pdf 图标下载 PDF左侧面板
左侧面板点击此处展开

先决条件

在您的环境中启动 EventLog Analyzer 之前,请确保已完成以下事项。

EventLog Analyzer 需要哪些端口?

1. 主要端口

Web Server 端口

端口入站出站额外的权限与许可
HTTP/8400(可配置)EventLog Analyzer Server
  • EventLog Analyzer 技术人员计算机。
  • EventLog Analyzer 代理主机。

端口用途

  • 这些端口默认用于管理员 Server 与受管 Server 之间,以及代理与 Server 之间的通信。
  • 端口可由用户自定义。可接受的取值范围为 1024—65535。

Elasticsearch

端口入站出站附加权限与许可
TCP/9300-9400(可配置)EventLog Analyzer 搜索引擎管理节点 [ SEM 节点 ]EventLog Analyzer Server

端口用途:

  • EventLog Analyzer 中的 Elasticsearch Server 使用此端口。EventLog Analyzer Server 与 SEM 可在同一台 Server 上共存。
  • 该端口可由用户自定义。可接受的取值范围为 1024—65535。

内部沟通

端口入站和出站附加权限和许可
UDP/5000(可配置)EventLog Analyzer Server

端口用途:

  • 这些 UDP 端口由 EventLog Analyzer 在内部用于代理与Server之间的通信。
  • 该端口可由用户自定义。可接受的取值范围为 1024—65535。
  • 该内部端口绑定到 localhost,无需在防火墙中开放端口。

数据库

端口附加权限和许可
TCP/33335

端口使用:

  • 使用 PostgreSQL/MySQL 数据库端口以连接 EventLog Analyzer 中的 PostgreSQL/MySQL 数据库。
  • 无需打开防火墙端口,因为内部端口绑定到 localhost。

2. 日志收集

Windows 日志收集

端口入站出站服务附加的权利和权限
TCP/135Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 事件日志读取者
  • 分布式 COM 用户

用户权限:

在 WMI 属性中的 root\cimv2:

  • 启用帐户
  • 远程启用
  • 读取安全性。

防火墙权限:

  • 预定义规则:
    Windows 管理规范 (WMI)
TCP/139Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口的动态范围 - TCP/49152 到 65,535Windows 设备EventLog Analyzer ServerRPC 会为 Windows Server 2008 及更高版本,以及 Windows Vista 及后续版本随机分配高位 TCP 端口
注意:
  • 无需在 EventLog Analyzer 代理计算机上打开出站端口,也无需在 EventLog Analyzer Server 上打开入站端口。
  • 对于 Windows 2000、Windows XP 和 Windows Server 2003,动态 RPC 端口范围为 1025 到 5000。
  • 为在大量开放端口的情况下提升安全性,建议将 Server 的 IP 地址纳入防火墙的作用域,以确保仅允许来自指定 Server 的授权流量通过防火墙。此外,带有进程和服务筛选的预定义规则(例如 WMI、RPC、HTTP/HTTPS、远程事件日志管理)可通过仅允许特定进程或服务通过指定端口进行通信来进一步增强安全性。若 Server 的 IP 发生变化,请务必及时更新相应的防火墙规则。

Syslog 收集

端口入站出站服务附加的权利和权限
UDP/514 (可配置)EventLog Analyzer Server目标设备Syslog

用户权限:

  • 端口可由用户自定义。
UDP/513 (可配置)EventLog Analyzer Server目标设备Syslog
TLS/513 (可配置)EventLog Analyzer Server目标设备Syslog
TCP/514 (可配置)EventLog Analyzer Server目标设备Syslog

SSH 通信

权限用途

请确保在 sshd_config 文件中包含下述算法。

文件位置:/etc/ssh/sshd_config

密钥交换(KEX): diffie-hellman-group1-sha1, diffie-hellman-group-exchange-sha256, diffie-hellman-group14-sha1, diffie-hellman-group14-sha256 , diffie-hellman-group15-sha512, diffie-hellman-group16-sha512, diffie-hellman-group17-sha512, diffie-hellman-group18-sha512 , ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp52

加密算法: aes128cbc, aes128ctr, aes192cbc, aes192ctr, aes256cbc, aes256ctr, arcfour128, arcfour256, blowfishcbc, tripledescbc

