campus 已经将radius 日志升级成告警了，为什么有认证失败没有告警提示，只有失败日志

如果是 syslog 升级告警，日志指的不是这里的日志，是指的设备info center loghost 发过来的日志

你看到的是认证结果日志，而告警往往需要针对更严重的事件（如服务不可用）单独配置。

你可以按以下步骤逐一排查：

1. 重新审视“升级告警”的含义

   • 首先，确认你理解的“升级告警”具体是指将哪种类型的日志升级为告警。

   • 如果是指“接入用户失败日志”，那么它可能不支持被升级为告警。

2. 确认告警来源

   • 检查你的告警策略配置，确认其监控的日志源是来自Campus应用还是网络设备。

   • 检查设备（交换机/无线控制器）的info-center配置，确认loghost（日志服务器）地址是否正确指向Campus系统，并且相关级别（如informational或debugging）的日志已开启。

3. 验证网络设备与Campus的对接

   • 在设备上，检查RADIUS配置，确保：

     • 服务器地址正确（通常是Campus的南向浮动IP）。

     • NAS-IP-Address 字段已配置，且值与Campus上登记的设备IP一致。

   • 在Campus管理界面，检查设备管理列表，确保目标设备状态为“已同步”或“正常”。

4. 深入分析告警策略

   • 在Campus的“告警”或“策略”管理界面，查找与RADIUS认证相关的告警规则。

   • 重点检查这些规则的触发条件、过滤规则和抑制策略。确认没有因为策略配置（如忽略了某些错误码）而将你关心的失败事件过滤掉。

5. 排查认证失败的具体原因

   • 你截图中的日志显示，失败原因多为 “E63018：用户不存在或...” 和 “E63073：用户在对应的...” 。前者通常表示用户名不存在或密码错误，后者则可能与用户所在的域或组配置有关。

   • 这类由用户输入错误或账号配置问题导致的失败，通常不会被设计为触发系统级告警。建议通过创建自定义报表来集中监控这类失败，以便进行安全审计。

一、为什么 “有日志、无告警”（核心原理）

• 日志：系统记录事件（如 RADIUS_AUTHENTICATION_REJECT），默认只存库、不告警。
• 告警：必须满足：
  1. 配置 日志 → 告警 转换规则（关键字 / 级别匹配）
  2. 告警 未被过滤 / 抑制 / 屏蔽
  3. 管理员 已订阅 / 有权查看 该告警

二、排查步骤（按优先级）

1. 确认：是否真的配置了「日志转告警」

• 路径：监控 → 告警 → 告警设置 → 日志转告警
• 检查：
  • 是否新增规则：日志关键字 = RADIUS_AUTHENTICATION_REJECT / Access-Reject
  • 级别：≥ Warning/Minor
  • 状态：已启用
  • 范围：全局 / 对应设备 / 站点

2. 检查：告警是否被「过滤 / 屏蔽 / 抑制」

• 告警屏蔽：是否按级别 / 来源 / 规则屏蔽了 RADIUS 类告警
• 告警抑制：
  • 是否开启 重复抑制 / 频率抑制（短时间大量失败只报 1 条）
  • 是否设了 阈值（如失败率 > 30% 才告警，单条不触发）
• 告警过滤：当前视图是否过滤了 “RADIUS / 认证 / 用户接入” 类告警

3. 检查：告警是否「已上报但未通知」

• 告警订阅：你的账号是否订阅了 RADIUS / 认证失败 类告警
• 通知方式：
  • 是否开启 邮件 / 短信 / Syslog / 第三方平台 转发
  • 告警级别是否 ≥ 通知门槛（如只通知 Major 及以上）
• 告警状态：去 全部告警 搜关键字：RADIUS 认证失败 拒绝，看是否存在但未确认 / 未处理

4. 检查：设备侧是否上送 RADIUS 失败 Trap

• 设备（交换机 / AC）要主动上送告警，需：
  bash

  运行

  # 华为设备示例 snmp-agent trap enable radius # 开启RADIUS Trap snmp-agent target-host trap address X.X.X.X params securityname xxx
• 确认 Campus 已添加该设备为 SNMP Trap 接收端

5. 确认：失败日志是否匹配你的规则

• 看日志原文：
  • 关键字：RADIUS_AUTHENTICATION_REJECT Access-Reject
  • 级别：Warning/Error
  • 模块：AAA/RADIUS/用户接入
• 若日志关键字 / 级别与你 “日志转告警” 规则不匹配 → 修改规则

三、典型场景与快速修复

1. 只调了日志级别，没做日志转告警
   → 补：日志转告警规则（关键字 + 级别 + 启用）
2. 单条失败不告警、批量才告警
   → 查：是否设了 失败率阈值（取消或调低）
3. 告警存在但收不到通知
   → 开启：告警订阅 + 邮件 / 短信通知
4. 设备根本不上送失败 Trap
   → 设备侧：snmp-agent trap enable radius

四、最佳配置（建议）

1. 日志转告警：
   • 名称：RADIUS_认证失败
   • 日志关键字：RADIUS_AUTHENTICATION_REJECT 或 Access-Reject
   • 级别：Warning
   • 告警级别：Minor
   • 状态：启用
2. 抑制：
   • 关闭 重复抑制（或设 5 分钟内最多 1 条）
   • 关闭 失败率阈值（如需每条失败都告警）
3. 通知：
   • 订阅：Minor 及以上
   • 方式：邮件 + Syslog

五、下一步

1. 先去 日志转告警 确认是否有 RADIUS 失败规则
2. 再去 全部告警 搜 RADIUS 看是否存在
3. 核对 告警订阅 / 通知 / 屏蔽