前提条件
最后更新于:
概述
本页面概述了先决条件和设置要求,包括端口、日志处理器、日志收集、代理协调、发现、工作流操作、分布式通信、防病毒例外和威胁分析。
在您的环境中启动 EventLog Analyzer 之前,请确保已满足以下要求。
Log360 先决条件
适用于Log360的先决条件
在您的环境中启动 Log360 之前,请确保已满足以下要求。
Log360所需端口
Log360需为Elasticsearch开放以下端口:
| 端口号 | 端口用途 |
|---|---|
| 9322 (TCP) | 与 Elasticsearch 服务器的通信 |
ADAudit Plus所需端口
为事件收集需开放以下端口:
| 端口号 | 端口用途 |
|---|---|
| 389 | 与 LDAP 协议通信 |
| 135 | RPC通信 |
| 445,135 | 与 NetBIOS 会话服务的通信 |
访问ADAudit Plus需开放以下端口:
| 端口号 | 端口使用情况 |
|---|---|
| 8081 | HTTP |
| 8444 | HTTPS |
事件日志分析器所需端口
EventLog Analyzer 要求在服务器上打开下列端口:
| 端口号 | 端口用途 |
|---|---|
| 8095 (TCP) | Web 服务器端口 |
| 513、514(UDP) | 系统日志监听端口 |
| 514 (TCP) | Syslog 监听端口 |
| 33335(TCP) | PostgreSQL/MS SQL 数据库端口 |
无代理日志收集:
为启用无代理日志收集,需在服务器和远程主机上打开下列端口:
事件日志分析器使用以下端口进行WMI、RPC和DCOM通信。
| 端口号 | 端口用途 |
|---|---|
| 135、445、139(TCP) | WMI、DCOM、RPC |
| 49152-65534 (TCP) | WMI、DCOM、RPC |
基于代理的日志收集:
事件日志分析器使用以下端口进行本地代理与服务器的UDP通信。
| 端口号 | 端口用途 |
|---|---|
| 5000、5001、5002(UDP) | 用于事件日志分析器本地代理与服务器通信的UDP端口 |
EventLog Analyzer 通过以下端口实现远程代理与服务器的 TCP 通信:
| 端口号 | 端口用途 |
|---|---|
| 8095(TCP) | 用于事件日志分析器远程代理与服务器通信的TCP端口 |
针对IBM AS/400系统
服务器和远程主机需开放下列端口:
| 端口号 | 端口用途 |
|---|---|
| 446-449, 8470-8476, 9470-9476 (TCP) | 保持上述端口开放,以便访问 IBM AS/400 机器 |
M365 Manager Plus所需端口
事件收集需开放以下端口:
| 端口号 | 端口用途 |
|---|---|
| 80 (TCP) (HTTP) | 与Exchange及Microsoft在线服务通信 |
| 443 (TCP) (HTTPS) | 与 Exchange 和 Microsoft Online 的通信 (SSL) |
访问 M365 Manager Plus 所需端口:
| 端口号 | 端口用途 |
|---|---|
| 8365(TCP)(HTTP) | 默认产品端口 |
| 9365 (TCP) (HTTPS) | 默认产品端口(SSL) |
Exchange Reporter Plus所需端口
为使产品与Exchange服务器通信,需开放以下端口:
| 端口号 | 端口用途 |
|---|---|
| 135 (TCP) | RPC |
| 5985 (TCP) | Windows PowerShell 默认 psSession |
| 5986 (TCP) (HTTPS) | Windows PowerShell 默认 psSession SSL |
| 80 (TCP) | PowerShell |
| 443 (TCP) (HTTPS) | PowerShell SSL |
以下端口需开放以便产品与Active Directory通信:
| 端口号 | 端口使用情况 |
|---|---|
| 389 (TCP) | LDAP |
| 636 (TCP) (HTTPS) | LDAP SSL |
| 3268 (TCP) | LDAP GC |
| 3269 (TCP) (HTTPS) | LDAP 全局树 SSL |
| 53 (TCP) | DNS |
| 88 (TCP) | Kerberos |
| 139 (TCP) | NetBIOS |
Exchange Reporter Plus所需端口:
| 端口号 | 端口使用情况 |
|---|---|
| 8181 | HTTPS |
| 3309 | ERP产品数据库 |
ADManager Plus所需端口
ADManager Plus 需要以下端口:
