前提条件
EventLog Analyzerの利用を開始する前に、以下をご確認ください。
EventLog Analyzerのポート要件
1. プライマリポート
Webサーバーポート
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| HTTP/8400 ※変更可能 |
EventLog Analyzerサーバー |
|
|
Elasticsearch
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| TCP/9300~9400 ※変更可能 |
EventLog Analyzer検索エンジン管理ノード(SEMノード) | EventLog Analyzerサーバー |
|
内部通信
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| UDP/5000 ※変更可能 |
EventLog Analyzerサーバー | EventLog Analyzerサーバー |
|
データベース
| ポート番号 | 補足情報 |
|---|---|
| TCP/33335 |
|
2. ログ収集
Windowsイベントログ収集
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
ファイアーウォール権限: 定義済みのルール:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | |
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | |
| TCP/49152~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート |
注記:
- EventLog Analyzerエージェントをインストールしたマシンで送信ポートを開き、EventLog Analyzerサーバーで受信ポートを開く必要はありません。
- Windows 2000、Windows XP、およびWindows Server 2003の場合、動的RPCポートの範囲は1025~5000です。
- 広範囲のオープンポートのセキュリティを強化するために、ファイアウォールのスコープ内にサーバーのIPアドレスを含めることを推奨します。これにより、指定されたサーバーからの承認されたトラフィックのみがファイアウォールを通過できるようになります。さらに、WMI、RPC、HTTP/HTTPS、リモートイベントログ管理などのプロセスおよびサービスフィルターを含む定義済みルールにより、特定のプロセスまたはサービスのみが指定されたポートを介して通信できるようにすることで、セキュリティをさらに強化できます。サーバーのIPが変更された場合は、それに応じて対応するファイアウォールのルールを更新する必要があります。
Syslog収集
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| UDP/514 ※変更可能 |
EventLog Analyzerサーバー | Syslogデバイス | Syslog |
|
| UDP/513 ※変更可能 |
EventLog Analyzerサーバー | Syslogデバイス | Syslog | |
| TLS/513 ※変更可能 |
EventLog Analyzerサーバー | Syslogデバイス | Syslog | |
| TCP/514 ※変更可能 |
EventLog Analyzerサーバー | Syslogデバイス | Syslog |
SSH通信
| 権限 | 用途 |
|---|---|
|
sshd_configファイルに以下のアルゴリズムが存在することを確認します。 ファイルの場所:/etc/ssh/sshd_config 鍵交換(KEX):diffie-hellman-group1-sha1、diffie-hellman-group-exchange-sha256、diffie-hellman-group14-sha1、diffie-hellman-group14-sha256、diffie-hellman-group15-sha512、diffie-hellman-group16-sha512、diffie-hellman-group17-sha512、diffie-hellman-group18-sha512、ecdh-sha2-nistp256、ecdh-sha2-nistp384、ecdh-sha2-nistp52 暗号:aes128cbc、aes128ctr、aes192cbc、aes192ctr、aes256cbc、aes256ctr、arcfour128、arcfour256、blowfishcbc、tripledescbc MAC:hmacmd5、hmacmd596、hmacsha1、hmacsha196、hmacsha256、hmacsha512 ※すべてのLinux通信に必要です。 |
|
Syslog転送の自動設定
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/22 | Linuxデバイス | EventLog Analyzerサーバー | SSH |
ユーザー権限:
|
AS400ログ収集
| ポート番号 | Inbound | Outbound |
|---|---|---|
| TCP/446~449 | AS400サーバー | EventLog Analyzerサーバー |
| TCP/8470~8476 | AS400サーバー | EventLog Analyzerサーバー |
| TCP/9470~9476 | AS400サーバー | EventLog Analyzerサーバー |
SNMPトラップ収集
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| UDP/162 ※変更可能 |
EventLog Analyzerサーバー | ネットワークデバイス/アプリケーション | SNMP |
|
IISログ収集
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/135 | IISサーバー | EventLog Analyzerサーバー | RPC |
ユーザー権限:
|
| TCP/139 | IISサーバー | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | |
| TCP/445 | IISサーバー | EventLog Analyzerサーバー | SMB RPC/NP |
3. エージェント
Windowsエージェントのログ収集と通信
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| HTTP/8400 ※変更可能 |
EventLog Analyzerサーバー | エージェントをインストールしたマシン |
|
注記:通信には、エージェントの同期やエージェントのステータス確認などのタスクが含まれます。
Windowsエージェントのインストールと管理
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/135 | エージェントをインストールしたマシン | EventLog Analyzerサーバー | RPC |
