某局点SecCenter CSAP-SA-AK640 综合日志审计平台 windows采集日志不成功的经验案例

设备都接在三方厂商的核心交换机上，172.16.100.2—172.16.100.8都为服务器地址，服务器操作系统为windows server 2008系统；日志审计IP地址为：172.16.100.41，客户端电脑为172.168.100.238 。

平台有事件总数，但查看不到具体的日志信息，之前开局时可以看到正常的登录服务器日志信息，现在无法看到相关的windows日志采集信息。

配置和排查流程截图：

1、资产添加正常

2、在【系统】-【插件中心】中，下载windows agent（兼容32位和64位操作系统）客户端程序，进行安装。

注意端口使用的是5145对接，采集器的地址是综合日志审计平台的地址核对无误。

勾选『开启系统日志采集引擎』，“全选”日志类型:

3、查看agent所在服务器进程启动情况，有一个winlogon.exe的进程，没有文档中写的winlogbeat.exe的进程。（参考官网3.2章节排查思路）

https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/SecCenter/H3C_CSAP-SA-AK/Maintenance/Troubleshooting/SecCenter_CSAP-SA-AK_TG-E6101/?CHID=369854#_Toc81558473

4、查看本地安全策略开启，组合键“win+r“打开运行输入”secpol.msc”打开本地安全策略，依次打开本地策略à审核策略à依次更改右侧的安全设置为成功，失败。

5、 查看事件查看器，组合键“win+r“打开运行输入”eventvwr.msc”打开事件查看器，查看windows日志中的“安全“、”应用程序“、”系统“对应的时间。

6、telnet 5145端口发现不通，并且设备日志监测没有数据过来，但是抓包能看到服务器有相关数据发出来，中间不经过其他安全设备，端口不存在阻塞。

资产列表的视图发现，添加的资产属于过滤中。

官网6.1.9章节有明确如下说明，最后关闭过滤正常。