| 端口号 | 端口使用情况 |
|---|---|
| 33306 | 与数据库通信 |
| 31000 | Java封装服务 |
| 22 | 安全外壳协议 (SSH) |
| 8080/8443 | Web服务器 |
| 2000 | 电子邮件 |
| 389/639 | LDAP/LDAPS |
| 80 | Exchange 服务器 |
| 80,443 | G Suite、Microsoft 365 |
| 3268 | LDAP全局目录(GC)检索 |
Cloud Security Plus所需端口
访问Cloud Security Plus需要以下端口:
| 端口号 | 端口用途 |
|---|---|
| 8055 | HTTP |
| 8056 | HTTPS |
| 514 | 默认系统日志监听器 |
| 25 | 默认邮件服务器 SMTP |
| 33355 | PostgreSQL/MS SQL 数据库 |
| 80, 443 | 云及其数据源 |
| 9300-9400(任意一个TCP端口) 9200-9300(任意一个HTTP端口) |
Elastic Search |
在防病毒应用程序中使用Log360
为确保 Log360 正常运行,需将下列文件添加至防病毒应用程序的例外列表:
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| <ME>/elasticsearch/ES/data | Elasticsearch索引数据存储位置 | 若数据被删除,报表将受到影响。 |
| <ME>/elasticsearch/ES/repo | Elasticsearch索引快照在此位置生成。 | 若此目录下文件被删除,快照及Elasticsearch归档功能将失效。 |
| <ME>/elasticsearch/ES/archive | Elasticsearch归档文件存储于此。 | 若删除此处的文件,数据将不可用。 |
| <Log360_Home>/bin | 此处包含所有二进制文件。某些杀毒软件可能将其误判为病毒而拦截。 | 产品可能无法正常运行。 |
| <Log360_Home>/pgsql/bin | 此处包含Postgres二进制文件。可能被杀毒软件误报为病毒。 | 产品可能无法启动。 |
| <Log360_Home>/lib/native | 所有二进制文件均存放于此。部分杀毒软件可能误报并阻止其运行。 | 产品可能无法正常运行。 |
| <Log360_Home>/tools | 此处包含所有工具二进制文件。部分杀毒软件可能将其误判为病毒而拦截。 | 若文件被杀毒软件删除,部分工具可能无法正常运行。 |
Log360 UEBA所需端口
Web服务器端口
| PORT | INBOUND | 出站 | 附加权限 |
|---|---|---|---|
| HTTP/8096(可配置) | UEBA 服务器 |
|
端口使用情况:
|
Elasticsearch
| 端口 | INBOUND | 出站 | 附加权限与许可 |
|---|---|---|---|
| TCP/9230(可配置) | UEBA 搜索引擎管理节点 [ UEBA 节点 ] |
|
端口使用情况:
|
数据库
| 端口 | 附加权限与许可 |
|---|---|
| TCP/33337 | 端口用途:
|
Redis缓存
| 端口 | 附加权限设置 |
|---|---|
| TCP/8179 | 端口用途:
|
SSL配置服务器
| 端口 | 附加权限设置 |
|---|---|
| SSL/8446 | 端口用途:
|
ActiveMQ
| 端口 | 附加权限设置 |
|---|---|
| TCP/61616 | 端口用途:
|
PAM360使用的端口
下表列出了PAM360用于远程访问的所有端口:
| 端口名称 | 端口号 | 方向 |
|---|---|---|
| PostgreSQL 端口 | 3456 | 出站 |
| Web客户端端口 | 8282 | 入站 |
| SSH 端口 | 22 | 出站 |
| Telnet 端口 | 23 | 外发 |
| 无 SSL 的 LDAP 端口 | 389 | 出站 |
| 带 SSL 的 LDAP 端口 | 636 | 出站 |
| SMTP 端口 | 25 | 外发 |
| MS SQL 端口 | 1433 | 出站 |
| Oracle 端口 | 1521 | 出站 |
| Sybase ASE 端口 | 5000 | 出站 |
| 密码验证端口 | 135、139、445 | 出站 |
| 自动登录Spark View网关端口 | 8283 | 入站 |
| RDP | 3389 | 出站 |
| SSH API | 6622 | 入站 |
| REST API | 8282 | 入站 |
| 私有CA-OCSP响应服务器端口 | 8080 | 入站 |
事件日志分析器需要哪些端口?
