由于配置了过滤规则导致elog无法看到接口流量的信息

发布时间:  2014-06-30 浏览次数:  295 下载次数:  0
问题描述
客户在把防火墙Secospace USG 5520S添加到elog中,并同步网元成功后,发现在elog中看到接口流量趋势信息。 在菜单“Analysis->Traffic Analysis ->Interface Traffic”中看不任何流量趋势的信息:
相关拓扑图如下:

告警信息
处理过程
(1) 从客户反馈信息来看,防火墙Secospace USG 5520S已经添加到elog中,并同步网元成功。

由于流量信息是通过syslog日志发送,因此检查日志收集模式,发现syslog类型的日志模式已经添加,并且端口设置为514,跟防火墙上设置的一致。

(2) 检查时区和时间设置,在防火墙上的设置和elog服务器上的设置一致。
(3) 检查防火墙USG5520S上是否有接口流量信息,发现是有的。

(4) 检查elog是否收到了流量日志。在菜单“Analysis->Network Security Analysis ->Event Monitor”中可以看到流量日志,并且跟研发确认,流量日志的格式是正确的。

(5) 检查过滤规则,发现客户错误的配置了规律规则,把流量日志给规律掉了。

(6) 清除过滤规则后,终于可以在时间查询菜单中看到流量相关信息了:

之后客户反馈,在菜单”Analysis->Traffic Analysis ->Interface Traffic” 中可以看到流量趋势信息。
根因
原因1:查询时时间参数设置不正确
原因2:设备未正确关联到采集器,采集方式未配置
原因3:设备侧没有发送对应日志到采集器。也就是说,USG5520S可能没有相关的流量信息。
原因4:采集器与设备时间或者时区不同步
原因5:网络安全分析下设置了过滤规则。
建议与总结
根据研发的建议,日志无法查询的问题,根据历史经验,可能原因如下:
原因1:查询时时间参数设置不正确
原因2:设备未正确关联到采集器,采集方式未配置
原因3:设备侧没有发送对应日志到采集器
原因4:采集器与设备时间或者时区不同步
原因5:设备侧发送的日志时间不正确
原因6:采集器在线日志存储空间已满,无法接收新日志
原因7:网络安全分析下设置了过滤规则。
其中第七条原因,是本局点出现问题后,费了半天的劲定位出来时该原因后,才加到可能原因中的。

END