ユーザー権限:
|
| TCP/139 | エージェントをインストールしたマシン | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | |
| TCP/445 | エージェントをインストールしたマシン | EventLog Analyzerサーバー | SMB RPC/NP | |
| TCP/49152~65535 | エージェントをインストールしたマシン | EventLog Analyzerサーバー | RPCの動的ポート |
注記:管理には、エージェントの起動、停止、アンインストールなどのアクションが含まれます。
Linuxエージェントのインストール
| ポート番号 | Inbound | Outbound | SSH | 補足情報 |
|---|---|---|---|---|
| TCP/22 | エージェントをインストールしたマシン | EventLog Analyzerサーバー | SSH |
Sudoユーザー権限:
|
Linuxエージェントの管理と通信
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| TCP/22 | EventLog Analyzerサーバー | EventLog Analyzerサーバー |
ユーザー権限:
|
| HTTP/8400 ※変更可能 |
EventLog Analyzerサーバー | エージェントをインストールしたマシン |
4. ログインポート
SMBを使用したログインポート
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/137 | インポート元のデバイス | EventLog Analyzerサーバー | NetBIOS名前解決RPC/名前付きパイプ(NP) |
ユーザー権限:
|
| TCP/138 | インポート元のデバイス | EventLog Analyzerサーバー | NetBIOSデータグラム | |
| TCP/139 | インポート元のデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | |
| TCP/445 | インポート元のデバイス | EventLog Analyzerサーバー | SMB RPC/NP |
FTPを使用したログインポート
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/20 | インポート元のデバイス | EventLog Analyzerサーバー | FTP/SFTP |
ユーザー権限:
|
| TCP/21 | インポート元のデバイス | EventLog Analyzerサーバー | FTP/SFTP |
5. ディスカバリー
- Windowsドメインディスカバリー
- Windowsワークグループディスカバリー
- イベントソースディスカバリー
- MSSLQサーバーディスカバリー
- ネットワークデバイスディスカバリー
- IISディスカバリー
- MySQLサーバーディスカバリー(Windows)
- MySQLサーバーディスカバリー(Linux)
Windowsドメインディスカバリー
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/389 | ドメインコントローラー | EventLog Analyzerサーバー | LDAP |
ユーザー権限:
|
Windowsワークグループディスカバリー
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/135 | ワークグループサーバー | EventLog Analyzerサーバー | RPC |
ユーザー権限:
|
| TCP/139 | ワークグループサーバー | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | |
| TCP/445 | ワークグループサーバー | EventLog Analyzerサーバー | SMB RPC/NP | |
| TCP/1024~65535 | ワークグループサーバー | EventLog Analyzerサーバー | RPCの動的ポート |
イベントソースディスカバリー
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザー権限:
|
| TCP/137 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOS名前解決RPC/名前付きパイプ(NP) | |
| TCP/138 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSデータグラム | |
| TCP/139 | ワークグループサーバー | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | |
| TCP/445 | ワークグループサーバー | EventLog Analyzerサーバー | SMB RPC/NP |
MSSLQサーバーディスカバリー
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| UDP/1434 | MSSQLサーバー | EventLog Analyzerサーバー |
ユーザー権限:
|
| TCP/1433 | MSSQLサーバー | EventLog Analyzerサーバー |
ネットワークデバイスディスカバリー
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| UDP/162 | ネットワークデバイス | EventLog Analyzerサーバー |
用途:
|
IISディスカバリー
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/445 | IISサーバー | EventLog Analyzerサーバー | SMB RPC/NP |
用途:
|
MySQLサーバーディスカバリー(Windows)
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/135 | MySQLサーバー | EventLog Analyzerサーバー | RPC |
ユーザー権限:
|
| TCP/445 | MySQLサーバー | EventLog Analyzerサーバー | SMB RPC/NP |
MySQLサーバーディスカバリー(Linux)
| ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|
| TCP/22 | MySQLサーバー | EventLog Analyzerサーバー | SMB RPC/NP |
ユーザー権限:
|
6. ワークフロー
ネットワークのアクション
| アクション | ポート番号 | Inbound | Outbound |
|---|---|---|---|
| デバイスへpingを実行 | ICMP(ポート番号なし) | 管理対象Windowsデバイス / 管理対象Linuxデバイス | EventLog Analyzerサーバー |
| trace routeの実行(Windows) | ICMP(ポート番号なし) | 管理対象Windowsデバイス | EventLog Analyzerサーバー |