1. 主端口
Web服务器端口
| 端口 | 入站 | 出站 | 附加权限与许可 |
|---|---|---|---|
| HTTPS/8095(可配置) | 事件日志分析器服务器 |
|
端口使用情况:
|
日志处理器
当Log360在可扩展架构中配置多个日志处理器时,除主端口外还需以下端口:
| 端口 | INBOUND | 出站 | 使用情况 |
|---|---|---|---|
| TCP/9092, 9093 | 事件日志分析器服务器和日志处理器 | 事件日志分析器服务器和日志处理器 | 日志队列引擎通信 |
| TCP/7800 | 事件日志分析服务器和日志处理器 | 事件日志分析服务器与日志处理器 | 日志处理器与主服务器之间的集群通信 |
Elasticsearch
| 端口 | 入站 | 出站 | 附加权限与许可 |
|---|---|---|---|
| TCP/9300-9400(可配置) | 事件日志分析器搜索引擎管理节点 [ SEM节点] | 事件日志分析器服务器 |
端口使用情况:
|
Redis端口
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| TCP/8179-8189 | 事件日志分析器服务器和日志处理器 | 事件日志分析器服务器和日志处理器 | 端口使用情况:
|
内部通信
| 端口 | 入站和出站 | 附加权限 |
|---|---|---|
| UDP/5000(可配置) | 事件日志分析器服务器 |
端口使用情况:
|
数据库
| 端口 | 附加权限和许可 |
|---|---|
| TCP/33335 |
端口使用情况:
|
2. 日志收集
Windows 日志收集
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/135 | Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 在WMI属性中为root\cimv2设置:
防火墙权限:
|
| TCP/139 | Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | |
| RPC 端口的动态范围 - TCP/49152 至 65,535 | Windows设备 | 事件日志分析器服务器 | RPC 为 Windows Server 2008 及更高版本以及 Windows Vista 及更高版本随机分配高 TCP 端口 |
- 无需在事件日志分析器代理计算机上打开出站端口,也无需在事件日志分析器服务器上打开入站端口。
- 对于 Windows 2000、Windows XP 和 Windows Server 2003,动态 RPC 端口范围为 1025 到 5000。
- 为提升开放端口的安全性,建议将服务器IP地址纳入防火墙范围。此举可确保仅允许来自指定服务器的授权流量通过防火墙。 此外,通过预定义规则结合进程与服务过滤器(如WMI、RPC、HTTP/HTTPS、远程事件日志管理),仅允许特定进程或服务通过指定端口通信,可进一步强化安全性。若服务器IP发生变更,务必及时更新对应的防火墙规则。
Syslog 收集
| 端口 | 入站 | 出站 | 服务 | 附加权限和许可 |
|---|---|---|---|---|
| UDP/514(可配置) | 事件日志分析器服务器 | 目标设备 | Syslog |
用户权限:
|
| UDP/513(可配置) | 事件日志分析器服务器 | 目标设备 | Syslog | |
| TLS/513(可配置) | 事件日志分析器服务器 | 目标设备 | Syslog | |
| TCP/514(可配置) | 事件日志分析服务器 | 目标设备 | Syslog |
SSH通信
| PERMISSION | 使用情况 |
|---|---|
|
确保以下算法存在于 sshd_config 文件中。 文件位置:/etc/ssh/sshd_config 密钥交换(KEX):diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha256, diffie-hellman-group14-sha1, diffie-hellman-group14-sha256, diffie-hellman-group15-sha512, diffie-hellman-group16-sha512, diffie-hellman-group17-sha512, diffie-hellman-group18-sha512 , ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp52 密码套件:aes128cbc, aes128ctr, aes192cbc, aes192ctr, aes256cbc, aes256ctr, arcfour128, arcfour256, blowfishcbc, tripledescbc 消息认证码:hmacmd5、hmacmd596、hmacsha1、hmacsha196、hmacsha256、hmacsha512 *此项为所有Linux通信的必备要求。 |
|
配置自动Syslog转发
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/22 | Linux 设备 | 事件日志分析器服务器 | SSH |
用户权限: 'rsyslog' 或 'syslog' 服务的重启权限。 用户权限:
|
AS400日志收集
| 端口 | 入站 | 出站 |
|---|---|---|
| TCP/446-449 | AS400服务器 | 事件日志分析器服务器 |
| TCP/8470-8476 | AS400 服务器 | 事件日志分析服务器 |
| TCP/9470-9476 | AS400 服务器 | 事件日志分析服务器 |
SNMP 陷阱收集
| 端口 | 入站 | 出站 | 服务 | 附加权限和许可 |
