10.2 客户端日志分析指南
客户端安装日志
客户端安装日志在aTrustInstaller目录下:
其中aTurstInstaller.log中汇总了所有安装的日志。
10.2.1 Windows客户端安装日志分析
1.启动客户端安装包开始安装日志:
The atrust client installation starts
2.安装并启动aTrustService
start aTrustService
3.安装aTrustTray
aTrustTray install begin
4.aTrustTray安装完成
aTrustTray install finished.
5.等待aTrustAgent安装完成并启动
aTrustAgent install finished
6.客户端整体安装完成:
[------------ ExitSetup ------------]
aTrustCore日志
aTrustCore日志文件名为:aTrustAgent_plugins_aTrustCore_h_e.log,其中aTrustAgent_plugins_aTrustCore_h_e.1.log带序号的日志表示的是翻滚后的日志文件,日志序号越大表示,记录的时间更早。
10.2.2 客户端注销原因日志分析
1.aTrustCore日志中会做记录注销原因,因此只需要搜索关键字"event":"logout"查看对应的type类型,即可获取注销原因,如:
2.其中seft表示当前注销为用户主动注销,其他注销类型如下:
管理员主动注销
ACL条件不满足注销
无流量超时注销
无鼠标键盘操作超时注销
UEM环境异常主动注销
10.2.3 登录提示"安全环境准备中"
10.2.3.1 影响范围
2.4.10.30以后,大部分产品相关的安全环境准备中问题已修复,如果是之前的版本,先使用2410.30及之后版本
10.2.3.2 报错含义
此提示的含义是,隧道可能存在未准备就绪的情况或者托盘未收到隧道就绪的消息。
10.2.3.3 排查思路
隧道未就绪的常见原因有: rpc异常未获取到隧道未获取到配置文件、隧道内部异常无法准备就绪、隧道内部准备超时等
rpc异常未获取到隧道未获取到配置文件
常见原因:
- rpc通讯异常:三方软件本地拦截
- rpc检验签名校验失败:
典型案例: 搬家软件将atrust移动到其他位置导致rpc签名校验无法通过,隧道无法获取到配置导致准备就绪,登录提示"安全环境准备中"
日志排查:关键词搜索 "Rpc will reject the service , Reason: The process is not a sangfor process, 3"
1、查看隧道日志可以到隧道通过rpc获取conf配置失败
2、从日志上可以看到大量的rpc签名校验不过的日志:
3、日志报文件不存在,第一想法应该是检查文件在不在,路径对不对,结果可以看到客户端安装路径里的文件夹只是一个软链接,被重定向了,这种情况下当前atrust是无法校验签名的
修复方式: 卸载atrust,删除软链接文件夹,再重新安装通常可以恢复
隧道内部异常无法准备就绪
常见原因:
- netflt安装异常
- 虚拟网卡安装/启动 失败等
典型案例: netflt安装失败导致隧道无法准备就绪
日志排查:关键日志搜索 "call cgo init netflt router failed will:exit process"
隧道内部准备超时
常见原因:
- 三方软件影响导致隧道获取本地网络信息或者启动网卡慢导致异常
已知案例: 低版本火绒导致tun网卡安装慢,导致隧道准备超时,很久才能使用
日志确认: 关键日志搜索 "tunnel unavailable(", 隧道内部超时时间为30s,因此,重点关注超过30s的unavailable,超时后需要重新登录或者重启进程恢复。30s以内的unavailable会尝试自动恢复,不一定会导致业务访问异常。
10.2.4 AIO推端场景日志分析
1.打开aTrustAgent_plugins_aTrustCore_h_e.log相关日志,过滤关键字‘EAIOSDKWrapper’,该日志是记录了AIO相关的日志。
2.分析推端结果,过滤关键字:“install EDR callback resp:”分析推端结果, 如下表示EDR推端失败的原因是下载失败,该场景需要检查EDR推端下载地址,在浏览器上是否能够正常打开。
[2024-07-15 16:14:59.957][ 11748: 9300][ info][aTrustAgent][sangfor::CEAIOSdkWrapperV2::onInstallCallback:2181]install EDR callback resp:{
"product_name": "EDR",
"msg": "download failed",
"errcode": 4,
"install_errcode": 0
}
3.通过过滤关键字“/eaio/promotions/installer to eaio”,获取EDR推端地址,如:
[2024-09-23 17:52:40.552][ 6324: 15116][ info][EAIOSDKWrapper][sangfor::EaioAdapterV2::derliver2Eaio:273]async deliver /eaio/promotions/installer to eaio, req param:{
"ver": 2,
"opr": "install",
"product_name": "EDR",
"lang": "en_US",
"install_timeout": 180,
"force_install": 0,
"platforms": [
{
"os": "windows",
"arch": "",
"resources": [
{
"url": "https://edrsaas.sangfor.com/download/download_installer_win.php?k=926366784&c=cd4b30e4500dc5bb714cfad28858230568017462beb9bdcc79cfcb791155614de818473576b107865bb5684e74957ef8&s=0a4c41a0919bd7d2702197d669a8a2c739411e1dd6b8d5291a1b6e29f2ca12ba",
"command": "-Silence=Y -Aio=Y",
"download_timeout": 15,
"filename": "",
"download_args": {
"insecure": ""
},
"original_filenames": [
"EdrInstaller.exe"
]
}
]
}
]
}, timeout:0
4.其他常见推端错误日志,如EDR已经安装,推端失败:
install EDR callback resp:{
"product_name": "EDR",
"msg": "already install",
"errcode": 2,
"install_errcode": 0
}
5.EDR已经手动卸载,不在支持再后台自动推端,需要手动在托盘上触发安装
[2024-09-23 17:17:28.611][ 6324: 15116][ info][aTrustAgent][sangfor::CEAIOSdkWrapperV2::onInstallCallback:2180]install EDR callback resp:{
"product_name": "EDR",
"msg": "already uninstall",
"errcode": 2,
"install_errcode": 0
}
6.EDR安装失败,可通过步骤3获取到的EDR下载地址,手动下载EDR客户端进行安装验证是否能够正常安装
[2024-09-23 19:23:46.099][ 6324: 15116][ info][aTrustAgent][sangfor::CEAIOSdkWrapperV2::onInstallCallback:2180]install EDR callback resp:{
"product_name": "EDR",
"msg": "install failed",
"errcode": 5,
"install_errcode": 258
}