Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Kommunikation zwischen WinCollect-Agents und JSA

Offene Ports sind für die Datenkommunikation zwischen WinCollect-Agents und dem JSA-Host sowie zwischen WinCollect-Agents und den Hosts, die sie remote abfragen, erforderlich.

WinCollect-Agent-Kommunikation mit der JSA-Konsole und Ereignissammlern

Alle WinCollect-Agents kommunizieren mit der JSA-Konsole und den Ereignissammlern, um Ereignisse an JSA weiterzuleiten und aktualisierte Informationen anzufordern. Verwaltete WinCollect-Agents fordern außerdem aktualisierte Code- und Konfigurationsänderungen an und empfangen diese. Sie müssen sicherstellen, dass Firewalls, die sich zwischen den JSA-Ereignissammlern und Ihren WinCollect-Agents befinden, Datenverkehr auf den folgenden Ports zulassen:

  • Port 8413: Dieser Port wird zum Verwalten der WinCollect-Agents zum Anfordern und Empfangen von Code- und Konfigurationsupdates verwendet. Datenverkehr wird immer vom WinCollect-Agent initiiert und über TCP gesendet. Die Kommunikation wird mithilfe des öffentlichen Schlüssels der JSA-Konsole und der ConfigurationServer.PEM Datei auf dem Agenten verschlüsselt.

    Erstellen Sie eine bidirektionale Regel, um die Kommunikation vom WinCollect-Agent an JSA an Port 8413 zu ermöglichen. Wenn die Regel nicht bidirektional ist, wird der Datenverkehr blockiert. JSA sendet keine Updates an den WinCollect-Agent an Port 8413.

  • Port 514 – Dieser Port wird vom WinCollect-Agent verwendet, um Syslog-Ereignisse an JSA weiterzuleiten. Sie können WinCollect-Protokollquellen so konfigurieren, dass Ereignisse über TCP oder UDP bereitgestellt werden. Sie können entscheiden, welches Übertragungsprotokoll für jede WinCollect-Protokollquelle verwendet werden soll. Der Datenverkehr an Port 514 wird immer vom WinCollect-Agent initiiert.

WinCollect-Agenten rufen Windows-Ereignisquellen remote ab

WinCollect-Agents, die andere Windows-Betriebssysteme remote abfragen, benötigen zusätzliche Ports, um geöffnet zu sein. Diese Ports müssen auf dem WinCollect-Agent-Computer und den Computern, die remote abgefragt werden, geöffnet sein, jedoch nicht auf Ihren JSA-Appliances. In der folgenden Tabelle werden die verwendeten Ports beschrieben.

Tabelle 1: Portnutzung für WinCollect Remote Polling

Hafen

Protokoll

Verwendung

135

TCP

Microsoft Endpoint Mapper

137

UDP

NetBIOS-Namensdienst

138

UDP

NetBIOS-Datagrammdienst

139

TCP

NetBIOS-Sitzungsdienst

445

TCP

Microsoft-Verzeichnisdienste für Dateiübertragungen, die die Windows-Freigabe verwenden

49152 – 65535

Hinweis:

Exchange-Server sind standardmäßig für einen Portbereich von 6005 bis 58321 konfiguriert.

TCP

Standardmäßiger dynamischer Portbereich für TCP/IP

Das MSEVEN-Protokoll verwendet Port 445. Die NETBIOS-Ports (137 - 139) können für die Hostnamensauflösung verwendet werden. Wenn der WinCollect-Agent ein Remoteereignisprotokoll mithilfe von MSEVEN6 abfragt, erfolgt die erste Kommunikation mit dem Remotecomputer über Port 135 (dynamische Portzuordnung), wodurch die Verbindung einem dynamischen Port zugewiesen wird. Der Standardportbereich für dynamische Ports liegt zwischen Port 49152 und Port 65535, kann jedoch je nach Servertyp unterschiedlich sein. Exchange-Server sind z. B. standardmäßig für einen Portbereich von 6005 bis 58321 konfiguriert.

Um Datenverkehr auf diesen dynamischen Ports zuzulassen, aktivieren und lassen Sie die beiden folgenden eingehenden Regeln auf dem Windows-Server zu, der abgefragt wird:

  • Remote-Ereignisprotokollverwaltung (RPC)

  • Remoteverwaltung von Ereignisprotokollen (RPC-EPMAP)

Hinweis:

Um die Anzahl der Ereignisse zu begrenzen, die an JSA gesendet werden, können Administratoren Ausschlussfilter für ein Ereignis basierend auf der EventID oder dem Prozess verwenden.

Aktivieren der Remoteprotokollverwaltung unter Windows

Sie können die Remoteprotokollverwaltung nur aktivieren, wenn Ihre Protokollquelle so konfiguriert ist, dass andere Windows-Betriebssysteme remote abgefragt werden. Sie können die Remoteprotokollverwaltung unter Windows 2012 R2 für XPath-Abfragen aktivieren.

Hinweis:

WinCollect unterstützt nicht das Zurücksetzen virtueller Citrix-Maschinen, die remote abgefragt werden.

  1. Wählen Sie auf Ihrem Desktop Start >Systemsteuerung.

  2. Klicken Sie auf das Symbol System und Sicherheit .

  3. Klicken Sie auf Programm durch die Windows-Firewall zulassen.

  4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter.

  5. Klicken Sie auf Einstellungen ändern.

  6. Wählen Sie im Bereich Zulässige Programme und Funktionen die Option Remote-Ereignisprotokollverwaltung aus.

    Abhängig von Ihrem Netzwerk müssen Sie möglicherweise weitere Netzwerktypen korrigieren oder auswählen.

  7. Klicken Sie auf OK.

Zugehörige Dokumentation