|---|---|---|---|---|
| UDP/162(可配置) | 事件日志分析器服务器 | 网络设备/应用程序 | SNMP |
用户权限:
|
IIS 日志收集
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/135 | IIS 服务器 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/139 | IIS服务器 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | IIS服务器 | 事件日志分析器服务器 | SMB RPC/NP |
3. 代理协调
Windows 代理日志收集与通信
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| HTTPS/8094、8095(可配置) | 事件日志分析器服务器和日志处理器 | 事件日志分析器代理机和日志处理器 |
环境权限:
|
通信包括代理同步和检查代理状态等任务。
Windows 代理安装与管理
Windows 代理安装先决条件
硬件要求:本节提供有关 Log360 代理硬件要求的信息。
32 位机器
- 1 GHz 32 位元 (x86) Pentium Dual Core 處理器或同等效能
- 2 GB RAM
64 位机器
- 2.80 GHz、64 位元 (x64) Xeon® LV 處理器或同等效能
- 2 GB 内存
操作系统要求:Log360代理可在以下操作系统(32位和64位架构)及版本上安装运行:
- Windows®
- Windows 7 及更高版本
- Windows Server 2008 及以上版本
| 端口 | 入站 | 出站 | 服务 | 附加权限 |
|---|---|---|---|---|
| TCP/135 | 事件日志分析器代理计算机 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/139 | 事件日志分析器代理计算机 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | 事件日志分析器代理计算机 | 事件日志分析器服务器 | SMB RPC/NP | |
| RPC 端口的动态范围 - TCP/49152 至 65,535 | 事件日志分析器代理机 | 事件日志分析器服务器 | RPC 为 Windows Server 2008 及更高版本以及 Windows Vista 及更高版本随机分配高 TCP 端口 |
管理涉及启动、停止或卸载代理软件等操作。
Linux 代理安装
| 端口 | 入站 | 出站 | 服务 | 附加权限 |
|---|---|---|---|---|
| TCP/22 | 事件日志分析器代理计算机 | 事件日志分析器服务器 | SSH |
Sudo用户权限:
|
Linux代理管理与通信
| 端口 | 入站 | 出站 | 附加权限和许可 |
|---|---|---|---|
| TCP/22 | 事件日志分析器服务器 | 事件日志分析器服务器 |
用户权限:
|
| HTTPS/8094、8095(可配置) | 事件日志分析器服务器和日志处理器 | 事件日志分析器代理机与日志处理器 |
4. 日志导入
使用SMB导入日志
| 端口 | 入站 | 出站 | 服务 | 附加权限 |
|---|---|---|---|---|
| TCP/137 | 目标设备 | 事件日志分析器服务器 | NetBIOS 名称解析RPC/命名管道 (NP) |
用户权限:
|
| TCP/138 | 目标设备 | 事件日志分析器服务器 | NetBIOS 数据报 | |
| TCP/139 | 目标设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | 目标设备 | 事件日志分析器服务器 | SMB RPC/NP |
使用FTP导入日志
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/20 | 目标设备 | 事件日志分析器服务器 | FTP/SFTP |
用户权限:
|
| TCP/21 | 目标设备 | 事件日志分析器服务器 | FTP/SFTP |
5. 发现
Windows 域发现
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/389 | 域控制器 | 事件日志分析器服务器 | LDAP |
用户权限:
|
Windows 工作组发现
| 端口 | 入站 | 出站 | 服务 | 附加权限和许可 |
|---|---|---|---|---|
| TCP/135 | 工作组服务器 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/139 | 工作组服务器 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | 工作组服务器 | 事件日志分析器服务器 | SMB RPC/NP | |
| TCP/1024-65535 | 工作组服务器 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 |
事件源发现
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/135 | 目标 Windows 设备 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/137 | 目标 Windows 设备 | 事件日志分析器服务器 | NetBIOS 名称解析RPC/命名管道 (NP) | |
| TCP/138 | 目标 Windows 设备 | 事件日志分析器服务器 | NetBIOS 数据报 | |
