企业云SIEM架构

LogRhythm SMA安装

视窗 2008+的系统监视器代理远程收集安装

防火墙规则

确保以下端口未被任何防火墙阻止
在SysMon服务器和
目标服务器:
o TCP 135
o UDP 137
o UDP 138
o TCP 139
o TCP 445
在目标服务器上的Windows入站防火墙规则中,
启用以下服务:
o 远程事件日志管理(RPC)

服务

启动RPC(远程事件日志管理) 每个服务
单独的Windows服务器

会员/权限


“ LogRhythm系统监视器”服务必须使用域帐户
(不是“本地
系统”
帐户-例如logrhythm_srv), 该帐户应属于每个帐户的“本地”事件日志读取器组
远程服务器。他们
可以手动分配它,也可以通过GPO推送它。
分配
系统监视器的服务帐户对以下两个帐户的读取权限
注册表项:
·       
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ services \ eventlog \ 安全 \ Microsoft-Windows-Security-Auditing
·       
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ eventlog \ 安全 \ Microsoft-Windows-Security-Auditing
注意: 默认情况下,事件日志阅读器组将
已阅读以上密钥的权限。如果该帐户已添加到本地活动
日志读取器组,它应授予对上述两个注册表项的读取权限。问
核实。

LogRhythm 云 Web GUI

仪表板
警报器
搜索次数
报告书
搜索 
使用Lucene过滤器搜索日志:

使用通配符搜索日志:

通过 约翰扬

发表评论