本帖最后由 阿仙儿 于 2020-11-11 11:49 编辑
【问题描述】
客户反馈早上到单位发现前一天登录的VPN已经是注销状态了,但是还未到注销时间,因为前一天下午还在办公,需要排查具体情况。
【问题处理】
①首先登录到设备控制台看下客户提供的账号“yangweiran”关联的策略组详情,“超时注销时间”设置的是1000分钟,也就是16h40min。(此处的截图被搞丢了)
查看“用户日志”,该账号在4号上午06:39:10注销成功,在3号上午10:25:18进行的登录操作,如下图:
②在客户端运行Sangfor修复工具,在账号所登录的PC上采集日志,在【工具箱】——【文件日志收集】
进行操作,如下图:
顺便给客户端进行扫描一下,看是否有异常项修复一下;
③上步骤获取的日志如下图,我们解压,可以看到其中包含很多log信息,我们使用文本编辑工具Notepad++打开其中的“SangforCSClient.exe”文件;
④在呈现的日志信息中,我们先大致搜索一下,可以看到在4号上午6点零6分,“QueryLeftTime”值是一个逐渐减少到0的状态,然后VPN端主动发送注销给客户端,如下图:
前边说客户反馈3号的下午的六七点还在办公,那么这个时间点到4号的六点是远远不到1000min,如何确定呢?我们可以仍在这个打开的文件页面中,查找“QueryLeftTime”值为最大值的时候,我们发现最近的最大值是在3号下午13点多,说明这个时间点才是客户进行VPN资源访问的最后时间,也就是从这个时间,QueryLeftTime值开始从60000倒计时(60000也就是设置的超时注销时间1000min=60000s)
⑤到此,VPN控制台“用户日志”中,客户注销时间是06:39:10,PC端获取的CSClient日志显示的注销时间是06:06:29,两份日志的时间是不符的,登录控制台查看设备系统时间,与当前时间对比,是有大概33min的时差的(截图是和北京时间对比,和PC的本地时间差不多)。
【问题结论】
该客户反馈的问题是正常现象,未存在异常,给客户说明即可。(为什么这么确定呢,因为客户说前一天下午还在用VPN,用词是“好像”!!说明客户的反馈是不准确的!!) | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-11-12 08:51
技术员2级 