| TCP/139 | 工作组服务器 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | |
| TCP/445 | 工作组服务器 | 事件日志分析器服务器 | SMB RPC/NP |
MSSQL服务器发现-Windows
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| UDP/1434 | MSSql 服务器 | 事件日志分析器服务器 |
用户权限:
|
| TCP/1433 | MSSQL服务器 | 事件日志分析器服务器 |
网络设备发现
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| UDP/162 | 网络设备 | 事件日志分析器服务器 |
端口使用情况:
|
IIS 发现
| 端口 | INBOUND | 出站 | 服务 | 附加权限和许可 |
|---|---|---|---|---|
| TCP/445 | IIS 服务器 | 事件日志分析器服务器 | SMB RPC/NP |
端口使用情况:
|
MYSQL 服务器发现 - Windows
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/135 | MySql服务器 | 事件日志分析器服务器 | RPC |
用户权限:
|
| TCP/445 | MySQL服务器 | 事件日志分析器服务器 | SMB RPC/NP |
MySQL服务器发现-Linux
| 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|
| TCP/22 | MySql 服务器 | 事件日志分析器服务器 | SMB RPC/NP |
用户权限:
|
6. 事件工作流管理
网络操作
| BLOCK | 端口 | 入站 | 出站 |
|---|---|---|---|
| PING设备 | ICMP/无端口 | 受审计的 Windows/Linux 设备 | 事件日志分析器服务器 |
| Windows 追踪路由 | ICMP/无端口 | 已审核的 Windows 设备 | 事件日志分析器服务器 |
| 追踪路由 Linux | UDP/33434 -33534 | 已审核的 Linux 设备 | 事件日志分析器服务器 |
Windows 操作
| BLOCK | 端口 | 入站 | 出站 | 服务 | 附加权利和许可 |
|---|---|---|---|---|---|
| 注销 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于 root\cim v2 在 WMI 属性中:
环境权限:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 关机和重启 | TCP/135 | 已审核的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
环境权限:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 执行 Windows 脚本 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
环境权限:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 禁用USB | TCP/135 | 已审核的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
环境权限:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 所有服务阻塞 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 启动进程 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 停止进程 | TCP/135 | 已审核的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 测试进程 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限: 对于根\cim v2 在WMI属性中:
|
| TCP/139 | 受审计的 Windows 设备 | 事件日志分析器服务器 | NetBIOS 会话RPC/NP | ||
| TCP/445 | 受审计的 Windows 设备 | 事件日志分析器服务器 | SMB RPC/NP | ||
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 |
Linux 操作
| 阻止 | 阻止 | INBOUND | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|---|
| 关机和重启 | TCP/指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:用户应为root用户。 |
| 执行 Windows 脚本 | TCP/指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:用户具备sudo权限。 |
| 所有服务阻止 | TCP/指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:Sudo权限。 |
| 启动进程 | TCP/指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:应为提供凭据的用户授予执行命令的权限。 |
| 停止进程 | 指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:应为提供凭据的用户授予执行命令的权限。 |
