ELA 默认使用无代理收集日志。在无代理收集日志中，需要为日志收集打开端口，如 139 (RPC)、135 (WMI)、445 (DCOM) 端口。如果这些端口因公司政策而无法开启，可以选择代理收集的方式。但即使是在基于代理的日志收集中，也需要为日志收集打开 EventLog Analyzer 的网络服务器端口（默认为 8400）。此外，如果需要使用文件完整性监控（FIM）功能，也需要安装代理。

相关文档参考：