日志审计上看不到日志

问题描述：

日志审计部署后，在日志审计web页面看不到其他设备的日志。

解决方法：

1、查看设备侧是否有日志

网络安全态势感知平台日志中心的日志是通过接收设备侧或者综合日志审计平台发送过来的日志进行分析，并展示出来。所以，如果出现态势感知平台日志中心无日志的情况时，需要先查看设备本身是否有相应的日志产生。

以防火墙的系统日志为例，通过web界面查看监控视图下，设备日志中的系统日志看设备本身是否有日志产生，例如下图所示。

2、修改设备日志相关配置

如果设备上本身没有相应的日志产生，则态势感知平台不会收到相关的日志，需要修改设备上相关配置，从而使设备上生成所需的日志信息。

因为不同产品配置日志的方式不一样，这里以防火墙的ips日志为例，如果防火墙本身没有ips日志，首先需要查一下设备上是否已经有ips的license授权，只有安装License之后才能升级特征库，将特征库升级至最新版本可以保证现网检测结果的准确性。通过使用display license feature命令可以查看设备上哪些特性需要安装License、是否已经安装了License、以及已安装的License的注册信息。当显示信息中的Licensed 值为N 时，表示没有安装License；当显示信息中的licensed 值为Y 时，表示已经安装license，Trial 表示当前已经为该特性安装了临时license，license处于有效状态；如果是Formal则表示当前已经为该特性安装了正式license，license 处于有效状态。

命令：display license feature

例如：该设备是堆叠部署，两框均安装了IPS特征库升级的临时license，需要注意的是设备是双机堆叠部署，需要在两台设备上都安装相应的license。确定设备安装了IPS的特征库升级的license之后，可以升级设备上的特征库。

确定设备上安装有有效的IPS特征库升级的license之后，需要确认设备上IPS的特征库版本是否官网最新。通过display ips signature information可以查看IPS的特征库信息。Current SigVersion参数表示设备当前的特征库版本信息。如下：

命令：display ips signature information

例如： 该设备上的IPS特征库版本为1.0.70版本，与官网上特征库进行对比可知已经是最新版本。

官网上特征库版本在【产品技术】-【大安全】-【特征库服务专区】可以下载到Comware V7防火墙使用的特征库的版本。

如果设备上没有没有安装License或者安装的License已经过期，请重新购买license。License安装步骤参考H3C官网产品对应的License激活申请和注册指导。

如果设备上已经安装license并且license是有效状态，查看设备上的特征库版本非最新版本，需要将特征库升级至最新版本。在web界面可以直接进行在线升级特征库或离线升级特征库的操作。

其次，查看设备目前的应用层检测引擎的运行状态。设备应用层检测引擎支持四种运行状态，normal、bypass by configure、bypass by cpu busy和bypass by memory shortage。应用层检测引擎的对报文检测是一个比较复杂且会占用一定的系统资源的过程。在系统内存不足、CPU使用率过高等情况下，系统会自动通过关闭应用层检测引擎的检测功能来保证设备的正常运行。Bypass状态下，应用层引擎不工作，即设备对接收到的报文不进行DPI深度安全检测，当然也不会做IPS防攻击检查。也就不会产生IPS日志。

通过命令display inspect status可以查看应用层检测引擎当前的运行状态，normal状态代表正常，非normal状态均不会产生IPS日志。

命令： display inspect status

bypass by configure：因为配置原因引擎无法处理报文

bypass by cpu busy：因为CPU使用率过高导致引擎无法处理报文

bypass by memory shortage：因为内存不足导致引擎无法处理报文

normal：引擎工作正常

例如： 这表明应用层检测引擎被配置bypass了，说明配置当中有inspect bypass的配置。

可以利用display current-configuration | include bypass查看配置当中是否有bypass相关的配置

命令： display current-configuration | include bypass

undo inspect bypass

例如： 表明应用层检测引擎被配置bypass了，说明配置当中有相关bypass的配置。可以直接将这条命令去掉，应用层检测引擎就恢复正常。

如果现网出现bypass by cpu busy和bypass by memory shortage这两种情况，那么就需要排查设备出现CPU、内存占用率高的原因，降低设备的CPU和内存利用率。

在web界面也可以进行inspect bypass和undo inspect bypass的操作，【对象】-【应用安全】-【高级配置】当中勾选【开启】则表明应用检测引擎被关闭，所有的报文均不会进行深度检测，也就不会产生日志，此时需要将【开启】前面的勾选去掉，也就是undo inspect bypass。

最后，检测ips配置的激活情况。激活应用层引擎命令用来激活DPI 各业务模块自定义的规则或手动离线升级的特征库。缺省情况下，DPI 各业务模块自定义的规则或手动离线升级的特征库不生效，建议排查故障时先激活一次安全策略。

probe视图下通过命令查看，是否有ModuleName为IPS的规则下发。

命令： display system internal inspect dim-rule

例如：以下设备当中，IPS的配置文件下发正常。在ModuleName这一项当中有IPS的字样则表示IPS配置文件下发成功。

如果现网出现display system internal inspect dim-rule查看到ModuleName这一栏下没有IPS相关的规则下发，那么说明设备上的IPS文件下发失败，需要重新激活应用检测引擎。

