#原创分享#SIP平台资产在线数较少问题排查

一、现象描述

      XX客户反馈查看SIP平台资产模块，发现资产在线数较少，帮忙查看一下是正常现象还是出现了bug。

注：客户资产模块有相关的定制，但是排查思路应该是一致的。

二、排查思路

（1）点击资产管理模块，查看现象

（2）点击数字跳转，主机资产页面确认筛选条件是否正确

注：总览模块跳转过来筛选条件变成了全部，建议进行一下修改，保持规则的下层。总览的最近30天，其实是最近29天。而且总览是以first_seen 来算时间，列表是用last_seen。

3、右侧勾选展示重要数据

4、通过第二步的筛选，查看资产的最近上线时间，如果全部离线，而且排在第一个的最近上线时间比高级设置里面配置的离线时间还早，则说明确实是探针没有再识别到该资产的流量导致的离线；

5、查看下资产离线的资产IP范围，在日志检索按照以下查询条件进行筛选，观察最近是否有安全日志，或者网络流量，如果数量及其少，没有更新资产的最近上线时间也是有可能的

，如果这种情况流量很少，那离线很有可能是正常的。

补充：资产审核、入库、退库流程图

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

感谢楼主分享，学习学习。

感谢楼主的精彩分享，学习了！

感谢楼主的精彩分享，学习了！

感谢楼主的精彩分享，学习了！

感谢楼主分享，学习学习。

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

感谢楼主分享，学习学习。

感谢楼主无私分享，学习一下