| 测试流程 | TCP/指定端口。 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | - |
通知
| BLOCK | 端口 | 入站 | 出港 | 服务 | 附加权利与许可 |
|---|---|---|---|---|---|
| 弹出窗口 | TCP/135 | 审计的 Linux 设备 | 事件日志分析器服务器 | RPC |
用户组:
用户权限 对于根\cim v2 在WMI属性中:
环境权限:
|
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | RPC 随机分配的高 TCP 端口 | ||
| 弹出 LINUX | TCP/指定端口。 | 审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:用户具备sudo权限。 |
| 发送电子邮件(Windows & Linux) | 配置SMTP服务器时提及的TCP/端口 | 受审计的 Linux 设备 | 事件日志分析器服务器 | - | 环境权限:SMTP服务器应配置在事件日志分析器服务器上 |
| 发送短信(Windows & Linux) | - | - | - | - | 环境权限:产品中应配置短信服务器。 |
| 发送 SNMP 陷阱 WINDOWS & LINUX | UDP/工作流块中指定的端口 | 受监控的Windows/Linux设备 | 事件日志分析器服务器 | - | 环境权限:工作流配置中提及的端口应保持开放状态。 |
Active Directory 操作
| BLOCK | 端口 | 入站 | 出站 | 服务 | 附加权限与许可 |
|---|---|---|---|---|---|
| 删除广告用户窗口 | TCP/389 | 受稽核的網域控制器 | 事件日志分析器服务器 | LDAP |
用户权限:
|
| 禁用 AD 用户 Windows | TCP/389 | 已审核的域控制器 | 事件日志分析器服务器 | LDAP |
用户权限:
|
| 禁用用户计算机 Windows 和 Linux | TCP/389 | 已审核的域控制器 | 事件日志分析器服务器 | LDAP | 用户权限:
|
其他操作
| BLOCK | 端口 | INBOUND | 出站 | 附加权限和许可 |
|---|---|---|---|---|
| 写入文件窗口 | TCP/135 | 受审计的 Windows 设备 | 事件日志分析器服务器 |
用户组:
用户权限:
用户权限: 对于 root\cim v2 在 属性中:
环境权限:
|
| RPC 端口 - TCP/1024 至 65,535 | 受审计的 Windows 设备 | 事件日志分析器服务器 | ||
| 写入文件 Linux | TCP/指定端口。 | 审计的 Linux 设备 | 事件日志分析器服务器 | 环境权限:
|
| HTTP WebHook | - | - | - | 环境权限:
|
| 转发日志 | TCP/指定端口 | 受审计的 Windows/Linux 设备 | 事件日志分析器服务器 | - |
| CSV 查询 | TCP/指定端口 | 受审计的 Windows/Linux 设备 | 事件日志分析器服务器 | 用户权限:
|
防火墙操作
| BLOCK | 端口 | 入站 | 出站 | 附加权限与许可 |
|---|---|---|---|---|
| 思科ASA拒绝入站/出站规则 | https/443 | 防火墙设备 | 事件日志分析器服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#ciscoCredentials |
| Fortigate 拒绝访问规则 | https/443 | 防火墙设备 | 事件日志分析服务器 |
端口用户可自定义 附加权利:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#fortigateCredentials |
| Palo Alto 拒绝访问规则 | https/443 | 防火墙设备 | 事件日志分析服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#paloAltoCredentials |
| Sophos XG 拒绝访问规则 | https/443 | 防火墙设备 | 事件日志分析服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#sophosXGCredentials |
| Barracuda 拒绝访问规则 | https/8443 | 防火墙设备 | 事件日志分析器服务器 |
端口用户可自定义 附加权限:https://www.manageengine.cn/products/eventlog/help/threat-intelligence-and-analytics/threat-response/incident-management/playbook-management.html#fortigateCredentials |
7. 分布式通信设置
分布式
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| HTTP/8095(可配置) | 事件日志分析器管理服务器机器 | 事件日志分析器管理服务器 |
用户权限:
|
| HTTP/8095(可配置) | 事件日志分析器管理服务器机器 | 事件日志分析器管理服务器机器 |
用户权限:
|
集中式归档端口
| 端口 | 入站 | 出站 | 附加权限 |
|---|---|---|---|
| SSH/8080(可配置) | EventLog Analyzer 管理服务器计算机 | EventLog Analyzer 受管伺服器機器 |