消息认证码(MAC): hmacmd5, hmacmd596, hmacsha1, hmacsha196, hmacsha256, hmacsha512

*这将是 所有 Linux 通信的必需项

  • Linux 代理安装
  • Linux 代理管理与通信
  • 配置自动 SysLog 转发
  • Linux MYSQL Server 发现

配置自动 SysLog 转发

端口入站出站服务附加权限与许可
TCP/22Linux 设备EventLog Analyzer ServerSSH

用户权限:

对 'rsyslog' 或 'syslog' 服务的重启权限。

用户许可:

  • 应为文件(/etc/ rsyslog.conf 或 /etc/syslog.conf)启用 "rw" 权限。
  • SSH 通信的权限

AS400 日志收集

端口入站出站
TCP/446-449AS400 Server事件日志分析器 Server
TCP/8470-8476AS400 服务事件日志分析器 Server
TCP/9470-9476AS400 服务事件日志分析器 Server

SNMP Trap 收集

端口入站出站服务附加权利和权限
UDP/162(可配置)EventLog Analyzer Server网络设备 / 应用程序SNMP

用户权限:

  • 用户可以自定义端口。

IIS 日志收集

端口入站出站服务附加的权限和许可
TCP/135IIS ServerEventLog Analyzer ServerRPC

用户权限:

  • 应启用对 IIS 日志文件夹的读取访问权限。
  • 应启用对 system 32/inetsrv 的权限
  • 需要管理员共享权限,例如:Admin$、c$
TCP/139IIS ServerEventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445IIS ServerEventLog Analyzer ServerSMB RPC/NP

3. 智能体编排

Windows 代理日志收集与通信

端口入站出站附加的权利与权限
HTTP/8400(可配置)EventLog Analyzer ServerEventLog Analyzer 代理主机

环境权限:

  • 在代理主机和 Server 机器上都应开放 8400 端口。
注意:

通信包括诸如代理同步和检查代理状态等任务。

Windows 代理安装与管理

端口入站出站服务附加的权利与权限
TCP/135EventLog Analyzer 代理主机EventLog Analyzer ServerRPC

用户权限:

  • 应启用对 \\<ipaddress>\Admin$\TEMP\EventLogAgent 中文件的读取、写入和修改权限。
  • 访问“Remote Registry”服务
  • 至少应为 winreg 注册表项授予读取控制权限。(计算机 \HKEY_LOCAL _MACHINE\ SYSTEM\ CurrentContro lSet\Control\ SecurePipe Servers\winreg)。
  • 读/写注册表项 - SOFTWARE\\ Wow6432Node \\ZOHO Corp\\EventLog Analyzer\\(或)SOFTWARE \\ZOHO Corp \\EventLog Analyzer\\。
  • 应可访问远程 services.msc
TCP/139EventLog Analyzer 代理主机EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445EventLog Analyzer 代理主机EventLog Analyzer ServerSMB RPC/NP
RPC 端口的动态范围 - TCP/49152 至 65,535EventLog Analyzer 代理主机EventLog Analyzer Server对于 Windows Server 2008 及更高版本,以及 Windows Vista 及后续版本,RPC 会随机分配高位 TCP 端口
注意:

管理涉及诸如启动、停止或卸载代理软件等操作。

Linux 代理安装

端口入站出站服务额外的权限与许可
TCP/22EventLog Analyzer 代理主机EventLog Analyzer ServerSSH

Sudo 用户权限:

Linux 代理程序管理与通信

端口入站出站附加权限与许可
TCP/22EventLog Analyzer ServerEventLog Analyzer Server

用户权限:

  • 具备 SFTP 权限,以便将文件传输到 /opt/Manage Engine/EventL ogAnalyzer_ Agent 和 /etc /audisp/plugins.d
  • 对 auditd 的服务启动/停止/重启权限。
  • 用于 SSH 通信的权限
HTTP/8400 (可配置)EventLog Analyzer ServerEventLog Analyzer 代理主机 

4. 导入日志

使用 SMB 导入日志

端口入站出站服务附加权限和许可
TCP/137目标设备EventLog Analyzer ServerNetBIOS 名称解析 RPC/命名管道(NP)

用户权限:

  • 网络访问:不允许匿名不允许匿名枚举 SAM 帐户和共享。
  • 有时,连接到不同的工作组,即使只是查看共享资源也需要凭据。
TCP/138目标设备EventLog Analyzer ServerNetBIOS 数据报
TCP/139目标设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445目标设备EventLog Analyzer ServerSMB RPC/NP

