ACG1000-T 日志只有系统日志和安全防护日志

前提是需要有流量触发

再就是需要开启相应的日志功能，看你也开了，相应功能的审计开了吗

检查是否有网络终端流量通过，有需要审计的流量才能有对应日志的

1. 确认审计策略已配置并匹配流量

这是最基本的前提。恢复出厂后，原有的审计策略会被清空。

• 操作路径：进入 上网行为管理 > 策略配置 > IPv4策略，检查是否有新建的审计策略。

• 关键点：

  • 策略必须包含应用审计和URL审计的动作 。

  • 在策略列表中，确认该策略的匹配次数是否在增长。如果匹配次数为0，说明流量根本没进这条策略，需要检查策略的条件（源/目的IP、时间等）是否正确 。

2. 检查“识别模式”是否被意外更改（这是最常见的原因）

有一个非常隐蔽的配置项，恢复出厂后可能处于错误状态，导致有策略也看不到日志。

• 问题根源：全局配置中的“识别模式”如果被设置为 private，设备将无法输出审计日志 。

• 解决方法：请进入 系统管理 > 全局配置 或类似的高级设置页面，找到“识别模式”选项，将其修改为 any（或者“标准模式”、“强制模式”，不同版本描述可能略有差异）。

3. 检查 HTTPS 解密功能

如果您需要审计用户访问的HTTPS网站（网址以https://开头），恢复出厂后，HTTPS全网审计功能默认是关闭的。

• 开启方法：您需要通过命令行开启。使用SSH或Console登录到ACG1000，进入配置模式后执行命令：

  H3C ACG(config)# https audit all
• 执行后，设备才能解密并记录HTTPS的访问日志 。

4. 确认硬盘状态正常

应用日志和WEB访问日志是存储在设备硬盘上的。

• 检查方法：在Web界面查看系统状态或存储状态，确认硬盘是否被正常识别且剩余空间足够。

• 潜在问题：如果硬盘故障或空间已满，新日志将无法写入

1. 上网行为审计策略未启用：ACG1000-T 只有在配置并启用上网行为管理策略后，才会生成对应的网站访问、应用识别等日志，恢复出厂后策略被清空，自然没有相关日志入口。
2. 日志过滤仅为 “开关”，不触发日志生成：你在「日志设定→日志过滤」里勾选了 “记录 + 发送”，但这只是允许日志被记录和外发，如果没有业务策略去触发日志，设备不会主动生成上网行为日志。
3. 默认无审计规则：恢复出厂后，上网行为管理模块处于 “无规则” 状态，不会对流量做审计，也就不会产生应用 / WEB 访问日志。
   

   检查项	状态要求
   上网行为策略	已创建并启用，源 / 目的为any或目标网段
   内容审计选项	已勾选网站访问审计、应用审计
   日志过滤	上网行为类日志已设为记录+发送
   流量验证	有实际 HTTP/HTTPS 等流量经过设备