XLog采集DIG日志时，配置台上查询不到日志

XLog采集DIG日志时，配置台上查询不到日志

一、       组网：

设备（通常是交换机）上配置端口镜像，将镜像流量发送到Probe(探针采集服务器)，原始的镜像流经过Probe的处理后生成日志文件，然后Probe再将日志文件通过FTP传送到XLog服务器上由处理器进行最后的处理。

二、       问题描述：

XLog采集DIG日志时(不论使用UBAS组件还是使用NTAS组件)，发现配置台上始终查询不到日志信息。我们知道，日志处理流程中有一个非常重要的中间环节：Probe（探针采集服务器）将其处理生成的日志文件通过FTP传送到XLog服务器上。通常我们首先从这个中间环节开始排查。经排查，发现XLog服务器的FTP主目录下有后缀为*.CSV的文件产生。这说明至少采集器能够处理原始的镜像流并且能够上传，采集器一侧出问题的可能性不大。同时，在排查问题的过程中发现一个奇怪的现象：XLog服务器的FTP主目录下始终保持只有一个的*.CSV文件，该文件的大小在不断变化，由零字节开始增长，达到一定大小后又变成零字节，但文件名始终不变。从现象上看，就像Probe在重复上传该文件，每次覆盖前一次上传的。

三、       过程分析：

Probe每次上传某个日志文件完毕后，会发送通知报文通知处理器到FTP主目录下寻找该文件进行处理。而处理器接收到通知报文后，会到FTP主目录下寻找该日志文件并发送回应报文。

出现这样的现象一般由以下两种原因造成：

1、XLog管理配置台上配置的FTP主目录路径不正确，造成处理器找不到Probe上传的文件。于是处理器回应Probe文件未找到，而Probe则会重传该文件。

2、Probe上传文件完毕后以一个随机的UDP高端口（大于1024）作为源端口向处理器发送通知报文，目的端口为固定的UDP 18802。处理器则以UDP 18802作为源端口向Probe发送回应报文，目的端口为通知报文中的源端口。Probe和处理器间的报文交互因为某种原因被阻断，导致报文交互不成功。Probe未收到处理器的回应报文也会导致不断重传该文件。

四、       解决方法：

1、检查XLog管理配置台上配置的FTP主目录路径是否正确，如果是XLog网络流量分析系统，请在“系统管理－日志接收管理”中检查，如果是XLog用户行为审计系统，请在“日志服务管理－服务配置”中检查。

2、在确保FTP主目录路径配置正确的情况下，请检查交互报文是否被阻断。可以通过抓包等手段确认。若确认Probe未收到处理器的回应报文，则排查是否存在以下几种原因：

1）Probe的管理网卡与XLog服务器之间所经过的设备上是否配置了过滤规则，将交互报文屏蔽。

2）Probe上是否开启了Linux操作系统自带的防火墙或其他第三方防火墙，将交互报文屏蔽。

3）XLog服务器上开启的Windows防火墙或其他第三方防火墙，将交互报文屏蔽。