| trace routeの実行(Linux) | UDP/33434~33534 | 管理対象Linuxデバイス | EventLog Analyzerサーバー |
Windowsのアクション
| アクション | ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|---|
| ログオフ | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
環境設定:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | ||
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | ||
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート | ||
| シャットダウンと再起動 | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
環境設定:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | ||
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | ||
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート | ||
| Windowsスクリプトを実行 | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
環境設定:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | ||
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | ||
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート | ||
| USBを無効にする | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
環境設定:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | ||
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | ||
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート | ||
| サービス関連 | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | ||
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | ||
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート | ||
| プロセスを開始 | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | ||
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | ||
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート | ||
| プロセスを停止 | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | ||
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | ||
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート | ||
| テストプロセス | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
|
| TCP/139 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | NetBIOSセッションRPC/NP | ||
| TCP/445 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | SMB RPC/NP | ||
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート |
Linuxのアクション
| アクション | ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|---|
| シャットダウンと再起動 | TCP(指定のポート番号) | 管理対象Linuxデバイス | EventLog Analyzerサーバー | - |
環境設定:
|
| Windowsスクリプトを実行 | TCP(指定のポート番号) | 管理対象Linuxデバイス | EventLog Analyzerサーバー | - |
環境設定:
|
| サービス関連 | TCP(指定のポート番号) | 管理対象Linuxデバイス | EventLog Analyzerサーバー | - |
環境設定:
|
| プロセスを開始 | TCP(指定のポート番号) | 管理対象Linuxデバイス | EventLog Analyzerサーバー | - |
環境設定:
|
| プロセスを停止 | 指定のポート番号 | 管理対象Linuxデバイス | EventLog Analyzerサーバー | - |
環境設定:
|
| テストプロセス | TCP(指定のポート番号) | 管理対象Linuxデバイス | EventLog Analyzerサーバー | - | - |
通知
| アクション | ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|---|
| ポップアップメッセージを送信(Windows) | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPC |
ユーザーグループ:
ユーザー権限: WMIプロパティのroot\cimv2:
環境設定:
|
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | RPCの動的ポート | ||
| ポップアップメッセージを送信(Linux) | TCP(指定のポート番号) | 管理対象Linuxデバイス | EventLog Analyzerサーバー | - |
環境設定:
|
| メールを送信(Windows / Linux) | TCP(SMTPサーバー設定時に指定したポート番号) | 管理対象デバイス | EventLog Analyzerサーバー | - |
環境設定:
|
| SMSの送信(Windows / Linux) | - | - | - | - |
環境設定:
|
| SNMPトラップを送信(Windows / Linux) | UDP(ワークフローで指定したポート番号) | 管理対象デバイス | EventLog Analyzerサーバー | - |
環境設定:
|
Active Directoryアクション
