ELOG因过滤规则配置错误不能接SYS-LOG

发布时间:  2012-07-17 浏览次数:  67 下载次数:  0
问题描述
软件型号:ELOG  V100R002
 问题现像: 有三台E1000E防火墙,使用eLog管理防火墙的会话日志和syslog日志,刚安装的时候,可以查询到防火墙的日志。后来工作人员在eLog上查询防火墙的syslog,发现3台防火墙中,有两台防火墙(E1000E-1和E1KVPN)的syslog一直无法查询到,但可以查询到会话日志。
告警信息
处理过程
1.在eLog开始运行后不久,用户在eLog上设置了防火墙的syslog过滤策略,将E1000E-1的syslog过滤了,后台运行记录如下。(由于eLog的后台运行记录可以看到的最早的信息是8月23号的,所以从8月23号开始列起。)
2011-08-23 20:41:00,000 INFO  0x00000734 LogCollector - [ESFilterMgr::printFilteLogNum] Number filte eudemon syslog every minute: 12
2011-08-24 00:00:00,000 INFO  0x00000734 LogCollector - [ESFilterMgr::printFilteLogNum] Number filte eudemon syslog every minute: 12
2011-08-28 12:10:00,000 INFO  0x00000734 LogCollector - [ESFilterMgr::printFilteLogNum] Number filte eudemon syslog every minute: 12
2011-08-29 00:00:00,000 INFO  0x00000734 LogCollector - [ESFilterMgr::printFilteLogNum] Number filte eudemon syslog every minute: 12
2011-08-31 09:56:00,000 INFO  0x00000734 LogCollector - [ESFilterMgr::printFilteLogNum] Number filte eudemon syslog every minute: 16
2011-08-31 18:58:00,000 INFO  0x00000734 LogCollector - [ESFilterMgr::printFilteLogNum] Number filte eudemon syslog every minute: 10
2011-08-31 18:59:00,000 INFO  0x00000734 LogCollector - [ESFilterMgr::printFilteLogNum] Number filte eudemon syslog every minute: 0
2011-08-31 19:00:00,000 INFO  0x00000734 LogCollector - [ESFilterMgr::printFilteLogNum] Number filte eudemon syslog every minute: 0
上面的运行记录,含义是:在前一分钟,eLog接收到的syslog中,被过滤掉的条数是多少,该记录每分钟记录一次。可以看到,从有记录的8月23号开始,直到2011-08-31 18:58:00,每分钟均有12条左右的syslog被过滤。在这之后,就没有syslog被过滤了。因为在2011-08-31 18:58左右,我们将E1000E-1设备从eLog中删除了,eLog不再接收它的syslog了。在删除设备的同时,也会删除该设备对应的过滤策略,因此,再次添加设备后,不会再过滤该设备的syslog了,也就可以查询到该设备的syslog。
2.关于过滤策略
eLog的过滤策略分2种,全局过滤策略和局部过滤策略。
全局过滤策略:使用管理员(admin)登录后,设置。对所有设备有效。

 

局部过滤策略:使用操作员(operator)登录后,设置时需要选择特定的设备,并且只对选择的设备有效。

设置了局部过滤策略,所以才只过滤了E1000E-1的syslog,而没有过滤E1000E-2的syslog。  
根因
  1. 检查防火墙SYS-LOG配置正常
  2. 检查防火墙域间策略配置正常
  3. 检查防火墙与ELOG通信正常
  4. 检查ELOG配置,在过滤策略配置有异常
建议与总结
取消掉所有的全局过滤策略和局部过滤策略,就不会再过滤日志了。

END