elog查询不到设备日志的问题定位步骤

发布时间:  2012-07-18 浏览次数:  73 下载次数:  0
问题描述
在Secospace eLog 日志管理系统界面查询不到设备日志
告警信息
处理过程

步骤 1 确认是否以操作员身份登录Secospace eLog 日志管理系统进行日志查询。
若是,请跳过此步;若否,请以操作员身份登录后,再进行日志查询。
步骤 2 在日志采集器上运行抓包工具,若能接收到设备发过来的数据包(目的端口为514或9002的数据包),说明问题出在Secospace eLog 日志管理系统,请按照步骤4~步骤6逐项检查;若接收不到设备发过来的数据包,请检查网络连接和设备的配置,参见步骤7~步骤8。
步骤 3 查看日志采集器是否已启动。
操作方法:查看操作系统“服务”中“Secospace eLog LogCollector”的“状态”是否为“已启动”。界面如下图所示。

 

若已启动,请跳过此步;若未启动,请手动启动日志采集器。
步骤 4 查看是否设置了相应的过滤策略。
操作方法:以管理员或操作员的身份登录Secospace eLog 日志管理系统,单击“策略管理”,查看是否设置了设备的过滤策略。界面如下图所示。

 

若未设置过滤策略,请跳过此步;若设置了设备的过滤策略,请取消相应过滤策略的设置。
步骤 5 查看设备是否添加正确以及设备的采集方式是否已添加。
操作方法:以管理员账号admin登录Secospace eLog 日志管理系统,查看“系统管理 > 设备管理”中相应设备及其采集方式是否添加正确。界面如下图所示。

 

若设备及其采集方式已正确添加,请跳过此步;若没有正确添加,请正确添加设备及其采集方式。添加设备的操作请参见《Seccospace eLog 日志管理系统 操作指南》的“设备管理”章节。

 

步骤 6 若是网络设备,请检查网络设备上是否已配置了日志中心的IP地址指向日志采集器,并且网络设备的日志记录和发送功能是否已开启。
操作方法请参见《Seccospace eLog 日志管理系统 操作指南》的“配置防火墙”章节。
步骤 7 若是主机设备,请检查主机设备是否配置了审计方案并开启了审计策略。
操作方法请参见与Secospace eLog 日志管理系统相关的主机审计方案配置文档。
步骤 8 在线日志存储空间和转储日志存储空间是否已满,日志无法再写入。
操作方法:以管理员身份登录Secospace eLog 日志管理系统,查看“系统管理 > 系统日志”中,是否有“在线日志剩余存储空间不足”的提示,界面如下图所示。

 

若磁盘空间未满,请跳过此步;若磁盘空间已满,请对采集器的存储空间进行扩容,操作步骤请参见案例“对日志采集器的存储空间进行扩容”。
步骤 9 检查磁盘有无损坏。
操作方法:以管理员身份登录Secospace eLog 日志管理系统,查看“系统管理 > 系统日志”中,是否有“磁盘或文件读写错误”的提示,界面如下图所示。

 

如果有“磁盘或文件读写错误”的提示,说明磁盘损坏。如果挂载了磁盘柜,请检查磁盘柜与日志采集器之间的网络连接是否正常以及磁盘柜是否可以正常读写数据,根据具体情况修复磁盘柜和日志采集器之间的网络连接或更换磁盘柜;如果没有挂载磁盘柜,则本地磁盘损坏,请更换本地磁盘。

 

根因

1.登陆身份错误。

2.未收到设备日志或设备未发出日志。

3.日志采集器进程未启动。

 

建议与总结

END