用户权限:
|
在防病毒应用程序中使用事件日志分析器
为确保事件日志分析器正常运行,需将下列文件添加至防病毒软件的例外列表:
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| <ELA_HOME>/ES/data | Elasticsearch索引数据存储位置。 | 若数据被删除,所有收集的日志将不可用。 |
| <ELA_HOME>/ES/repo | Elasticsearch索引快照存储于此位置。 | 若删除此目录下的文件,快照及Elasticsearch归档功能将失效。 |
| <ELA_HOME>/ES/archive | Elasticsearch归档文件存储于此。 | 若此处文件被删除,归档日志数据将不可用。 |
| <ME>/elasticsearch/ES/data | Elasticsearch索引数据存储于此。 | 若删除此数据,报表功能将受影响。 |
| <ME>/elasticsearch/ES/repo | Elasticsearch索引快照在此位置生成。 | 若删除此目录下的文件,快照及Elasticsearch归档功能将失效。 |
| <ME>/elasticsearch/ES/archive | Elasticsearch归档文件存储于此。 | 若删除此处的文件,数据将不可用。 |
| <ELA_HOME>/data/za/threatfeeds | 此处存储捆绑文件,内含恶意IP、域名及URL列表,用于断网情况下的数据访问。这些文件将在首次默认威胁源同步时被删除。白名单设置仅需在首次同步前完成。 | 若文件被移除且网络断开,则数据集中将缺失恶意威胁源列表。 |
| <ELA_HOME>/data/AlertDump | 格式化日志在告警处理前存储于此。可能被防病毒软件误判为误报。 | 若文件被隔离或删除,相关告警将无法触发。 |
| <ELA_HOME>/data/NotificationDump | 格式化日志在处理通知前存储。可能被防病毒应用程序误判为误报。 | 若文件被隔离或删除,触发的告警通知将丢失。 |
| <ELA_HOME>/bin | 所有二进制文件均存放于此。部分防病毒应用可能将其误判为误报而拦截。 | 产品可能无法正常运行。 |
| <ELA_HOME>/data/imworkflow | 用户上传用于工作流执行的二进制文件存储于此。 | 脚本告警工作流可能无法正常运行。 |
| <ELA_HOME>/pgsql/bin | 此处包含 Postgres 二进制文件。可能被防病毒应用程序误报为误报。 | 产品可能无法启动。 |
| <ELA_HOME>/lib/native | 所有二进制文件均存放于此。部分杀毒软件可能误报并阻止其运行。 | 产品可能无法正常运行。 |
| <ELA_HOME>/archive(若归档文件夹已移动至新位置,请添加新路径) | 杀毒软件可能导致频繁写入操作变慢。 | 若杀毒软件导致写入操作变慢,产品可能出现性能问题。 |
| <ELA_HOME>/troubleshooting | 所有故障排除二进制文件均包含在此处。某些防病毒应用程序可能将其误判为误报而阻止。 | 部分故障排除批处理文件可能无法正常运行。 |
| <ELA_HOME>/tools | 此处包含所有工具二进制文件。部分防病毒软件可能将其误判为威胁而拦截。 | 若文件被杀毒软件删除,部分工具可能无法正常运行。 |
| <ELA_HOME>/ES/CachedRecord | 杀毒软件可能导致频繁写入操作变慢。 | 若杀毒软件导致写入操作变慢,产品可能出现性能问题。 |
适用于Windows代理机(64位):
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin | 代理程序二进制文件存储于此。 | 若文件被隔离,代理程序可能无法正常运行。 |
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data | 防病毒应用程序可能减慢频繁写入操作的速度。 | 若防毒應用程式減慢寫入操作,產品可能出現效能問題。 |
| C:\TEMP\EventLogAgent | 安装程序会移动代理安装文件以进行安装和升级。 | 若文件被隔离,代理程序可能无法升级/安装。 |
Windows 32 位代理机:
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| C:\Program Files\EventLogAnalyzer_Agent\bin | 代理程序二进制文件存储于此。 | 若文件被隔离,代理程序可能无法运行。 |
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data | 防病毒应用程序可能减慢频繁写入操作的速度。 | 若防毒應用程式減緩寫入操作,產品可能出現效能問題。 |
| C:\TEMP\EventLogAgent | 安装程序会移动代理安装文件以进行安装和升级。 | 若文件被隔离,代理可能无法升级/安装。 |
针对 Linux 代理:
| 路径 | 是否需要加入白名单 | 未列入白名单的影响 |
|---|---|---|
| /opt/ManageEngine/EventLogAnalyzer_Agent/bin | 代理程序二进制文件存储于此。 | 若文件被隔离,代理程序可能无法运行。 |
| /opt/ManageEngine/EventLogAnalyzer_Agent/bin/data | 防病毒应用程序可能导致频繁写入操作变慢。 | 若防毒應用程式導致寫入操作變慢,產品可能出現效能問題。 |
8. 高级威胁分析
| PORT | 附加权限 |
|---|---|
| HTTPS/443 |
为获取"Log360云威胁分析"数据源,将使用以下URL |
另请参阅
本页面详细说明了设置前提条件。您也可参考以下指南了解系统要求、安装与卸载、启动与关闭以及连接服务器等更多信息: