【每日一记】第8天+AF接入LAS，接收不到日志

什么是日志审计

LAS日志审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及审计违规

日志审计收集日志调用 syslog 服务，配置接收地址为日志审计设备地址即可

案例背景

机房日志审计设备，只做了上架，能做登录，未进行任何配置，最近需要做安全设置，将设备日志接入到日志审计中。

遇到问题

现有设备，深信服防火墙，linux系统服务器，根据客服给的接入指南配置好设备上的syslog接收地址为日志审计的ip地址和端口后，日志审计上并不能接收到任何日志。

非常纠结，为什么深信服的防火墙，配置syslog日志到深信服的日志审计还不通

（这时候可能有的大佬已经知道为什么了，其实很简单，就是一层窗户纸）

排查思路

首先在深信服的防火墙上，日志设置，syslog勾选，然后设置好日志审计的地址和端口。

然后设置好日志收集设置，确保防火墙自己能生成日志。

登录日志审计，查看有没有收到日志，然而并没有，心想是不是同步时间并不是实时的？刚好已经周五下班了，告辞。

周一上班，登录日志审计，还是没有收到任何日志，按照常理来说，不应该这样呀，开始进入薅头发排查阶段

登录深信服设备，排障-命令行，ping日志审计IP，通的，没啥问题呀？

登录日志审计，一开始这个设备是死机状态，因为要用，强制重启的，服务没有启动好？又强制重启了一遍，问题依旧，还是收不到日志。

没有解决思路了，重新找客服要问问怎么解决，客服配合着看了下防火墙上的syslog设置，并询问中间是否有其他安全设备，syslog设置没有问题，中间没有其他安全设备，ping了一下，还是通的，日志也有新的生成，但是日志审计就是没有收到日志。

这时候，客服一句你Telnet一下514端口看看通不通，telnet测试结果是不通，转到日志审计web页面，查看 日志审计  ，有采集器，但是规则没有，增加规则后，成功接收到防火墙的日志，感谢客服解决问题，并结束会话。

这时候开始自我折腾及验证阶段，打开Linux服务器，根据上一个客服给的日志接入指南，配置syslog好以后，日志审计同样配置探针，成功接收日志，问题解决。

问题总结

自己的技术能力还是要提高呀。

有问题找客服，找到手册以后，不要只看盯着那一份手册看，对比着几个手册查看自己的设置对不对。

非常感谢楼主的分享，将AF到LAS出问题的过程排查了一遍，像讲故事一样，给大家呈现了出来。另外其实AF到LAS不通，其实还是有很多可能的，不仅仅是端口不通，例如AF需要在策略配置处开始审计策略，以及开启后且端口也是通的，此时如何解决？希望楼主可以再次进行分析！期待楼主的下次分享！

成功又水一篇帖子，沙发自留，以备补充

每天学习，每天进步！感谢！

感谢分享，有助于工作和学习！！！

感谢分享，学习一下。

感谢楼主分享，每日学习打卡