FAQ-LogCenter上无法查询到设备日志的可能原因有哪些?

发布时间:  2015-03-19 浏览次数:  555 下载次数:  0
问题描述
LogCenter上无法查询到设备日志的可能原因有哪些?
解决方案
  •  可能原因有:
  • 1. 当前管理员没有查询该网元日志的权限。
  • 2. 网元的时区和时间与日志采集器的时区和时间不一致。
  • 3. 网元上没有对应的日志产生。
  • 4. 网元与日志采集器之间网络连接异常。
  • 5. 日志采集器服务未启动。
  • 6. eSight的LogCenter组件设置了屏蔽规则,导致日志被过滤掉了。
  • 7. 网元的采集方式添加错误。
  • 8. 网元上没有配置日志发送命令,或者配置日志主机的IP地址不是日志采集器的IP地址。
  • 9. 日志采集器上在线日志存储空间不足。
  • 10. 日志采集器相关的端口被其他程序占用。
  • 11. 日志采集器上开启了Windows自带的防火墙。
  •  

    检查步骤:

  • 1. 确认是否以具有日志查询权限的管理员登录eSight 若是,请跳过此步;若否,请以具有日志查询权限的管理员登录后,再进行日志查询。
  • 2. 检查网元的时区和时间是否与日志采集器的时区和时间一致。 若一致,请跳过此步;若不一致,请修改网元的时区和时间。
  • 3. 检查设备上是否有相应的功能以生成待查询的日志。 例如:当查询不到QQ/MSN的相关日志信息时,请检查一下设备上是否有业务感知等功能能够生成QQ/MSN的日志信息。 若设备上有相应的功能,请跳过此步;若没有相应的功能,说明设备不支持,因此在eSight的LogCenter组件中无法查到对应日志。

    4. 在日志采集器上运行近端镜像工具,若能接收到设备发过来的数据包(目的端口为514或9002的数据包),说明问题出在eSight,请按照57逐项检查;若接收不到设备发过来的数据包,请检查网络连接和设备的配置,参见步骤8。

  • 5. 查看日志采集器是否已启动。 操作方法:选择开始 > 运行,输入“services.msc”,单击“确定”。查看“服务”LogCenter LogCollector“状态”是否为“已启动”。界面如下图所示,若已启动,请跳过此步;若未启动,请手动启动日志采集器

  • 6. 查看是否设置了相应的屏蔽规则。

    操作方法:以管理员帐号admin登录eSight,选择业务 > 安全业务 > LogCenter

    • 若是防火墙设备的syslog日志,请选择日志分析 > 网络安全分析 > 屏蔽规则
    • 若是NAT设备的会话日志,请选择日志分析 > 会话分析 > 规则配置,单击“屏蔽规则”页签。
    • 若是自定义设备的日志,请选择日志审计 > 规则配置,单击“屏蔽规则”页签。

    查看是否设置了设备的屏蔽规则。若未设置屏蔽规则,请跳过此步;若设置了设备的屏蔽规则,请取消相应屏蔽规则的设置。

  • 7. 看设备与采集器是否关联以及设备的采集方式是否已添加。

  • 操作方法:以管理员帐号admin登录eSight,选择业务 > 安全业务 > LogCenter > 日志管理 > 采集器管理,在日志采集器的右侧单击,在“已关联日志源管理”中查看有无对应的日志源。 若有对应的设备,单击设备右侧的,查看采集方式是否添加正确。界面如下图所示,图中只是一个示例,具体请参见《操作指南》中的关联采集器和日志源。

    • “关联日志源列表”中有对应的设备,并且采集方式添加正确,请跳过此步。
    • “关联网元列表”中没有对应的设备,表明没有为设备配置采集方式,请参见《操作指南》中关联采集器和日志源一节为设备配置采集方式。
    • “关联日志源列表”中有对应的设备,但是设备的采集方式配置不正确,请在上图中单击“修改”,修改设备的采集方式。

    8. 若是网络设备,请检查网络设备上是否已将日志主机的IP地址配置为日志采集器的IP地址,并且网络设备的日志记录和发送功能是否已开启。

    9. 在线日志存储空间和转储日志存储空间是否已满,日志无法再写入。

    若磁盘空间未满,请跳过此步;若磁盘空间已满,请检查在线日志存储空间(路径为磁盘分区盘符:\eSight\LogCenter\LogCenterData”)和转储日志存储空间(路径为磁盘分区盘符:\eSight\LogCenter\LogCenterDumpedData”)是否在同一磁盘分区中。

    • 若在线日志存储空间和转储日志存储空间不在同一磁盘分区中,请对采集器的存储空间进行扩容。
    • 若在线日志存储空间和转储日志存储空间在同一磁盘分区中,需要将两空间分别设置在不同分区,避免两个空间同时被装满导致既无法接收新日志,也无法查询转储日志。

      操作方法:此处以将eSight的LogCenter组件安装在“D:\eSight\LogCenter”为例,介绍将转储日志存储空间从在线日志存储空间所在的“E:\”分区转移至“F:\”分区的方法。

      1. 关闭日志采集器。
        • 集中式部署时,选择开始 > 所有程序 > eSight > eSight控制台,在弹出的对话框中单击“停止”,停止eSight服务。
        • 分布式部署时,选择开始 > 所有程序 > LogCenter Collector > Stop Collector
      2. 修改转储路径配置文件。
        注意:

        修改配置文件内容前,请提前备份配置文件。

        进入“D:\eSight\LogCenter\collector\etc\conf”路径,以记事本方式打开“storageConfig.xml”文件。将其中的“<value name=dumpDataDir>E:\eSight\LogCenter\LogCenterDumpedData</value>”修改为“<value name=dumpDataDir>F:\eSight\LogCenter\LogCenterDumpedData</value>”,保存文件。

      3. 转移已有转储日志。

        在F盘下新建文件夹“F:\eSight\LogCenter\LogCenterDumpedData\data_1”,将“E:\eSight\LogCenter\LogCenterDumpedData\data_1”路径下的文件拷贝至“F:\eSight\LogCenter\LogCenterDumpedData\data_1”路径下。

      4. 启动日志采集器。
        • 集中式部署时,选择开始 > 所有程序 > eSight > eSight控制台,在弹出的对话框中单击“启动”
        • 分布式部署时,选择开始 > 所有程序 > LogCenter Collector > Start Collector

    10. 检查日志采集器相关的端口是否被其他程序占用或发生了改变。 日志采集器相关的端口请参见《通信矩阵》。若端口发生了改变,请结束占用相应端口的程序,并重新启动日志采集器;若端口未发生变化,请跳过此步。

    11. 查看日志采集器上是否开启了Windows自带的防火墙。 操作方法:选择开始 > 设置 > 控制面板 > Windows 防火墙,查看是否选中了“开启”。界面如下图所示。


    若选中的是“关闭”,请跳过此步;若选中的是“启用”,请把日志采集器的程序加入例外程序中,操作方法请参见维护宝典“将日志采集器的程序加入Window防火墙的例外程序中”章节。 

    END