Komunikace Logmanageru
Logmanager pro svoji řádnou funkci vyžaduje řadu povolených síťových portů. Pro správné nastavení firewallů, případně dalších síťových prvků, prosím využijte následující diagram:
Komunikační diagram Logmanageru
Komunikace iniciovaná Logmanagerem:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| Logmanager | DNS | 53 / UDP | |
| Logmanager | DNS | 53 / TCP | |
| Logmanager | LDAP | 389 / TCP | LDAP (ověřování uživatelů) |
| Logmanager | LDAP | 686 / TCP | LDAPs (ověřování uživatelů) |
| Logmanager | LDAP | 3268 / TCP | LDAP (AD Global Catalog) (ověřování uživatelů) |
| Logmanager | LDAP | 3269 / TCP | LDAPs (AD Global Catalog) (ověřování uživatelů) |
| Logmanager | NTP | 123 / UDP | Synchronizace času |
| Logmanager | SMTP | 25 / TCP | Zasílání alertů, hlášení atd. |
| Logmanager | SMTP | 465 / TCP | SMTP autentifikace |
| Logmanager | SMTP | 587 / TCP | SMTP autentifikace |
| Logmanager | Záloha databáze | 445 / TCP | SMB v3 (fallback na SMB v2) |
| Logmanager | Systémové aktualizace | 443 / TCP | Vyžaduje přístup na: https://up.logmanager.cz/ |
| Logmanager | Reportování chyb (standardně zakázaná komunikace, nutné aktivovat) | 443 / TCP | Vyžaduje přístup na: https://bugreport.logmanager.cz/ |
| Logmanager | O365 čtení událostí z cloudu nebo obnova tokenů | 443 / TCP | Přístup do celého internetu |
Reportování chyb - tato komunikace je ve výchozím stavu zakázana, pro její funkci ji musí operátor zapnout. Více naleznete zde: Automaticky posílat chyby směrem k výrobci.
Přístup na aktualizační server Logmanager up.logmanager.cz vyžaduje transparentní komunikaci, tzn. bez HTTPS/SSL inspekce. Zkontrolujte nastavení vašeho firewallu, zda komunikaci neblokujete nebo zda nemáte zapnutou HTTPS/SSL inspekci (známou také jako MITM, tedy Man in the middle). Pokud vám to váš firewall umožňuje, vytvořte pro Logmanager speciální unikátní pravidlo, kterým povolíte jen požadovanou komunikaci.
Komunikace Logmanager clusteru:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| Logmanager | Logmanager | 443 / TCP | Konfigurace clusteru |
| Logmanager | Logmanager | 51820 / UDP | WireGuard |
Minimální MTU mezi nody v clusteru Logmanager je 1500.
Komunikace Logmanager Forwarderu:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| Logmanager Forwarder | Logmanager | 443 / TCP | Konfigurace Forwarderu |
| Logmanager Forwarder | Logmanager | 51821 / UDP | WireGuard |
Minimální MTU mezi Logmanager a Logmanager Forwarderem je 1410.
Komunikace s logovacími službami:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| RELP | Logmanager | 20514 / TCP | |
| BEATS | Logmanager | 5044 / TCP | Beats vstupní Plugin |
| Syslog | Logmanager | 514 / UDP | |
| Syslog | Logmanager | 514 / TCP | |
| O365 příjem logů | Logmanager | 8443 / TCP | Příjem událostí z O365 |
| Syslog | Logmanager | 10514 / UDP | |
| Syslog | Logmanager | 10514 / TCP | |
| Syslog | Logmanager | 51000 - 51100 / UDP | |
| Syslog | Logmanager | 51000 - 51100 / TCP | |
| Syslog | Logmanager | 6514 / TCP | TLS |
Logmanager automaticky ořízne každou příchozí Beat souborovou zprávu, která přesáhne velikost 64000 bajtů. Každá oříznutá zpráva bude automaticky označená jako truncated. Více informací naleznete zde - Beats.
Podpora výrobcem:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| SSH | Logmanager | 22 / TCP |
Přístup na webové rozhraní:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| Web | Logmanager | 443 / TCP | WebUI |
Komunikace agenta WES (podpora):
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| WES | Logmanager | 443 / TCP | Konfigurace agenta |
| WES | Logmanager | 20514 / TCP | RELP |
| WES | Logmanager | 20515 / TCP | TLS RELP |
Komunikace s VMware:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| Logmanager | VMware | 443 (default) / TCP | HTTPS access |
Komunikace s SQL servery:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| Logmanager | Microsoft SQL | 1433 / TCP | komponenta SQL |
| Logmanager | Microsoft SQL Server Browser | 1434 / UDP | komponenta SQL |
| Logmanager | MySQL | 3306 / TCP | komponenta SQL |
| Logmanager | Oracle Database | 1521 / TCP | komponenta SQL |
| Logmanager | PostgreSQL | 5432 / TCP | komponenta SQL |
Komunikace s Logmanager Orchestratorem:
| Zdroj | Cíl | Port / Protokol | Popis |
|---|---|---|---|
| Logmanager Orchestrator | Logmanager | 443 / TCP | Konfigurace agenta |
| Logmanager Orchestrator | Logmanager | 5044 / TCP | Beats vstupní Plugin |
Jak je v komunikační matici naznačeno, v rámci clusteru Logmanager komunikuje oběma směry. Komunikace a synchronizace dat zde probíhá mezi jednotlivými členy. Ke komunikaci používá TCP/443 a UDP/51820.
V případě nasazení Logmanager v clusteru je tedy potřeba povolit síťový prostup nejen směrem na jednotlivé členy, ale zároveň mezi členy samotnými. Jinými slovy, pro korektní funkci by měl mít každý člen clusteru identická firewallová pravidla.
Komunikace musí být povolena mezi všemi členy clusteru.
Důležité upozornění, POZOR na Logmanager komunikaci mezi forwardery/nody skrz firewally. Doporučujeme používat blackhole pro vaše interní subnety. Veškerá Logmanager komunikace probíhá skrz UDP porty. Některé firewally za určitých okolností nerespektují routovací tabulku, ale používají session tabulku pro odesílání paketů do špatného interface, což způsobí nefunkční komunikaci mezi Logmanagery/forwardery.
Příklad špatného chování FortiGate, pokud forwarder komunikuje skrz IPSEC interface na centrálu:
- UDP session je navázána skrz IPSEC tunel.
- IPSEC tunel se ocitne ve stavu down (výpadek internetu, rekonfigurace apod.), firewall deaktivuje routy vedoucí do tunelu.
- Firewall zlikviduje session, nicméně UDP pakety stále chodí, vytvoří tedy novou session, dle aktuální routovací tabulky (zbývá jen defaultní route do internetu).
- IPSEC tunel se znovu nastartuje a aktivuje route do tunelu.
- Session nicméně stále existuje na interface do internetu, a jelikož UDP pakety stále přicházejí, jsou firewallem chybně odesílány do internetu.