日志审计被动采集器离线

H3C CSAP-SA300 被动采集器故障离线解决方案
一、故障常见诱因（新装机大概率 4 类原因）
系统时间不一致：审计平台本机系统时间和 BIOS 时间偏差过大，采集服务鉴权失败无法启动（新设备最常见）
UDP514 端口被占用：被动采集依赖 514 端口接收 syslog 日志，系统其他进程抢占端口导致服务启动失败
采集服务进程异常卡死：新机初始化后台服务进程异常，仅被动采集未自拉起
License 授权缺失：被动采集模块未授权，服务被系统禁用
二、分步排查修复（从易到难操作）
步骤 1：校验系统时间（WEB 页面）
进入【配置中心→系统管理→全局设置→时间管理】
核对系统时间，和实际北京时间一致，偏差超 5 分钟直接修正，保存后等待 3 分钟刷新服务状态
步骤 2：SSH 后台重启被动采集（核心修复命令）
使用 SSH 工具登录设备后台（默认用户名cyber，维保交付初始密码）
bash
运行
# 进入采集器脚本目录
cd /data/csap-log-collector/collector/bin
# 重启被动采集服务
./collector.sh restart
执行完等待 2~3 分钟，回到 WEB【服务监控】查看状态是否变绿色健康
备选全服务重启命令（单条无效时用）
bash
运行
/home/csap_install_package/lca_start.sh all restart
步骤 3：排查端口占用（重启失败时执行）
bash
运行
# 查看514端口占用
netstat -ulnp | grep 514
若有其他进程占用 514，结束占用进程后再次重启采集服务
步骤 4：License 授权核验
进入【配置中心→系统管理→License 管理】，确认日志采集 / 被动采集模块授权已导入生效，新设备漏导授权会直接锁死被动采集服务。
步骤 5：终极方案：整机重启
上述操作无效，设备整机断电重启，新设备初始化异常重启后大概率恢复。
三、后续验证
服务变健康后，进入【配置中心→数据来源→采集器管理】，查看本机被动采集器为在线，添加一台测试设备 syslog 指向平台 514 端口，确认能正常收日志即修复完成。