| アクション | ポート番号 | Inbound | Outbound | サービス | 補足情報 |
|---|---|---|---|---|---|
| ユーザーの削除 | TCP/389 | 管理対象ドメインコントローラー | EventLog Analyzerサーバー | LDAP |
ユーザー権限:
|
| ユーザーの無効化 | TCP/389 | 管理対象ドメインコントローラー | EventLog Analyzerサーバー | LDAP |
ユーザー権限:
|
| コンピューターの無効化(Windows / Linux) | TCP/389 | 管理対象ドメインコントローラー | EventLog Analyzerサーバー | LDAP |
ユーザー権限:
|
その他のアクション
| アクション | ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|---|
| ファイルへの書き込み(Windows) | TCP/135 | 管理対象Windowsデバイス | EventLog Analyzerサーバー |
ユーザーグループ:
ユーザー権利:
ユーザー権限: WMIプロパティのroot\cimv2:
環境設定:
|
| TCP/1024~65535 | 管理対象Windowsデバイス | EventLog Analyzerサーバー | ||
| ファイルへの書き込み(Linux) | TCP(指定のポート番号) | 管理対象Linuxデバイス | EventLog Analyzerサーバー |
環境設定:
|
| HTTP WebHook | - | - | - |
環境設定:
|
| ログを転送 | TCP(指定のポート番号) | 管理対象デバイス | EventLog Analyzerサーバー | - |
| CSVルックアップ | TCP(指定のポート番号) | 管理対象デバイス | EventLog Analyzerサーバー |
ユーザー権限:
|
ファイアウォールアクション
| アクション | ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|---|
| Cisco ASA インバウンド/アウトバウンド 拒否ルール | https/443 | ファイアウォールデバイス | EventLog Analyzerサーバー |
追加の権限: https://www.manageengine.jp/products/EventLog_Analyzer/help/EventLogAnalyzer_UserGuide/incident-management/incident-workflow.html#ciscoCredentials |
| Fortigate アクセス拒否ルール | https/443 | ファイアウォールデバイス | EventLog Analyzerサーバー |
追加の権限: https://www.manageengine.jp/products/EventLog_Analyzer/help/EventLogAnalyzer_UserGuide/incident-management/incident-workflow.html#fortigateCredentials |
| PaloAlto アクセス拒否ルール | https/443 | ファイアウォールデバイス | EventLog Analyzerサーバー |
追加の権限: https://www.manageengine.jp/products/EventLog_Analyzer/help/EventLogAnalyzer_UserGuide/incident-management/incident-workflow.html#paloAltoCredentials |
| SophosXG アクセス拒否ルール | https/443 | ファイアウォールデバイス | EventLog Analyzerサーバー |
追加の権限: https://www.manageengine.jp/products/EventLog_Analyzer/help/EventLogAnalyzer_UserGuide/incident-management/incident-workflow.html#sophosXGCredentials |
| Barracuda アクセス拒否ルール | https/8443 | ファイアウォールデバイス | EventLog Analyzerサーバー |
追加の権限: https://www.manageengine.jp/products/EventLog_Analyzer/help/EventLogAnalyzer_UserGuide/incident-management/incident-workflow.html#barracudaCredentials |
7. Distributed Edition
Distributed
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| HTTP/8400 ※変更可能 |
Managedサーバー | Adminサーバー |
|
| HTTP/8400 ※変更可能 |
Adminサーバー | Managedサーバー |
|
集中型アーカイブ
| ポート番号 | Inbound | Outbound | 補足情報 |
|---|---|---|---|
| SSH/8080 ※変更可能 |
Adminサーバー | Managedサーバー |
|
アンチウィルスソフトウェアとの併用
EventLog Analyzerがスムーズに機能するためには、以下のフォルダーをアンチウィルスソフトウェアの除外リストに追加する必要があります。
EventLog Analyzerサーバー
| パス | 除外の必要性 | 除外リストに登録されていない場合の影響 |
|---|---|---|
| <EventLog Analyzer_インストールディレクトリ>\ES\data | Elasticsearchのインデックスデータが保存されています。 | データが削除されると、収集したログが確認できなくなります。 |
| <EventLog Analyzer_インストールディレクトリ>\ES\repo | Elasticsearchインデックスのスナップショットが作成される場所です。 | ファイルが削除されると、スナップショットおよびElasticsearchのアーカイブ機能が失敗します。 |
| <EventLog Analyzer_インストールディレクトリ>\ES\archive | Elasticsearchのアーカイブが保存されています。 | ファイルが削除されると、アーカイブされたログデータが利用できなくなります。 |
| <ManageEngine_インストールディレクトリ>\elasticsearch\ES\data | Elasticsearchのインデックスデータが保存されています。 | データが削除されると、レポートに影響が出ます。 |
| <ManageEngine_インストールディレクトリ>\elasticsearch\ES\repo | Elasticsearchインデックスのスナップショットが作成される場所です。 | ファイルが削除されると、スナップショットおよびElasticsearchのアーカイブ機能が失敗します。 |