使用 FTP 导入日志

端口入站出站服务附加权利和权限
TCP/20目标设备EventLog Analyzer ServerFTP/SFTP

用户权限:

  • 应启用 FTP Server 的 SAuthentication。
TCP/21目标设备EventLog Analyzer ServerFTP/SFTP

5. 发现

Windows 域发现

端口入站出站服务附加的权限和许可
TCP/389域控制器EventLog Analyzer ServerLDAP

用户权限:

  • 用户应具有对 Active Directory 域对象的读取权限。
  • 应具有在 ADS_ SECURE_AUTHENTICATION 模式下运行 LDAP 查询的权限。

Windows 工作组发现

端口入站出站服务附加的权限和许可
TCP/135工作组 ServerEventLog Analyzer ServerRPC

用户权限:

  • 用户应具有对 Active Directory 域对象的读取权限。
  • 应授予在 ADS_ SECURE_ AUTHENTI CATION 模式下运行 WinNT 查询的权限。
TCP/139工作组 ServerEventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445工作组 ServerEventLog Analyzer ServerSMB RPC/NP
TCP/1024-65535工作组 ServerEventLog Analyzer ServerRPC 随机分配的高号 TCP 端口

事件源发现

端口入站出站服务附加权利和权限
TCP/135目标 Windows 设备EventLog Analyzer ServerRPC

用户权限:

  • 至少应为 winreg 注册表项授予读取控制权限。
TCP/137目标 Windows 设备EventLog Analyzer ServerNetBIOS 名称解析 RPC/命名管道 (NP)
TCP/138目标 Windows 设备EventLog Analyzer ServerNetBIOS 数据报
TCP/139工作组 ServerEventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445工作组 ServerEventLog Analyzer ServerSMB RPC/NP

MSSQL Server 发现-Windows

端口入站出站附加权限与许可
UDP/1434MSSql ServerEventLog Analyzer Server

用户权限:

  • 可配置为使用动态 TCP 端口进行通信。
TCP/1433MSSql ServerEventLog Analyzer Server

网络设备发现

端口入站出站附加权利和权限
UDP/162网络设备EventLog Analyzer Server

端口用途::

  • 获取会响应 SNMP ping 的在线、已启用 SNMP 的 IP 设备列表。

IIS 发现

端口入站出站服务附加的权限和许可
TCP/445IIS ServerEventLog Analyzer ServerSMB RPC/NP

端口用途:

  • 服务器消息块(SMB)协议使用此端口读取日志文件。

MYSQL Server 发现-Windows

端口入站出站服务其他权限与许可
TCP/135MySql ServerEventLog Analyzer ServerRPC

用户权限:

  • 需要 WMI 权限,才能通过 SFTP 查找 MySQL Server 的配置文件。
TCP/445MySql ServerEventLog Analyzer ServerSMB RPC/NP

MYSQL Server 发现-Linux

端口入站出站服务附加权利和权限
TCP/22MySql ServerEventLog Analyzer ServerSMB RPC/NP

用户权限:

6. 事件工作流管理

网络操作

阻止端口入站出站
PING 设备ICMP/无端口已审计的 Windows / Linux 设备EventLog Analyzer Server
Windows 路由跟踪ICMP/无端口已审计的 Windows 设备EventLog Analyzer Server
Linux 路由跟踪UDP/33434 -33534已审计的 Linux 设备EventLog Analyzer Server

Windows 操作

BLOCKPORTINBOUNDOUTBOUNDSERVICEAdditional Rights and Permissions
注销TCP/135已审计的 Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户

用户权限:

在 WMI 属性中针对 root\cim v2:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性

环境权限:

  • 计算机不应安装 EventLog Analyzer Server。
TCP/139已审计的 Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445已审计的 Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口
关机和重启TCP/135受审计的 Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户

用户权限:

在 WMI 属性中的 root\cim v2:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全

环境权限:

  • 该计算机不应安装 EventLog Analyzer Server
TCP/139已审计的 Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445已审计的 Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口
执行 Windows 脚本TCP/135受审计的 Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户

用户权限:

在 WMI 属性中的 root\cim v2:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性

环境权限:

  • 用户应对脚本中的共享路径拥有读、写和修改访问权限。
TCP/139已审计的 Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445已审计的 Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口
禁用 USBTCP/135已审计的 Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户

用户权限:

在 WMI 属性中的 root\cim v2:

  • 执行方法
  • 启用账户
  • 远程启用
  • 读取安全性

环境权限:

  • 远程注册表服务应处于运行状态。
  • 对 HKEY_LOCAL_ MACHINE\SYSTEM\ CurrentControlSet\ Services\USBSTOR 具有完全控制权限
TCP/139已审计的 Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445已审计的 Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口
所有服务块TCP/135已审计的 Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户
  • 管理员

用户权限:

在 WMI 属性中的 root\cim v2:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性
TCP/139已审计的 Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445已审计的 Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口
启动进程TCP/135已审计的 Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户

用户权限:

在 WMI 属性中针对 root\cim v2:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全
TCP/139已审计的 Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445已审计的 Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口
停止进程TCP/135受审计的 Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户

用户权限:

在 WMI 属性中的 root\cim v2:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性
TCP/139已审计的 Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445已审计的 Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口
测试过程TCP/135受审计的 Windows 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户

用户权限:

在 WMI 属性中的 root\cim v2:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全
TCP/139已审计的 Windows 设备EventLog Analyzer ServerNetBIOS 会话 RPC/NP
TCP/445已审计的 Windows 设备EventLog Analyzer ServerSMB RPC/NP
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口

Linux 操作

BLOCKPORTINBOUNDOUTBOUNDSERVICEAdditional Rights and Permissions
关机和重启TCP/指定端口。已审计的 Linux 设备EventLog Analyzer Server-环境权限:用户应为 root 用户。
执行 Windows 脚本TCP/指定端口。受审计的 Linux 设备事件日志分析器 Server-环境权限:用户的 sudo 权限。
所有服务阻断TCP/指定端口。受审计的 Linux 设备EventLog Analyzer Server-环境权限:Sudo 权限。
启动进程TCP/指定端口。被审计的 Linux 设备EventLog Analyzer Server-环境权限:提供其凭据的用户必须具备执行该命令的权限。
停止进程指定的端口。受审计的 Linux 设备EventLog Analyzer Server-环境权限:应当为提供其凭据的用户提供执行该命令的权限。
测试流程TCP/指定端口。受审计的 Linux 设备EventLog Analyzer Server--

通知

BLOCKPORTINBOUNDOUTBOUNDSERVICEAdditional Rights and Permissions
弹出窗口TCP/135已审计的 Linux 设备EventLog Analyzer ServerRPC

用户组:

  • 分布式 COM 用户

用户权限

在 WMI 属性中的 root\cim v2:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性

环境权限:

  • "AllowRemoteRPC" 在 HKEY_ LOCAL_MACHINE\ SYSTEM\Current ControlSet\Control\Terminal Server 中应为 1。
RPC 端口 - TCP/1024 到 65,535受审计的 Windows 设备EventLog Analyzer ServerRPC 随机分配的高号 TCP 端口
弹出式 LINUXTCP/指定端口。受审计的 Linux 设备EventLog Analyzer Server-环境权限: 用户的 Sudo 权限。
发送邮件 Windows 和 Linux在使用 SMTP Server 进行配置时提到的 TCP/端口受审计的 Linux 设备EventLog Analyzer Server-环境权限:应在 Event log analyzer Server 上配置 SMTP Server
发送短信 WINDOWS & LINUX----环境权限: SMS Server 应在产品中配置。
发送 SNMP Trap(Windows 和 Linux)在工作流块中指定的 UDP/端口已审计的 Windows/Linux 设备EventLog Analyzer Server-环境权限:应开放工作流配置中提到的端口。

广告操作

模块端口入站出站服务附加权利和权限
删除 AD 用户(Windows)TCP/389受审计的域控制器EventLog Analyzer ServerLDAP

用户权限:

  • 该用户在 AD 中应具有 "Delete" 权限,以删除其他帐户。
  • 要删除的用户不应勾选 "Protect Object from accidental deletion"。
禁用 AD 用户(Windows)TCP/389受审计的域控制器EventLog Analyzer ServerLDAP

用户权限:

  • 所提供的用户帐户应启用 "Read"、"Write"、"modify owners" 和 "modify permissions" 权限。
禁用用户计算机(Windows 和 Linux)TCP/389受审计的域控制器EventLog Analyzer ServerLDAP用户权限:
  • 所提供的用户帐户应启用 "Read"、"Write"、"modify owners" 和 "modify permissions" 权限。

