AK640

怎么搜的 搜不出来，发上来看看

 1. 检查数据索引配置（最常见原因）

• 排查方法：登录 AK640 后台，进入“系统” -> “数据索引”或“索引配置”页面。
• 解决操作：
  • 检查对应日志源或日志类型的索引是否处于“开启”状态。
  • 检查索引的“保存时限”。如果保存时限被误设为极短的时间（例如几小时），超过该时间的日志将无法被搜索到。
  • 可以尝试关闭部分非核心日志的索引，保存后再重新开启，触发系统重建索引。

 2. 核对资产类型与解析规则

• 排查方法：进入“资产” -> “资产列表”，找到该日志采集器对应的资产。
• 解决操作：
  • 检查资产类型是否正确。例如，如果是 Windows Agent 采集的日志，资产类型必须为“Windows 客户端”，而不能是泛泛的“Windows 系列”。
  • 查看资产详情页下方的“解析规则条数”。AK640 的解析规则有规格限制（通常为 5000 条），如果超出规格，可能会导致解析端口异常，进而无法搜索日志。如果超出，可以尝试删除不必要的资产或将部分资产类型临时修改为 other 来释放规格。

 3. 排查系统性能与版本问题

• 排查方法：
  • 查看首页的“事件总量”。如果 AK640 的事件总量超过 6 亿条，极易引发系统性能瓶颈，导致搜索卡顿或无结果。
  • 检查当前的系统软件版本。部分旧版本（如 E6101P05 之前的某些版本）存在因超性能导致日志无法查询的已知 Bug。
• 解决操作：
  • 清理索引/释放空间：在“系统” -> “数据索引”页面，暂时关闭一些暂时不需要查看的日志类型索引，减轻系统负载。
  • 系统重启：如果页面卡顿严重，可以尝试重启设备，待系统完全启动后，再重新进行索引配置操作。
  • 版本升级：如果确认是版本缺陷，建议在做好数据备份的前提下，将系统升级至较新的稳定版本（如 E6101P08 及以上），通常能解决此类页面加载和搜索异常的问题。

一、先快速确认：是不是 “索引没开 / 过期”（最常见）

1. 看系统默认规则（E6101P02 后）

• 默认只自动保留并开启近 7 天索引；7 天前索引自动关闭，只能看到数量，搜不到H3C。
• 同时最多保留6 个月原始日志，超期自动清H3C。

2. 检查并开启索引（关键）

1. 登录 AK640 → 系统 → 数据索引

• 查看 “索引开启天数”，建议设为7~30 天H3C。
• 查看 “索引保存时限”，不要设太短（如 1 小时）。

2. 进入 系统 → 数据索引信息

• 找到你要查的日志类型 / 时间，状态为已关闭 → 勾选 → 点击开启索引（会重建，量大需等待）H3C。

3. 触发重建（若索引异常）

• 对该日志源：关闭索引 → 保存 → 再开启，强制重建索引。

二、检查资产与解析规则（接收了但没结构化）

1. 资产类型是否匹配

• 进入 资产 → 资产列表，找到该采集器 / 日志源。
• 资产类型必须选对（如 “Windows 主机”“Linux 主机”“防火墙”），否则解析规则不加载，日志只入库不结构化，搜不到。

2. 解析规则是否生效

• 进入 日志采集 → 采集规则，查看对应规则是否已启用、正则 / 模板匹配正确。
• 可在 “日志监测” 里看：有包但无解析日志 → 规则不匹配H3C。

三、时间问题（日志时间错了，不在查询窗口）

1. 日志源时间与 AK640 时间不一致

• 日志源（如服务器、防火墙）时间错误（比如跑到未来），AK640 入库后，你查 “最近 1 小时” 自然搜不到。
• 解决：统一 NTP 时间，确保日志源与 AK640 时间误差 < 1 分钟。

2. 查询时间范围不对

• 不要直接搜 “今天”，先选最近 30 分钟 / 1 小时，关键词为空，看是否有结果。
• 有结果 → 是你关键词 / 时间范围太窄；无结果 → 继续往下查。

四、系统性能 / 资源瓶颈（索引跟不上）

1. 磁盘是否满

• 系统 → 系统监控 → 磁盘使用率，若接近 100%，索引无法写入，只能计数不能搜索。
• 清理：删除无用日志、扩容磁盘、调整自动清理策略。

2. 日志量突增导致索引延迟

• 高峰期日志量大，索引重建跟不上，新日志延迟 5~15 分钟才能搜到。
• 观察：等 15 分钟再查；或在 “系统监控 → 索引进度” 看是否卡住。

五、权限与查询语法（少见但易忽略）

1. 账号权限不足

• 当前账号无该日志源的查询权限 → 能看到总数，看不到明细。
• 解决：给账号分配 “审计日志查询 → 对应日志源” 权限。

2. 关键词 / 语法错误

• 关键词含特殊字符（如 @#$）、大小写严格匹配、模糊匹配没加* → 搜不到。
• 先空关键词 + 大时间范围验证，再逐步加条件。

六、快速排查顺序（直接照做）

1. 查数据索引信息：目标时间 / 类型是否已开启 → 没开就开H3C。
2. 查资产类型：是否与日志源匹配。
3. 查时间同步：日志源与 AK640 时间是否一致。
4. 查磁盘使用率：是否满了。
5. 查采集规则：是否启用、正则是否正确H3C。

七、举例（你可直接对照）

• 现象：应用审计日志显示 1000 条，但搜 “用户登录” 无结果。
• 原因：7 天前索引自动关闭 + 资产类型选错（选成 “网络设备” 而非 “应用服务器”）。
• 解决：开启 7 天前索引 → 修正资产类型 → 重建索引 → 正常搜到。