SecCenter 无法显示安全设备日志的排错方法
一、问题描述:
安全设备例如防火墙、UTM、ACG等可将系统运行日志以及流量日志等信息保存下来,以便管理员在需要的时候进行查看。但当设备较多的时候,分别登陆到各台设备去查看无疑会增加管理员的工作量,SecCenter可将所有我司安全设备的各类日志信息以图表的形式展现出来,方便管理员进行查看。在某些应用场景中,安全设备相关配置正确,日志信息成功上送到SecCenter服务器,但在SecCenter还是无法查看相关日志信息。针对此种情况,可以按照本文所述的方法进行问题排查。本文主要以防火墙日志(userlog)为例,其他安全设备的日志接收情况与此类似。
三、过程分析:
安全设备将日志上送到SecCenter时,会携带自身时钟信息。SecCenter则打开响应的UDP端口来侦听上送日志报文,并将接收到的报文经由相关进程处理之后写入Mysql数据库。SecCenter前台页面在数据库中调用相关SQL语句并将最终结果通过报表的形式展示出来。
该过程中用到的端口以及进程主要见下图:
二、排错思路
1、查看SecCenter接收器进程是否正常启动。
c:\>netstat -aon | findstr 30010
UDP 0.0.0.0:30010 *:* 4560
从该命令执行结果可得知,进程PID 4560打开了UDP 30010端口。
c:\>tasklist | findstr 4560
receiverv0.exe 4560 Services 0 16,664 K
从该命令执行结果可得知,进程PID 4560对应的进程名称为receiverv0.exe,属于正常现象。
若端口被其他进程占用,则关闭占用端口的进程,在..\SecCenter\receiver目录下双击receiverv0.exe,该进程就会启动。若找不到该进程,则可能该进程已经被杀毒软件删除,请将杀毒软件卸载或者在杀毒软件中将该进程设置为信任,并在该目录下执行receiver_install.bat脚本工具,便可重新生成相关接收器可执行文件。
2、确保防火墙的时区与SecCenter的配置一致,若不一致,请修改为一致。
[H3C]display clock
16:06:33 UTC Sat 07/20/2013
3、在上述两步都正确的情况下,请在服务器进行抓包,看是否有udp.dstport==30010的数据包送过来。如未有日志报文过来,请确认设备侧配是否正确。
4、在上述三步都正确的情况下,请查看...\SecCenter\syslog目录下recvNat.log日志,若其中有包含如下字段,则表示发送userlog日志的报文源IP地址非防火墙设备的管理地址,请确保二者一致。需要说明的是,当SecCenter所在服务器防火墙开启的时候,也会有如下报错,请放通相关端口,或者关闭防火墙。
7-20-2013 16:44:33:[INFO] The port is 30017
7-20-2013 16:44:33:[WARNING] The host address inputted is not correct
5、在上述4步都未解决问题的情况下,请收集如下日志、SecCenter版本以及相关抓包以供华三技术支持中心进行分析定位。
日志路径为:
..\SecCenter\syslog
..\SecCenter\server\logs
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作