Wincollect Portları ve Firewall Kuralları
Wincollect ajanını kurdunuz. Log kaynağı ekleyerek local veya remote collection (bknz: Wincollect ajanı ile log toplama) yaparak logları almak istiyorsunuz. Eklediğiniz log kaynağının Status bilgisi N/A. Ya da Wincollect ajanını kurdunuz; ancak Wincollect ajanınızın kurulduğuna dair bir QRadar uyarısı almadınız. Bu durumlarda ilk bakmanız gereken şey, gerekli portlara erişimlerin olup olmadığını kontrol etmenizdir. Bunun için kurumsal yapınızda firewall kurallarının girilmiş olması gerekecektir.
- Wincollect ajanı kurulumunu başarıyla gerçekleştirmenin kurallarından biri de TCP/8413 portunun çift yönde açık olmasıdır. Hem Wincollect ajanı hem de QRadar sistemi bu port üzerinden konuşur.
- Wincollect ajanı logları QRadar’a syslog ile gönderir. Syslog portu ise 514‘dür. Tek yönlü kural girilebilir. Çünkü QRadar’dan Wincollect ajanının 514’üne herhangi bir geri dönüş diye bir şey yoktur. Bir diğer önemli şey ise QRadar tarafında 514 portuna logları TCP veya UDP ile gönderebilirsiniz. Bu seçimi log kaynağı eklerken Target Internal Destination alanından yapabilirsiniz.
- Wincollect ile remote collection yapacaksanız eğer; bahsettiğimiz 514 ve 8413 portlarına ek olarak Wincollect ajanından uzak log toplanacak Windows makinelerin şu portlarına çift yönlü erişiminde olması gerekir:
| TCP | 135, 139, 445 |
| UDP | 137 , 138 |
