SecCenter 无法显示安全设备日志的排错方法

关键词:
问题现象

SecCenter 无法显示安全设备日志的排错方法

一、组网:

二、问题描述:

安全设备例如防火墙、UTMACG等可将系统运行日志以及流量日志等信息保存下来,以便管理员在需要的时候进行查看。但当设备较多的时候,分别登陆到各台设备去查看无疑会增加管理员的工作量,SecCenter可将所有我司安全设备的各类日志信息以图表的形式展现出来,方便管理员进行查看。在某些应用场景中,安全设备相关配置正确,日志信息成功上送到SecCenter服务器,但在SecCenter还是无法查看相关日志信息。针对此种情况,可以按照本文所述的方法进行问题排查。本文主要以防火墙日志(userlog)为例,其他安全设备的日志接收情况与此类似。

三、过程分析:

安全设备将日志上送到SecCenter时,会携带自身时钟信息。SecCenter则打开响应的UDP端口来侦听上送日志报文,并将接收到的报文经由相关进程处理之后写入Mysql数据库。SecCenter前台页面在数据库中调用相关SQL语句并将最终结果通过报表的形式展示出来。

该过程中用到的端口以及进程主要见下图:

四、排错思路

1、查看SecCenter接收器进程是否正常启动。

 c:\>netstat -aon | findstr 30010

 UDP   0.0.0.0:30010      *:*           4560 

 从该命令执行结果可得知,进程PID 4560打开了UDP 30010端口。

 c:\>tasklist | findstr 4560

 receiverv0.exe     4560 Services       0     16,664 K

从该命令执行结果可得知,进程PID 4560对应的进程名称为receiverv0.exe,属于正常现象。

若端口被其他进程占用,则关闭占用端口的进程,在..\SecCenter\receiver目录下双击receiverv0.exe,该进程就会启动。若找不到该进程,则可能该进程已经被杀毒软件删除,请将杀毒软件卸载或者在杀毒软件中将该进程设置为信任,并在该目录下执行receiver_install.bat脚本工具,便可重新生成相关接收器可执行文件。

2、确保防火墙的时区与SecCenter的配置一致,若不一致,请修改为一致。

   [H3C]display clock

   16:06:33 UTC Sat 07/20/2013

3、在上述两步都正确的情况下,请在服务器进行抓包,看是否有udp.dstport==30010的数据包送过来。如未有日志报文过来,请确认设备侧配是否正确。

4、在上述三步都正确的情况下,请查看...\SecCenter\syslog目录下recvNat.log日志,若其中有包含如下字段,则表示发送userlog日志的报文源IP地址非防火墙设备的管理地址,请确保二者一致。需要说明的是,当SecCenter所在服务器防火墙开启的时候,也会有如下报错,请放通相关端口,或者关闭防火墙。

7-20-2013 16:44:33:[INFO] The port is 30017

7-20-2013 16:44:33:[WARNING] The host address inputted is not correct

5、在上述4步都未解决问题的情况下,请收集如下日志、SecCenter版本以及相关抓包以供华三技术支持中心进行分析定位。

日志路径为:

..\SecCenter\syslog

..\SecCenter\server\logs

 

 

案例信息

案例类型:经验案例
案例号:KMS - 23681
创建时间:2013年8月16日
更新时间:2013年8月30日
发布时间:2013/8/30 8:47:58
文章密级:游客可见
有效期:长期有效
发布者:刘思 [l09485]
点击次数:949
评论平均得分:0
关键词:
产品线:iMC产品
产品系列:
产品版本:
故障类型:

常用操作
收藏