目前现场ACG1000-SE-PWR(F6608)之前使用日志显示正常,在客户执行配置初始化后,发现所有审计日志均无法显示。但是审计功能也正常并且ipv4策略有匹配条目。
1、在设备命令行下查看硬盘正常,存储空间未占满,数据库没有应用审计日志记录,在查看网站的同时,隔一段时间看没有增长。
2、进入web_access的应用审计日志表中查看没有记录。
3、重置并清除数据库后将设备恢复出厂设置重启,日志硬盘还是没有存入日志。
H3C# clear database
Are you sure clear log database? Please enter "y/n" to confirm: y
H3C# recover database
H3C# reboot
4、目前设备配置正常没有问题
H3C# recover database
H3C# reboot
H3C# dis run policy
policy any any any any any any any always audit 1
app-policy 1 application any any any keyword include any accept info FilterIMLoginAction
app-policy enable 1
website-policy malware enable
website-policy 1 any accept info FilterUrl
website-policy enable 1
policy default-action permit
policy white-list enable
!
!policy-decrypt
!
!
5、在应用流量统计中应用审计正常。
排查发现客户将全局配置中的识别模式调整为private,导致无法识别输出审计日志。
将识别模式修改为any后问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作