IPS异常重启

SecPath T1000-AI-50 IPS 异常重启全套排查命令（Comware V7 平台）
一、快速定位上次重启根因（优先执行）
1. display version（最简快速查看重启标记）
plaintext
<H3C> display version
输出末尾 Last reboot reason 直接显示基础重启类型，常见返回值：
User reboot：人为命令 reboot 重启
Power off：断电 / 电源不稳硬件冷启动
Kernel panic：内核软件崩溃重启
Watchdog reset：系统卡死看门狗强制复位
Temperature protection：超温保护重启
2. display kernel reboot（查看内核崩溃完整重启记录，最核心）
plaintext
<H3C> display kernel reboot 1 verbose
可展示最近 20 次重启的精确时间、CPU 异常栈、内存崩溃信息；
出现panic、OOM代表流量 / IPS 特征库耗尽内存导致软件重启。
3. display hardware internal cpld reboot（硬件底层复位记录）
plaintext
<H3C> system-view
[H3C] diagnose
[H3C-diagnose] display hardware internal cpld reboot
读取 CPLD 硬件寄存器，区分硬件复位（电源 / 温度 / 单板故障）还是软件主动复位，排除供电、风扇硬件问题。
二、硬件类故障排查命令（电源、温度、风扇、硬件告警）
1. display environment（温度、风扇、电源实时状态）
plaintext
<H3C> display environment
重点看：入风口 / 出风口温度、风扇转速、双电源在位状态；
温度超过告警阈值、风扇停转、单电源离线，会触发保护重启。
2. display alarm all（全局硬件 / 系统告警日志）
plaintext
<H3C> display alarm all
过滤关键词Power/Temperature/Fan，重启前若持续输出硬件告警，判定硬件故障。
3. display device
查看整机单板、硬盘、光模块在位状态，硬盘故障、PCIe 业务卡异常会导致整机复位。
三、日志回溯：重启前异常事件溯源
1. display logbuffer（内存缓存日志，重启前运行事件）
plaintext
<H3C> display logbuffer | include ERROR|CRITICAL|PANIC|RESET
过滤严重错误：IPS 引擎崩溃、内存溢出、会话表耗尽、特征库加载失败、接口反复 flapping。
2. display logfile buffer（持久化日志，掉电不丢失）
日志缓存重启清空，持久化文件日志可保留重启前几小时完整事件，排查大流量 IPS 特征库过载、DDOS 攻击导致系统卡死。
四、IPS 业务引擎异常专项排查（T1000-AI 核心风险点）
大流量、特征库冲突、超大会话极易触发 IPS 引擎卡死看门狗重启：
display inspect status：查看 IPS 检测引擎运行状态、特征库版本、当前并发会话数；
display memory：查看整机内存使用率，长期 95% 以上内存占用会 OOM 内核崩溃；
display session table statistics：会话表满、大量半开连接会耗尽系统资源触发重启。
五、崩溃黑盒 / 全量诊断信息（需反馈厂商时收集）
1. 黑盒崩溃记录（内核 panic 固化日志，断电不丢）
plaintext
system-view
diagnose
display inspect black-box record 8 0 0 0
display inspect black-box record 10 0 0 0
保存系统崩溃瞬间 CPU、内存、进程快照，软件 BUG 重启必备取证文件。
2. 一键全量诊断打包（发给 400 工程师标准信息）
plaintext
<H3C> display diagnostic-information key-info save diag.tar.gz
自动打包硬件状态、日志、内核重启记录、IPS 业务、配置，无需逐条复制命令输出。
六、重启原因分类判定逻辑
电源 / 硬件重启：display version显示Power off、cpld reboot记录硬件复位、display environment电源 / 风扇告警；
超温保护重启：日志 / 环境界面温度持续超 51℃；
软件内核崩溃：kernel reboot存在 panic/OOM 记录，内存 / 会话表长期打满；
看门狗卡死复位：大流量下 IPS 引擎卡死，watchdog 强制整机重启；
人为操作：Last reboot reason: User reboot。
七、最简排查执行顺序（现场快速定位）
display version → 初步判断重启大类；
display kernel reboot 1 verbose → 确认是否软件崩溃；
display environment + display alarm all → 排除温度、电源硬件；
display logbuffer | include CRITICAL → 看重启前业务异常；
若为软件崩溃：导出black-box黑盒记录 +diagnostic-information联系厂商分析。

1. 收集系统运行状态与诊断信息

• 查看版本与运行时间：执行 display version 确认当前软件版本号以及设备的持续运行时间（Uptime），以此判断是否确实发生了重启。
• 收集完整诊断信息（核心步骤）：执行 display diagnostic-information 命令。该命令会全面收集设备状态、CPU/内存状态、配置情况及硬件表项等信息。建议在执行后输入“Y”将 diag 信息打包保存到 Flash 中，以便后续导出分析。

2. 检查日志与告警记录

• 查看历史日志：执行 display logbuffer 命令，重点过滤并寻找包含 memory、error、fault、restart、reboot 等关键字的记录，这通常能直接反映出导致重启的底层原因。
• 检查信息中心状态：确认设备的信息中心处于开启状态（info-center enable），确保日志和 Trap 信息被正常记录在 Flash 卡中。

3. 排查性能瓶颈（内存/CPU）

• 检查内存状态：执行 display memory 和 display process memory，观察重启前后的内存占用情况，确认是否存在内存耗尽或泄漏现象。
• 检查会话统计：执行 display session statistics，查看故障发生前的会话总数和新建速率是否超出了设备的规格上限。

4. 检查硬件健康度

• 查看设备整体状态：执行 display device，检查各单板及关键组件的状态是否正常。
• 排查环境因素：如果怀疑是过热导致的宕机，可检查风扇转速和设备温度告警记录。

dis version 

可以看上次重启原因