其他操作

阻止端口入站出站附加权利和权限
写入文件(Windows)TCP/135受审计的 Windows 设备EventLog Analyzer Server

用户组:

  • 分布式 COM 用户

用户特权:

  • 作为操作系统的一部分运行
  • 作为批处理作业登录
  • 作为服务登录
  • 替换进程级令牌。

用户权限:

在属性中针对 root\cim v2:

  • 执行方法
  • 启用帐户
  • 远程启用
  • 读取安全性

环境权限:

  • 该用户应对共享路径具有读取、写入和修改访问权限。
RPC 端口 - TCP/1024 至 65,535已审计的 Windows 设备EventLog Analyzer Server
写入文件(Linux)TCP/指定端口。已审计的 Linux 设备EventLog Analyzer Server环境权限:
  • 用户的 sudo 权限
HTTP WebHook---环境权限:
  • 一个“connect”套接字权限(针对目标 URL 的主机/端口组合),或一个允许此请求的“URL 权限”。
转发日志TCP/指定端口受审计的 Windows / Linux 设备EventLog Analyzer Server-
CSV 查找TCP/指定端口已审计的 Windows / Linux 设备EventLog Analyzer Server用户权限:
  • 对指定 CSV 文件的读取权限。

防火墙操作

阻止端口入站出站附加权利和权限
Cisco ASA 拒绝入站/出站规则https/443防火墙设备EventLog Analyzer Server

端口可由用户自定义

附加权限:https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/IncidentManagement/incident-workflow.html#ciscoCredentials

Fortigate 拒绝访问规则https/443防火墙设备EventLog Analyzer Server

端口可由用户自定义

附加权限: https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/IncidentManagement/incident-workflow.html#fortigateCredentials

Palo Alto 拒绝访问规则https/443防火墙设备EventLog Analyzer Server

端口可由用户自定义

附加权限: https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/IncidentManagement/incident-workflow.html#paloAltoCredentials

Sophos XG 拒绝访问规则https/443防火墙设备EventLog Analyzer Server

端口可由用户自定义

附加权限: https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/IncidentManagement/incident-workflow.html#sophosXGCredentials

Barracuda 拒绝访问规则https/8443防火墙设备EventLog Analyzer Server

端口可自定义

附加权限: https://www.manageengine.com/products/eventlog/help/StandaloneManagedServer-UserGuide/IncidentManagement/incident-workflow.html#fortigateCredentials

7. 分布式通信设置

分布式

端口入站出站附加的权限与许可
HTTP/8400(可配置)EventLog Analyzer 受管 Server 主机EventLog Analyzer 管理 Server 主机

用户权限:

  • 受管 Server 与管理 Server 通过默认的 webServer 端口进行通信。
  • 默认端口号为 8400。
  • 用户可以自定义该端口。
HTTP/8400(可配置)EventLog Analyzer 管理 Server 主机EventLog Analyzer 受管 Server 主机

用户权限:

  • 管理 Server 与受管 Server 通过默认的 webServer 端口进行通信
  • 用户可以自定义端口。取值应在 1024 到 65535 之间。

集中归档端口

端口入站出站附加权限和许可
SSH/8080(可配置)EventLog Analyzer 管理 Server 主机EventLog Analyzer 受管 Server 主机

用户权限:

  • 受管 Server 通过 SSH 8080 将归档文件传输到 管理 Server。
  • 用户可以自定义端口。取值应在 1024 到 65535 之间。

将 EventLog Analyzer 与防病毒 application 配合使用

为确保 EventLog Analyzer 正常运行,您需要将以下文件添加到您的防病毒 application 的排除列表中:

PathNeed for whitelistingImpact if not whitelisted
<ELA_HOME>/ES/data用于存储 Elasticsearch 的索引数据。如果删除这些数据,所有收集到的日志都将不可用。
<ELA_HOME>/ES/repoElasticsearch 索引快照保存在此位置。如果删除此位置的文件,快照和 Elasticsearch 归档功能将失败。
<ELA_HOME>/ES/archiveElasticsearch 归档存放在此处。如果删除此处的文件,已归档的日志数据将不可用。
<ME>/elasticsearch/ES/dataElasticsearch 索引数据存储于此。如果删除这些数据,报告将会受到影响。
<ME>/elasticsearch/ES/repoElasticsearch 索引快照会在此位置生成。如果删除此位置的文件,快照和 Elasticsearch 归档功能将失败。
<ME>/elasticsearch/ES/archiveElasticsearch 归档文件存放在此处。如果删除此处的文件,数据将不可用。
<ELA_HOME>/data/za/threatfeeds包含恶意IP地址、域名和URL列表的捆绑文件将在没有互联网连接时使用,并存储在此处。这些文件会在首次进行默认威胁情报源同步时被删除。白名单放行仅在首次同步之前需要。如果这些文件被移除且没有互联网连接,那么数据集中将缺失恶意威胁来源列表。
<ELA_HOME>/data/AlertDump在处理告警之前会存储格式化的日志。可能会被防病毒application误检为假阳性。如果该文件被隔离或删除,相关告警将会被遗漏。
<ELA_HOME>/data/NotificationDump在进行通知处理之前会存储格式化的日志。可能会被防病毒application误报。如果该文件被隔离或删除,已触发告警的通知将会遗漏。
<ELA_HOME>/bin此处包含所有二进制文件。某些防病毒 application 可能会将它们误报为威胁并加以拦截。产品可能无法正常运行。
<ELA_HOME>/data/imworkflow用户上传用于工作流执行的二进制文件存储在此处。Script Alert 工作流可能无法按预期运行。
<ELA_HOME>/pgsql/bin此处包含 Postgres 二进制文件。可能会被防病毒application误报。产品可能无法启动。
<ELA_HOME>/lib/native此处包含所有二进制文件。某些防病毒 application 可能会因误报而拦截它们。产品可能无法正常工作。
<ELA_HOME>/archive (如果将 archive 文件夹移动到新位置,请添加新位置)防病毒 application 可能会减慢频繁的写入操作。如果防病毒 application 减慢写入操作,产品可能会出现性能问题。
<ELA_HOME>/troubleshooting此处包含所有故障排查二进制文件。某些防病毒 application 可能会将它们误报为威胁并加以阻止。某些故障排查批处理文件可能无法运行。
<ELA_HOME>/tools此处包含所有工具的二进制文件。某些防病毒applications 可能会因误报而拦截它们。如果这些文件被防病毒applications 删除,某些工具可能无法正常工作。
<ELA_HOME>/ES/CachedRecord防病毒application可能会减慢频繁的写入操作。如果防病毒application减慢了写入操作,产品可能会出现性能问题。

适用于 Windows 代理计算机 - 64 位,

路径需要加入白名单未加入白名单的影响
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin代理程序的二进制文件存储在此处。如果这些文件被隔离,代理程序可能无法工作。
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data防病毒 application 可能会减慢频繁的写入操作。如果防病毒 application 减慢了写入操作,产品可能会出现性能问题。
C:\TEMP\\EventLogAgent安装和升级时会移动代理的安装文件。如果这些文件被隔离,代理可能无法升级/无法安装。

适用于 Windows 代理计算机 - 32 位,

路径需要加入白名单未加入白名单的影响
C:\Program Files\EventLogAnalyzer_Agent\bin此处存放代理程序的二进制文件。如果这些文件被隔离,代理程序可能无法正常工作。
C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data防病毒 application 可能会减慢频繁的写入操作。如果防病毒 application 减慢写入操作,产品可能会出现性能问题。
C:\TEMP\\EventLogAgent安装和升级时会移动代理程序的安装文件。如果这些文件被隔离,代理程序可能无法升级/无法安装。

对于 Linux 代理程序,

路径列入白名单的必要性未列入白名单的影响
/opt/ManageEngine/EventLogAnalyzer_Agent/bin此处存放 Agent 的二进制文件。如果这些文件被隔离,Agent 可能无法工作。
/opt/ManageEngine/EventLogAnalyzer_Agent/bin/data防病毒 application 可能会减慢频繁的写入操作。如果防病毒 application 减慢写入操作,产品可能会出现性能问题。

8. 高级威胁分析

端口附加权限与许可
HTTPS/443

为获取 "Log360 Cloud Threat Analytics" 提要,将使用以下 URL

    本页内容

    版权 © 2020ZOHO Corp。保留所有权利。

    获取下载链接