使用以下命令激活DPI各业务模块的策略和规则配置。

命令：inspect activate 

在Web界面也可以进行DPI模块的激活操作，在【对象】-【应用安全】-【高级配置】当中点击【配置激活】的按钮即可。Web界面激活DPI模块的详情如下图所示。

3、查看态势感知平台是否收到日志

可以在态势感知平台的配置管理-日志源配置-采集器管理界面找到采集器名字，通过统计信息查看日志是否有增加，如下界面：

或者在态势感知平台抓包确认是否有设备侧发出来的日志报文，以此来判断日志是否发送到态势感知平台。态势感知目前需要在后台抓，通过tcpdump方式抓包。

举例：使用tcpdump -i eth0 host www.baidu.com -s0 -vv -w file.log命令抓取访问百度的报文，然后回车开始抓包。（-i跟网卡端口，-w保存文件）

4、排查链路问题

如果在态势感知平台抓取不到日志报文，需要排查从设备到态势感知平台这条链路，是否有其他网络设备做了策略限制。

5、查看两侧时间是否一致

设备侧生成的日志是以设备本身的时间来记录的，在发送的日志中携带的时间戳也为设备的时间，如果设备的时间不是正确的北京时间，而态势感知平台的系统时间为正确的北京时间，这种情况下，如果设备上已经有相应的日志产生，并且配置了日志服务器，指向态势感知平台，日志能够发送给态势感知平台，在态势感知平台抓包也能抓到相应的报文。但是，在态势感知平台的日志中心模块却显示不了收到的日志，原因就是设备侧时间与态势感知平台时间不一致导致的。

通过在设备上面display clock命令查看设备上的时间，举例如下：

也可以通过web界面查看系统时间：

态势感知目前不支持在web界面查看时间，需要通过后台查看，命令同linux命令。

6、修改时间

然后查看态势感知平台的时间，如果两侧时间不一致的话，需要修改时间为正确的北京时间。

设备侧修改时间方法如下，可以手工设置时间，也可以自动同步网络时间。

态势感知需要在后台修改时间，目前暂不能通过web界面修改时间，命令同linux命令，需要注意的是，修改时间之后要重启。

7、查看两侧配置是否规范

态势感知平台的日志中心接收的日志类型有很多，以流量日志为例，态势感知侧配置如下：

通过如下界面，根据总数目是否有增加来确认态势感知接收的流量日志是否有增加。

设备侧配置如下：

以上配置，在态势感知侧可以收到相应的日志，显示在日志中心-流量日志-会话日志模块。

需要注意的是，防火墙的会话日志（session、nat、nat444）如果以userlog发送时，态势感知可以接收，但是无法识别报文，显示为乱码。

此时需要改为以syslog格式发送才行。态势感知上面只需要配置syslog即可，无需配置会话日志，态势感知可以自动识别流量日志，归属到流量日志---会话日志目录下。

如果设备以customlog发送，需要在态势感知上配置日志源，但此时会话日志显示在其他里面，无法显示在流量日志目录下（包含会话日志和NAT日志）。

设备侧关键配置如下：

态势感知侧配置如下：

态势感知侧日志显示如下：

8、检查采集器状态

进入“配置中心 > 数据源管理> 采集器管理”页面查看采集器状态是否为在线状态。

如果采集器状态为离线，请重启服务器。如重启后仍为离线状态，可联系H3C驻本地技术人员协助定位。

采集器正常并且日志源添加成功仍接收不到日志。

（1）检测日志源是否配置“日志类型”。平台仅解析入库已勾选的“日志类型”，“日志类型”未勾选则表示丢弃该类型日志。

（2）检查被动采集器的统计数据，有没有收到日志的统计。

（3）若采集器看不到日志统计数据，登录平台后台tcpdump抓包（tcpdump -v -i [网卡名称] src [日志源ip] and udp port [日志源使用端口]）确认日志报文是否已发送到平台，是否被中间链路丢弃。

操作步骤：

① 首先SSH登录至综合日志审计平台后台。在任意目录下执行ip a命令查看日志源关联的采集器网卡名称。本例中以管理口网卡为例，查询到网卡名称为eth0

② 在综合日志审计平台后台（缺省用户名密码为root/h3c_csap），任意目录下，执行命令tcpdump  -v  -i [网卡名称] src [日志源ip] and udp port [日志源使用端口] 。本例中网卡名称为eth0 ，日志源ip为186.64.0.16，日志源使用端口为514。验证以上命令执行后，是否抓到syslog报文，如果未抓到syslog报文则无syslog报文发送至平台，需排查是否中间链路将报文丢弃。

③ 如果有结果输出，则有报文发送至平台。此种情况下，仍在平台查看不到日志，则可联系H3C驻本地技术人员协助定位。