如何安装和卸载事件日志分析器

最后更新于:

如何安装?

注意:EventLog Analyzer安装在加入域的计算机上后,将自动发现该设备的域,并添加域中对广播查询响应最快的五台Windows Server计算机。用户可删除这些设备,一旦删除将不会自动重新添加。

若需安装EventLog Analyzer 64位版本:

  • 在 Windows 操作系统中,执行ManageEngine_EventLogAnalyzer_64bit.exe
  • 在 Linux 操作系统中,执行ManageEngine_EventLogAnalyzer_64bit.bin

针对 Linux 系统安装

  • 在安装事件日志分析器前,请通过在Unix终端或Shell中执行以下命令使安装文件可执行:
  • 复制到剪贴板

    chmod +x ManageEngine_EventLogAnalyzer.bin

  • 现在,通过双击或在终端/Shell中运行./ManageEngine_EventLogAnalyzer.bin来启动程序。

启动安装程序后将依次执行以下步骤:

  • 同意许可协议条款。可打印协议供离线查阅。
  • 选择产品安装目录。使用"浏览"选项。默认安装路径为C:\ManageEngine\EventLog Analyzer。若新目录或默认目录不存在,系统将自动创建并完成安装。
  • 输入Web服务器端口号。默认端口为8095。请确保默认端口或您选择的端口未被其他应用程序占用。
  • 输入产品在程序文件夹中的显示名称。默认名称为ManageEngine EventLog Analyzer。
  • 输入您的个人信息以便获取支持。

程序结束时,向导将显示ReadMe文件并启动EventLog Analyzer服务器。
至此,EventLog Analyzer产品安装完成。

如何卸载?

64 位元与 32 位元版本的解除安装程序相同。


Windows:

  1. 导航至EventLog Analyzer的安装程序文件夹。默认路径为:开始 > 程序 > ManageEngine EventLogAnalyzer <版本号>
  2. 选择“卸载EventLogAnalyzer”选项。
  3. 系统将要求您确认选择,确认后EventLog Analyzer将被卸载。

Linux:

  1. 导航至"<EventLogAnalyzer安装目录>/_ManageEngine EventLogAnalyzer_installation"文件夹。
  2. 在终端控制台中执行以下命令:
  3. 复制到剪贴板

    ./Change\ ManageEngine\ EventlogAnalyzer\ Installation

  4. 系统将要求您确认选择,确认后 EventLog Analyzer 即可卸载。

在您的环境中启动事件日志分析器前,请确保已完成以下准备工作。

EventLog Analyzer需要哪些端口?

1. 主端口

Web 服务器端口

PORT 入站 出站 附加权限
HTTP/8095(可配置) 事件日志分析器服务器
  • 事件日志分析器技术人员计算机。
  • 事件日志分析器代理服务器。

端口使用说明:

  • 默认端口用于管理服务器与受管服务器之间,以及代理与服务器之间的通信。
  • 用户可自定义端口值,有效范围为1024–65535。

Elasticsearch

端口 INBOUND 出站 附加权限
TCP/9300-9400(可配置) 事件日志分析器搜索引擎管理节点 [ SEM节点] 事件日志分析器服务器

端口使用情况

  • EventLog Analyzer 中的 Elasticsearch 服务器使用此端口。EventLog Analyzer 服务器和 SEM 可共存于同一服务器。
  • 用户可自定义端口。有效值范围为 1024–65535。

内部通信

端口 入站与出站 附加权限
UDP/5000(可配置) 事件日志分析器服务器

端口使用情况

  • 这些UDP端口由EventLog Analyzer内部用于代理与服务器间的通信。
  • 用户可自定义该端口。有效值范围为1024–65535。
  • 绑定至本地主机的内部端口,无需开放防火墙端口。

数据库

端口 附加权限和许可
TCP/33335

端口使用情况

  • 用于连接事件日志分析器中PostgreSQL/MySQL数据库的PostgreSQL/MySQL数据库端口。
  • 由于内部端口绑定至本地主机,无需在防火墙上开放端口。

2. 日志收集

Windows 日志收集

端口 入站 出站 服务 附加权限与许可
TCP/135 Windows 设备 事件日志分析器服务器 RPC

用户组

  • 事件日志读取器
  • 分布式 COM 用户

用户权限:

在WMI属性中为root\cimv2设置:

  • 启用帐户
  • 远程启用
  • 读取安全性。

防火墙权限:

  • 预定义规则:
    Windows管理工具(WMI)
TCP/139 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口的动态范围 - TCP/49152 至 65,535 Windows设备 事件日志分析器服务器 RPC 为 Windows Server 2008 及更高版本以及 Windows Vista 及更高版本随机分配高 TCP 端口
注意
  • 在事件日志分析器代理计算机上无需打开出站端口,在事件日志分析器服务器上也无需打开入站端口。
  • 对于 Windows 2000、Windows XP 和 Windows Server 2003,动态 RPC 端口范围为 1025 至 5000。
  • 为提升各类开放端口的安全防护,建议将服务器IP地址纳入防火墙管控范围。此举可确保仅允许来自指定服务器的授权流量通过防火墙。 此外,通过预定义规则结合进程与服务过滤器(如WMI、RPC、HTTP/HTTPS、远程事件日志管理),仅允许特定进程或服务通过指定端口通信,可进一步强化安全防护。若服务器IP发生变更,务必及时更新对应的防火墙规则。

Syslog收集

端口 入站 出站 服务 附加权限和许可
UDP/514(可配置) 事件日志分析器服务器 目标设备 Syslog

用户权限:

  • 端口可由用户自定义。
UDP/513(可配置) 事件日志分析器服务器 目标设备 Syslog
TLS/513(可配置) 事件日志分析器服务器 目标设备 Syslog
TCP/514(可配置) 事件日志分析服务器 目标设备 Syslog

SSH通信

PERMISSION 使用情况

确保以下算法存在于 sshd_config 文件中。

文件位置:/etc/ssh/sshd_config

密钥交换(KEX):diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha256, diffie-hellman-group14-sha1, diffie-hellman-group14-sha256, diffie-hellman-group15-sha512, diffie-hellman-group16-sha512, diffie-hellman-group17-sha512, diffie-hellman-group18-sha512 , ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp52

密码套件:aes128cbc, aes128ctr, aes192cbc, aes192ctr, aes256cbc, aes256ctr, arcfour128, arcfour256, blowfishcbc, tripledescbc

消息认证码:hmacmd5、hmacmd596、hmacsha1、hmacsha196、hmacsha256、hmacsha512

*此项为所有Linux通信的必备要求

  • Linux 代理安装
  • Linux 代理管理与通信
  • 配置自动系统日志转发
  • Linux MYSQL 伺服器偵測

配置自动Syslog转发

端口 入站 出站 服务 附加权限与许可
TCP/22 Linux设备 事件日志分析器服务器 SSH

用户权限:

'rsyslog' 或 'syslog' 服务的重启权限。

用户权限:

  • 应为文件(/etc/rsyslog.conf 或 /etc/syslog.conf)启用 "rw" 权限。
  • SSH通信权限

AS400日志收集

端口 入站 出站
TCP/446-449 AS400服务器 事件日志分析器服务器
TCP/8470-8476 AS400 服务器 事件日志分析器服务器
TCP/9470-9476 AS400 服务器 事件日志分析器服务器

SNMP 陷阱收集

端口 入站 出站 服务 附加权限与许可
UDP/162(可配置) 事件日志分析器服务器 网络设备/应用程序 SNMP

用户权限:

  • 用户可自定义端口。

IIS 日志收集

端口 入站 出站 服务 附加权限与许可
TCP/135 IIS 服务器 事件日志分析器服务器 RPC

用户权限:

  • 应启用对 IIS 日志文件夹的读取权限。
  • 应启用系统 32/inetsrv 的权限
  • 需要管理员共享权限,例如:Admin$、c$
TCP/139 IIS服务器 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 IIS服务器 事件日志分析器服务器 SMB RPC/NP

3. 代理协调

Windows 代理日志收集与通信

端口 入站 出站 附加权限
HTTP/8095(可配置) 事件日志分析器服务器 事件日志分析器代理计算机

环境权限:

  • 代理机和服务器机均需开放8095端口。
注意

通信包括代理同步和检查代理状态等任务。

Windows 代理安装与管理

端口 入站 出站 服务 附加权限
TCP/135 事件日志分析器代理计算机 事件日志分析器服务器 RPC

用户权限:

  • 需启用对 \\<ipaddress>\Admin$\TEMP\EventLogAgent 文件夹内文件的读取、写入及修改权限。
  • 访问"远程注册表"服务
  • 至少需授予 winreg 注册表项的读取控制权限(路径:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipe Servers\winreg)。
  • 读取/写入注册表键 - SOFTWARE\\Wow6432Node\\ZOHO Corp\\EventLog Analyzer\\(或)SOFTWARE\\ZOHO Corp\\EventLog Analyzer\\。
  • 需访问远程 services.msc
TCP/139 事件日志分析器代理计算机 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 事件日志分析器代理计算机 事件日志分析器服务器 SMB RPC/NP
RPC 端口的动态范围 - TCP/49152 至 65,535 事件日志分析器代理机 事件日志分析器服务器 RPC 为 Windows Server 2008 及更高版本以及 Windows Vista 及更高版本随机分配高 TCP 端口
注意

管理涉及启动、停止或卸载代理软件等操作。

Linux 代理安装

端口 入站 出站 服务 附加权限和许可
TCP/22 事件日志分析器代理计算机 事件日志分析器服务器 SSH

Sudo用户权限:

  • 文件传输需为/opt/ManageEngine/目录授予"rwx"权限。
  • SSH 通信权限

Linux 代理管理与通信

端口 入站 出站 附加权限和许可
TCP/22 事件日志分析器服务器 事件日志分析器服务器

用户权限:

  • SFTP 权限,用于将文件传输到 /opt/Manage Engine/EventL ogAnalyzer_ Agent 和 /etc /audisp/plugins.d
  • 审计服务启动/停止/重启权限。
  • SSH通信权限
HTTP/8095(可配置) 事件日志分析器服务器 事件日志分析器代理计算机

4. 日志导入

使用SMB导入日志

端口 入站 出站 服务 附加权限
TCP/137 目标设备 事件日志分析器服务器 NetBIOS 名称解析RPC/命名管道 (NP)

用户权限:

  • 网络访问:禁止匿名用户禁止对 SAM 账户和共享资源进行匿名枚举。
  • 有时,连接到不同的工作组甚至需要凭据才能查看共享资源。
TCP/138 目标设备 事件日志分析器服务器 NetBIOS 数据报
TCP/139 目标设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 目标设备 事件日志分析器服务器 SMB RPC/NP

使用FTP导入日志

端口 入站 出站 服务 附加权限与许可
TCP/20 目标设备 事件日志分析器服务器 FTP/SFTP

用户权限:

  • 应启用 FTP 服务器的 SAuthentication。
TCP/21 目标设备 事件日志分析器服务器 FTP/SFTP

5. 发现

Windows 域发现

端口 入站 出站 服务 附加权限与许可
TCP/389 域控制器 事件日志分析器服务器 LDAP

用户权限:

  • 用户应具有对 Active Directory 域对象的读取权限。
  • 应存在以 ADS_SECURE_AUTHENTICATION 模式运行 LDAP 查询的权限。

Windows 工作组发现

端口 入站 出站 服务 附加权限和许可
TCP/135 工作组服务器 事件日志分析器服务器 RPC

用户权限:

  • 用户应具有对 Active Directory 域对象的读取权限。
  • 应授予在 ADS_SECURE_AUTHENTICATION 模式下运行 WinNT 查询的权限。
TCP/139 工作组服务器 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 工作组服务器 事件日志分析器服务器 SMB RPC/NP
TCP/1024-65535 工作组服务器 事件日志分析器服务器 RPC 随机分配高 TCP 端口

事件源发现

端口 入站 出站 服务 附加权限与许可
TCP/135 目标 Windows 设备 事件日志分析器服务器 RPC

用户权限:

  • winreg 注册表键至少应被授予读取控制权限。
TCP/137 目标 Windows 设备 事件日志分析器服务器 NetBIOS 名称解析RPC/命名管道 (NP)
TCP/138 目标 Windows 设备 事件日志分析器服务器 NetBIOS 数据报
TCP/139 工作组服务器 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 工作组服务器 事件日志分析器服务器 SMB RPC/NP

MSSQL服务器发现-Windows

端口 入站 出站 附加权限和许可
UDP/1434 MSSql 服务器 事件日志分析器服务器

用户权限:

