XLog采集DIG日志时,配置台上查询不到日志
一、 组网:
设备(通常是交换机)上配置端口镜像,将镜像流量发送到Probe(探针采集服务器),原始的镜像流经过Probe的处理后生成日志文件,然后Probe再将日志文件通过FTP传送到XLog服务器上由处理器进行最后的处理。
二、 问题描述:
XLog采集DIG日志时(不论使用UBAS组件还是使用NTAS组件),发现配置台上始终查询不到日志信息。我们知道,日志处理流程中有一个非常重要的中间环节:Probe(探针采集服务器)将其处理生成的日志文件通过FTP传送到XLog服务器上。通常我们首先从这个中间环节开始排查。经排查,发现XLog服务器的FTP主目录下有后缀为*.CSV的文件产生。这说明至少采集器能够处理原始的镜像流并且能够上传,采集器一侧出问题的可能性不大。同时,在排查问题的过程中发现一个奇怪的现象:XLog服务器的FTP主目录下始终保持只有一个的*.CSV文件,该文件的大小在不断变化,由零字节开始增长,达到一定大小后又变成零字节,但文件名始终不变。从现象上看,就像Probe在重复上传该文件,每次覆盖前一次上传的。
三、 过程分析:
Probe每次上传某个日志文件完毕后,会发送通知报文通知处理器到FTP主目录下寻找该文件进行处理。而处理器接收到通知报文后,会到FTP主目录下寻找该日志文件并发送回应报文。
出现这样的现象一般由以下两种原因造成:
1、XLog管理配置台上配置的FTP主目录路径不正确,造成处理器找不到Probe上传的文件。于是处理器回应Probe文件未找到,而Probe则会重传该文件。
2、Probe上传文件完毕后以一个随机的UDP高端口(大于1024)作为源端口向处理器发送通知报文,目的端口为固定的UDP 18802。处理器则以UDP 18802作为源端口向Probe发送回应报文,目的端口为通知报文中的源端口。Probe和处理器间的报文交互因为某种原因被阻断,导致报文交互不成功。Probe未收到处理器的回应报文也会导致不断重传该文件。
四、 解决方法:
1、检查XLog管理配置台上配置的FTP主目录路径是否正确,如果是XLog网络流量分析系统,请在“系统管理-日志接收管理”中检查,如果是XLog用户行为审计系统,请在“日志服务管理-服务配置”中检查。
2、在确保FTP主目录路径配置正确的情况下,请检查交互报文是否被阻断。可以通过抓包等手段确认。若确认Probe未收到处理器的回应报文,则排查是否存在以下几种原因:
1)Probe的管理网卡与XLog服务器之间所经过的设备上是否配置了过滤规则,将交互报文屏蔽。
2)Probe上是否开启了Linux操作系统自带的防火墙或其他第三方防火墙,将交互报文屏蔽。
3)XLog服务器上开启的Windows防火墙或其他第三方防火墙,将交互报文屏蔽。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作