防病毒应用程序可能将其误判为误报而阻止。 | 部分故障排除批处理文件可能无法正常运行。 |
| <ELA_HOME>/tools | 此处包含所有工具二进制文件。部分防病毒软件可能将其误判为威胁而拦截。 | 若文件被杀毒软件删除,部分工具可能无法正常运行。 |
| <ELA_HOME>/ES/CachedRecord | 杀毒软件可能导致频繁写入操作变慢。 | 若杀毒软件导致写入操作变慢,产品可能出现性能问题。 |
适用于Windows代理机(64位):
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin | 代理程序二进制文件存储于此。 | 若文件被隔离,代理程序可能无法运行。 |
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data | 防病毒应用程序可能减慢频繁写入操作的速度。 | 若防毒應用程式減慢寫入操作,產品可能出現效能問題。 |
| C:\TEMP\EventLogAgent | 安装程序会移动代理安装文件以进行安装和升级。 | 若文件被隔离,代理可能无法升级/安装。 |
Windows 32 位代理机:
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| C:\Program Files\EventLogAnalyzer_Agent\bin | 代理程序二进制文件存储于此。 | 若文件被隔离,代理程序可能无法正常运行。 |
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data | 防病毒应用程序可能减慢频繁写入操作的速度。 | 若防毒應用程式減緩寫入操作,產品可能出現效能問題。 |
| C:\TEMP\EventLogAgent | 安装程序会移动代理安装文件以进行安装和升级。 | 若文件被隔离,代理可能无法升级/安装。 |
针对 Linux 代理:
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| /opt/ManageEngine/EventLogAnalyzer_Agent/bin | 代理程序二进制文件存储于此。 | 如果文件被隔离,代理程序可能无法正常工作。 |
| /opt/ManageEngine/EventLogAnalyzer_Agent/bin/data | 防病毒应用程序可能导致频繁写入操作变慢。 | 若防毒應用程式導致寫入操作變慢,產品可能出現效能問題。 |
8. 高级威胁分析
| PORT | 附加权限 |
|---|---|
| HTTPS/443 |
为获取"Log360云威胁分析"数据源,将使用以下URL |