  • 可配置为使用动态TCP端口进行通信。
TCP/1433 MSSQL服务器 事件日志分析器服务器

网络设备发现

端口 入站 出站 附加权限
UDP/162 网络设备 事件日志分析器服务器

端口使用情况:

  • 获取响应SNMP ping的活动SNMP启用IP设备列表。

IIS 发现

端口 INBOUND 出站 服务 附加权限和许可
TCP/445 IIS 服务器 事件日志分析器服务器 SMB RPC/NP

端口使用情况:

  • 服务器消息块(SMB)协议使用此端口读取日志文件。

MYSQL服务器发现-Windows

端口 入站 出站 服务 附加权限与许可
TCP/135 MySql服务器 事件日志分析器服务器 RPC

用户权限:

  • 需要 WMI 权限才能使用 SFTP 查找 MySQL 服务器配置文件。
TCP/445 MySQL服务器 事件日志分析器服务器 SMB RPC/NP

MySQL服务器发现-Linux

端口 入站 出站 服务 附加权限与许可
TCP/22 MySql服务器 事件日志分析器服务器 SMB RPC/NP

用户权限:

  • 使用 SFTP 读取 MySQL 服务器配置文件的权限。
  • SSH通信权限

6. 事件工作流管理

网络操作

BLOCK 端口 入站 出站
PING设备 ICMP/无端口 受审计的 Windows/Linux 设备 事件日志分析器服务器
Windows 追踪路由 ICMP/无端口 已审核的 Windows 设备 事件日志分析服务器
追踪路由 Linux UDP/33434 -33534 已审核的 Linux 设备 事件日志分析器服务器

Windows 操作

BLOCK 端口 INBOUND 出站 服务 附加权利与许可
注销 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于 root\cim v2 在 WMI 属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性

环境权限:

  • 计算机不应包含已安装EventLog Analyzer的服务器。
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
关机和重启 TCP/135 已审核的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全

环境权限:

  • 计算机不应包含已安装事件日志分析器的服务器
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
执行 Windows 脚本 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全

环境权限:

  • 用户应具有对脚本中共享路径的读取、写入和修改权限。
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
禁用USB TCP/135 已审核的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性

环境权限:

  • 远程注册表服务应处于运行状态。
  • 对 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 的完全控制权限
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
所有服务阻塞 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户
  • 管理员

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
启动进程 TCP/135 已审核的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
停止进程 TCP/135 已审核的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
测试进程 TCP/135 受审计的 Windows 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限:

对于根\cim v2 在WMI属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性
TCP/139 受审计的 Windows 设备 事件日志分析器服务器 NetBIOS 会话RPC/NP
TCP/445 受审计的 Windows 设备 事件日志分析器服务器 SMB RPC/NP
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口

Linux 操作

BLOCK 阻止 INBOUND 出站 服务 附加权限与许可
关机和重启 TCP/指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:用户应为root用户。
执行 Windows 脚本 TCP/指定端口。 受稽核的 Linux 裝置 事件日志分析器服务器 - 环境权限:用户具备sudo权限。
所有服务阻止 TCP/指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:Sudo权限。
启动进程 TCP/指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:应为提供凭据的用户授予执行命令的权限。
停止进程 指定端口。 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:应为提供凭据的用户授予执行命令的权限。
测试进程 TCP/指定端口。 受稽核的 Linux 裝置 事件日志分析器服务器 - -

通知

BLOCK 端口 入站 出港 服务 附加权利与许可
弹出窗口 TCP/135 审计的 Linux 设备 事件日志分析器服务器 RPC

用户组:

  • 分布式 COM 用户

用户权限

对于 root\cim v2 在 WMI 属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性

环境权限:

  • "AllowRemoteRPC" 值应为 1,路径为 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server。
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器 RPC 随机分配的高 TCP 端口
弹出 LINUX TCP/指定端口。 审计的 Linux 设备 事件日志分析器服务器 - 环境权限:用户具备sudo权限。
发送电子邮件(Windows & Linux) 配置SMTP服务器时提及的TCP/端口 受审计的 Linux 设备 事件日志分析器服务器 - 环境权限:SMTP服务器应配置在事件日志分析器服务器上
发送短信(Windows & Linux) - - - - 环境权限:产品中应配置短信服务器。
发送 SNMP 陷阱 WINDOWS & LINUX UDP/工作流块中指定的端口 受监控的Windows/Linux设备 事件日志分析器服务器 - 环境权限:工作流配置中提及的端口应保持开放状态。