| <ManageEngine_インストールディレクトリ>\elasticsearch\ES\archive | Elasticsearchのアーカイブが保存されています。 | ファイルが削除されると、データが利用できなくなります。 |
| <EventLog Analyzer_インストールディレクトリ>\data\za\threatfeeds | インターネット接続がない場合に使用される、悪意のあるIP、ドメイン、URLのリストを含むバンドルファイルが保存されています。これらのファイルは、デフォルト脅威フィードの最初の同期時に削除されます。アンチウイルスソフトウェアからの除外は、最初の同期までのみ必要です。 | ファイルが削除され、インターネット接続がない場合、悪意のある脅威ソースのリストがデータセットから失われます。 |
| <EventLog Analyzer_インストールディレクトリ>\data\AlertDump | アラート処理前のフォーマットされたログが保存されます。アンチウイルスソフトウェアによって誤検知される可能性があります。 | ファイルが隔離または削除されると、関連するアラートが表示されなくなります。 |
| <EventLog Analyzer_インストールディレクトリ>\data\NotificationDump | 通知処理の前のフォーマットされたログが保存されます。アンチウイルスソフトウェアによって誤検知される可能性があります。 | ファイルが隔離または削除されると、アラート通知が受けられなくなります。 |
| <EventLog Analyzer_インストールディレクトリ>\bin | すべてのバイナリが含まれています。一部のアンチウイルスソフトウェアでは、これらが誤検知としてブロックされる可能性があります。 | 製品が機能しない可能性があります。 |
| <EventLog Analyzer_インストールディレクトリ>\data\imworkflow | ワークフロー実行のためにユーザーがアップロードしたバイナリが保存されています。 | スクリプトを使用したワークフローが意図したとおりに動作しない可能性があります。 |
| <EventLog Analyzer_インストールディレクトリ>\pgsql\bin | PostgreSQLのバイナリが含まれています。アンチウイルスソフトウェアによって誤検知される可能性があります。 | 製品が起動しない可能性があります。 |
| <EventLog Analyzer_インストールディレクトリ>\lib\native | すべてのバイナリが含まれています。一部のアンチウイルスソフトウェアでは、これらが誤検知としてブロックされる可能性があります。 | 製品が機能しない可能性があります。 |
| <EventLog Analyzer_インストールディレクトリ>\archive ※アーカイブの保存場所を変更している場合は、変更後の保存先フォルダーもスキャン対象から除外してください。 |
アンチウイルスソフトウェアにより、頻繁な書き込み操作が遅くなる可能性があります。 | アンチウイルスソフトウェアが書き込み操作を遅くすると、製品パフォーマンスに問題が発生する可能性があります。 |
| <EventLog Analyzer_インストールディレクトリ>\troubleshooting | トラブルシューティング用のバイナリが含まれています。一部のアンチウイルスソフトウェアでは、これらが誤検知としてブロックされる可能性があります。 | 一部のトラブルシューティングに関連するバッチファイルが機能しなくなる可能性があります。 |
| <EventLog Analyzer_インストールディレクトリ>\tools | ツールに関するバイナリが含まれています。一部のアンチウイルスソフトウェアでは、これらが誤検知としてブロックされる可能性があります。 | アンチウイルスソフトウェアによってファイルが削除されると、一部のツールが動作しなくなる可能性があります。 |
| <EventLog Analyzer_インストールディレクトリ>\ES\CachedRecord | アンチウイルスソフトウェアにより、頻繁な書き込み操作が遅くなる可能性があります。 | アンチウイルスソフトウェアが書き込み操作を遅くすると、製品パフォーマンスに問題が発生する可能性があります。 |
EventLog Analyzerのエージェントをインストールしたマシン(Windowsマシン:64bit)
| パス | 除外の必要性 | 除外リストに登録されていない場合の影響 |
|---|---|---|
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin | エージェントのバイナリが保存されています。 | ファイルが隔離されている場合、エージェントが動作しない可能性があります。 |
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data | アンチウイルスソフトウェアにより、頻繁な書き込み操作が遅くなる可能性があります。 | アンチウイルスソフトウェアが書き込み操作を遅くすると、製品パフォーマンスに問題が発生する可能性があります。 |
| C:\TEMP\\EventLogAgent | エージェントのインストールおよびアップグレードのために、エージェントのインストールファイルが移動される場所です。 | ファイルが隔離されている場合、エージェントがアップグレード/インストールされない可能性があります。 |
EventLog Analyzerのエージェントをインストールしたマシン(Windowsマシン:32bit)
| パス | 除外の必要性 | 除外リストに登録されていない場合の影響 |
|---|---|---|
| C:\Program Files\EventLogAnalyzer_Agent\bin | エージェントのバイナリが保存されています。 | ファイルが隔離されている場合、エージェントが動作しない可能性があります。 |
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data | アンチウイルスソフトウェアにより、頻繁な書き込み操作が遅くなる可能性があります。 | アンチウイルスソフトウェアが書き込み操作を遅くすると、製品パフォーマンスに問題が発生する可能性があります。 |
| C:\TEMP\\EventLogAgent | エージェントのインストールおよびアップグレードのために、エージェントのインストールファイルが移動される場所です。 | ファイルが隔離されている場合、エージェントがアップグレード/インストールされない可能性があります。 |
EventLog Analyzerのエージェントをインストールしたマシン(Linuxマシン)
| パス | 除外の必要性 | 除外リストに登録されていない場合の影響 |
|---|---|---|
| /opt/ManageEngine/EventLogAnalyzer_Agent/bin | エージェントのバイナリが保存されています。 | ファイルが隔離されている場合、エージェントが動作しない可能性があります。 |
| /opt/ManageEngine/EventLogAnalyzer_Agent/bin/data | アンチウイルスソフトウェアにより、頻繁な書き込み操作が遅くなる可能性があります。 | アンチウイルスソフトウェアが書き込み操作を遅くすると、製品パフォーマンスに問題が発生する可能性があります。 |