CSAP-SA-CN60;采集不到H3C A2000-CN20;H3C D2000-CN40日志

CSAP-SA采集不到设备日志的问题，建议按以下步骤排查：

1. 检查网络可达性
   确认设备到CSAP-SA平台的514/UDP端口网络可达（可尝试telnet或nc测试），排查中间防火墙是否阻断UDP日志传输。

2. 验证设备日志配置

   • 在设备上确认已正确配置日志服务器地址和源接口（关键步骤）：info-center loghost x.x.x.x facility local6 //x.x.x.x为CSAP-SA地址 info-center loghost source [接口名/IP] //必须指定与CSAP-SA通信的源接口
   • 检查设备日志级别是否过低（如仅配置了高等级日志），建议设置为informational级别：info-center source [模块名] loghost level informational

3. 平台侧采集验证

   • 在CSAP-SA后台执行抓包命令，确认是否收到日志报文：tcpdump -i [网卡] host [设备IP] and port 514
   • 检查平台日志源配置中填写的IP是否为设备真实出接口IP（非VIP），且与设备配置的loghost source一致。

4. 时间同步校验
   确保设备本地时间、CSAP-SA平台时间、日志生成时间三者一致（时区偏差会导致日志无法归类）。

5. 特征库与协议支持
   确认设备传输的日志协议（如syslog over UDP）和文件类型符合CSAP-SA支持的协议范围（参考案例中的HTTP/FTP/SMTP等协议白名单）。

6. 采集器状态检查
   登录CSAP-SA管理界面，确认对应采集器处于在线状态，且无资源过载告警（CPU/内存/磁盘）。

若以上步骤均无误仍无日志，建议收集以下信息并联系400技术支持：

• 设备侧：display info-center配置、抓取的UDP 514端口报文
• 平台侧：采集器状态截图、抓包文件、/var/log/messages相关日志
• 网络路径：防火墙策略截图、ICMP/UDP连通性测试结果