AD操作

BLOCK 端口 入站 出站 服务 附加权限与许可
删除广告用户窗口 TCP/389 受稽核的網域控制器 事件日志分析器服务器 LDAP

用户权限:

  • 用户应在AD中拥有"删除"权限才能删除其他账户。
  • 要删除的用户不应勾选"保护对象免遭意外删除"。
禁用 AD 用户 Windows TCP/389 已审核的域控制器 事件日志分析器服务器 LDAP

用户权限:

  • 提供的用户账户应启用"读取"、"写入"、"修改所有者"和"修改权限"权限。
禁用用户计算机 Windows 和 Linux TCP/389 已审核的域控制器 事件日志分析器服务器 LDAP 用户权限:
  • 提供的用户账户应启用"读取"、"写入"、"修改所有者"和"修改权限"权限。

其他操作

BLOCK 端口 INBOUND 出站 附加权限和许可
写入文件窗口 TCP/135 受审计的 Windows 设备 事件日志分析器服务器

用户组:

  • 分布式 COM 用户

用户权限:

  • 作为操作系统的一部分运行
  • 以批处理作业身份登录
  • 以服务身份登录
  • 替换进程级令牌

用户权限:

对于 root\cim v2 在 属性中:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全

环境权限:

  • 用户应具有对共享路径的读取、写入和修改权限。
RPC 端口 - TCP/1024 至 65,535 受审计的 Windows 设备 事件日志分析器服务器
写入文件 Linux TCP/指定端口。 审计的 Linux 设备 事件日志分析器服务器 环境权限:
  • 用户需具备sudo权限
HTTP WebHook - - - 环境权限:
  • 对目标 URL 的主机/端口组合的“连接”套接字权限,或允许此请求的“URL 权限”。
转发日志 TCP/指定端口 受审计的 Windows/Linux 设备 事件日志分析器服务器 -
CSV 查询 TCP/指定端口 受审计的 Windows/Linux 设备 事件日志分析器服务器 用户权限
  • 对指定CSV文件的读取权限。

防火墙操作

BLOCK 端口 入站 出站 附加权限与许可
思科ASA拒绝入站/出站规则 https/443 防火墙设备 事件日志分析器服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#ciscoCredentials

Fortigate 拒绝访问规则 https/443 防火墙设备 事件日志分析服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#fortigateCredentials

Palo Alto 拒绝访问规则 https/443 防火墙设备 事件日志分析服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#paloAltoCredentials

Sophos XG 拒绝访问规则 https/443 防火墙设备 事件日志分析服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#sophosXGCredentials

Barracuda 拒绝访问规则 https/8443 防火墙设备 事件日志分析器服务器

端口用户可自定义

附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#fortigateCredentials

7. 分布式通信设置

分布式

PORT 进港 外向 附加权限与许可
HTTP/8095(可配置) 事件日志分析器管理服务器计算机 EventLog Analyzer 管理服务器计算机

用户权限:

  • 管理服务器通过默认Web服务器端口与管理服务器通信。
  • 默认端口号为 8095。
  • 用户可自定义该端口。
HTTP/8095(可配置) 事件日志分析器管理服务器机器 EventLog Analyzer 受管伺服器機器

用户权限:

  • 管理服务器通过默认Web服务器端口与受管服务器通信
  • 用户可自定义端口,数值应在1024至65535之间。

集中归档端口

端口 入站 出站 附加权限
SSH/8080(可配置) EventLog Analyzer 管理服务器计算机 EventLog Analyzer 受管伺服器機器

用户权限:

  • 受管伺服器透過SSH 8080將歸檔檔案傳輸至管理伺服器。
  • 用户可自定义端口,数值应在1024至65535之间。

在防病毒应用程序中使用事件日志分析器

为确保事件日志分析器正常运行,需将下列文件添加至防病毒软件的例外列表:

路径 是否需要加入白名单 未列入白名单的影响
<ELA_HOME>/ES/data Elasticsearch索引数据存储位置。 若数据被删除,所有收集的日志将不可用。
<ELA_HOME>/ES/repo Elasticsearch索引快照存储于此位置。 若此目录下的文件被删除,快照及Elasticsearch归档功能将失效。
<ELA_HOME>/ES/archive Elasticsearch归档文件存储于此。 若此处文件被删除,归档日志数据将不可用。
<ME>/elasticsearch/ES/data Elasticsearch索引数据存储于此。 若删除此数据,报表功能将受影响。
<ME>/elasticsearch/ES/repo Elasticsearch索引快照在此位置生成。 若删除此目录下的文件,快照及Elasticsearch归档功能将失效。
<ME>/elasticsearch/ES/archive Elasticsearch归档文件存储于此。 若此处文件被删除,数据将不可用。
<ELA_HOME>/data/za/threatfeeds 此处存储捆绑文件,内含恶意IP、域名及URL列表,用于断网情况下的数据访问。这些文件将在首次默认威胁源同步时被删除。白名单设置仅需维持至首次同步完成。 若文件被移除且网络断开,则数据集中将缺失恶意威胁源列表。
<ELA_HOME>/data/AlertDump 格式化日志在告警处理前存储于此。可能被防病毒软件误判为误报。 若文件被隔离或删除,相关告警将无法触发。
<ELA_HOME>/data/NotificationDump 格式化日志在处理通知前存储。可能被防病毒应用程序误判为误报。 若文件被隔离或删除,触发的告警通知将丢失。
<ELA_HOME>/bin 所有二进制文件均存放于此。部分防病毒应用可能将其误判为误报而拦截。 产品可能无法正常运行。
<ELA_HOME>/data/imworkflow 用户上传用于工作流执行的二进制文件存储于此。 脚本告警工作流可能无法正常运行。
<ELA_HOME>/pgsql/bin 此处包含 Postgres 二进制文件。可能被防病毒应用程序误报为误报。 产品可能无法启动。
<ELA_HOME>/lib/native 所有二进制文件均存放于此。部分杀毒软件可能误判为病毒而拦截。 产品可能无法正常运行。
<ELA_HOME>/archive(若归档文件夹已移动至新位置,请添加新路径) 杀毒软件可能导致频繁写入操作变慢。 若杀毒软件导致写入操作变慢,产品可能出现性能问题。
<ELA_HOME>/troubleshooting 所有故障排除二进制文件均包含在此处。某些防病毒应用程序可能将其误判为误报而阻止。 部分故障排除批处理文件可能无法正常运行。
<ELA_HOME>/tools 此处包含所有工具二进制文件。部分防病毒软件可能将其误判为威胁而拦截。 若文件被杀毒软件删除,部分工具可能无法正常运行。
<ELA_HOME>/ES/CachedRecord 杀毒软件可能导致频繁写入操作变慢。 若杀毒软件导致写入操作变慢,产品可能出现性能问题。

适用于Windows代理机(64位):

路径 是否需要加入白名单 未列入白名单的影响
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin 代理程序二进制文件存储于此。 若文件被隔离,代理程序可能无法运行。
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data 防病毒应用程序可能减慢频繁写入操作的速度。 若防毒應用程式減慢寫入操作,產品可能出現效能問題。
C:\TEMP\EventLogAgent 安装程序会移动代理安装文件以进行安装和升级。 若文件被隔离,代理可能无法升级/安装。

Windows 32 位代理机:

路径 是否需要加入白名单 未列入白名单的影响
C:\Program Files\EventLogAnalyzer_Agent\bin 代理程序二进制文件存储于此。 若文件被隔离,代理程序可能无法正常运行。
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data 防病毒应用程序可能减慢频繁写入操作的速度。 若防毒應用程式減緩寫入操作,產品可能出現效能問題。
C:\TEMP\EventLogAgent 安装程序会移动代理安装文件以进行安装和升级。 若文件被隔离,代理可能无法升级/安装。

针对 Linux 代理:

路径 是否需要加入白名单 未列入白名单的影响
/opt/ManageEngine/EventLogAnalyzer_Agent/bin 代理程序二进制文件存储于此。 如果文件被隔离,代理程序可能无法正常工作。
/opt/ManageEngine/EventLogAnalyzer_Agent/bin/data 防病毒应用程序可能导致频繁写入操作变慢。 若防毒應用程式導致寫入操作變慢,產品可能出現效能問題。

8. 高级威胁分析

PORT 附加权限
HTTPS/443

为获取"Log360云威胁分析"数据源,将使用以下URL