XLog用户行为审计系统查看DIG类型日志信息正常,却不断产生关于接收器和处理器的告警
一 组网:
二 问题描述:
配置台上能正常查看DIG类型的日志,检测处理器和接收器也均运行正常。但告警中每一两分钟就成对地产生这样两条告警:处理器模块报接收器源IP检查非法、接收器模块报处理器不可用。
三 过程分析:
采集非DIG日志时,处理器已被配置为接收接收器发送来的某种非DIG类型的日志。后来换成采集DIG日志,处理器就被配置为只接收探针采集器发来的DIG日志。而重新下发配置(下发服务)后,原来的接收器的配置并没有改变,接收器还是会向处理器发送非DIG日志(只要网络中还存在设备将非DIG日志发送给接收器),但处理器的配置却改变了,它仅仅只接收采集器发送来的DIG日志,这样就会造成处理器报接收器源IP检查非法而接收器报处理器不可用。
四 解决方法:
这种情况下,无法从前台配置中找出任何错误,因为之前用来采集非DIG日志的服务可能已经被删除,操作人员甚至不知道之前还采集过其他类型日志。首先检查网络中是否有设备使能了发送NAT日志或Flow日志,可在XLog服务器上抓包查看。如存在,则取消使能该设备发送日志的功能,停止XLog后台服务,并删除用来处理非DIG日志的接收目录及保存目录。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作