# Enginsight SIEM

Hier findest du alle [Systemanforderungen](#systemanforderungen-siem) sowie notwendige [Firewall-Regeln](#firewall-regeln-siem) für das Enginsight SIEM. 

***

## Systemanforderungen: SIEM

Für das Enginsight SIEM werden mindestens zwei Server benötigt, für die dieselben Systemanforderungen gelten:

* 1 SIEM Management Server, der für Log-Korrelation und -Verwaltung sowie Backups zuständig ist. Auf ihm wird der Loggernaut und Apache Zookeeper installiert.
* Mindestens 1 SIEM Index Server, der für die Verarbeitung der Logs zuständig ist. Auf diesem Server wird Apache Solr installiert, die primäre Datenbank für das SIEM.

{% hint style="danger" %}
**Bitte beachte**: Die folgenden Systemanforderungen sind als Mindestanforderungen zu verstehen und für einen Datendurchsatz von höchstens 10 GB pro Tag ausgelegt. Falls du einen höheren Datendurchsatz pro Tag benötigst, kontaktiere gerne unseren Support.
{% endhint %}

<table><thead><tr><th width="254.88671875">Kategorie</th><th>Anforderungen</th></tr></thead><tbody><tr><td>System</td><td><p>Virtuelle Maschine (VM)</p><div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p><strong>Bitte beachte</strong>: Ein Zugriff auf die VM muss entweder über Secure Shell (SSH) oder über die Nutzung von VMware Tools möglich sein.</p></div></td></tr><tr><td>Betriebssystem</td><td><p>Linux: Debian 12, 64bit</p><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Ein Betrieb auf Windows ist nicht möglich.</p></div></td></tr><tr><td>CPU</td><td>4 Cores</td></tr><tr><td>Arbeitsspeicher (RAM)</td><td><p>mind. 8 GB (nicht dynamisch)</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Zusätzlich empfehlen wir die Einrichtung von <strong>mindestes 4 GB Swap-Speicher</strong>, um potenzielle Out-of-Memory (OOM)-Probleme abzufedern. </p></div></td></tr><tr><td>Massenspeicher</td><td><p>mind. 200 GB (SSD empfohlen)</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Wir empfehlen, eine Partition für das gesamte System anzulegen.</p></div></td></tr></tbody></table>

***

## Firewall-Regeln: SIEM Management Server (Loggernaut)

Die SIEM-Komponente Loggernaut auf dem SIEM Management Server benötigt folgende Freigaben für die Firewall:

{% hint style="warning" %}
**Bitte beachte**: Die angegebenen Ports entsprechen den standardmäßig verwendeten Ports. Solltest du Ports für bestimmte Dienste ändern, bspw. den SSH-Port, passe die Firewall-Regeln entsprechend an.
{% endhint %}

<table><thead><tr><th width="126.26171875">Richtung</th><th width="178.94140625">Ziel</th><th width="162.9921875">Port</th><th width="108.19140625">Protokoll</th><th>Anmerkung</th></tr></thead><tbody><tr><td>Beide Richtungen</td><td>Applikationsserver</td><td>443 (HTTPS)<br>80 (HTTP – ausdrücklich nicht empfohlen!)</td><td>TCP</td><td>–</td></tr><tr><td>Beide Richtungen</td><td>SIEM Management Server (Apache Zookeeper)</td><td>2181</td><td>TCP</td><td>–</td></tr><tr><td>Ausgehend</td><td>SIEM Index Server (Apache Solr)</td><td>8983</td><td>TCP</td><td>–</td></tr><tr><td>Beide Richtungen</td><td>SFTP Backup Server</td><td>22 (SSH)</td><td>TCP</td><td>Falls das inkludierte Backup-System nicht verwendet wird</td></tr><tr><td>Beide Richtungen</td><td>S3 Backup Server</td><td>443 (HTTPS)<br>80 (HTTP – ausdrücklich nicht empfohlen!)</td><td>TCP</td><td>Falls das inkludierte Backup-System nicht verwendet wird</td></tr><tr><td>Eingehend</td><td>Tracer</td><td>443 (HTTPS)<br>80 (HTTP – ausdrücklich nicht empfohlen!)</td><td>TCP</td><td>Für KI-basierte Zeitreihenanalyse</td></tr></tbody></table>

***

## Firewall-Regeln: SIEM Management Server (Apache Zookeeper)

Die SIEM-Komponente Apache Zookeeper auf dem SIEM Management Server benötigt folgende Freigaben für die Firewall:

<table><thead><tr><th width="126.26171875">Richtung</th><th width="178.94140625">Quelle</th><th width="162.9921875">Port</th><th width="108.19140625">Protokoll</th><th>Anmerkung</th></tr></thead><tbody><tr><td>Eingehend</td><td>SIEM Management Server (Loggernaut)</td><td>2181</td><td>TCP</td><td>-</td></tr><tr><td>Eingehend</td><td>SIEM Index Server (Apache Solr)</td><td>2181</td><td>TCP</td><td>-</td></tr></tbody></table>

***

## Firewall-Regeln: SIEM Index Server (Apache Solr)

Die SIEM-Komponente Apache Solr auf dem SIEM Index Server benötigt folgende Freigaben für die Firewall:

<table><thead><tr><th width="126.26171875">Richtung</th><th>Quelle</th><th width="178.94140625">Ziel</th><th width="126.0859375">Port</th><th width="82.625">Protokoll</th><th>Anmerkung</th></tr></thead><tbody><tr><td>Beide Richtungen</td><td>SIEM Index Server (Apache Solr)</td><td>SIEM Index Server (Apache Solr)</td><td>8983</td><td>TCP</td><td>Beim Einsatz mehrerer SIEM Index Server</td></tr><tr><td>Ausgehend</td><td>–</td><td>SIEM Management Server (Apache Zookeeper)</td><td>2181</td><td>TCP</td><td>–</td></tr><tr><td>Eingehend</td><td>SIEM Management Server (Loggernaut)</td><td>–</td><td>8983</td><td>TCP</td><td>–</td></tr></tbody></table>

***

## SIEM: Erreichbare Domains

Die folgenden Domains müssen vom SIEM Management Server und vom SIEM Index Server aus erreichbar sein:

* get.enginsight.com
* download.docker.com
* registry-1.docker.io
* auth.docker.io
* docker-images-prod.6aa30f8b08e16409b46e0173d6de2f56.r2.cloudflarestorage.com


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/installation-und-konfiguration/systemanforderungen/enginsight-siem.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.