提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

二、基础排查:检查策略和日志配置是否正确

|

问题描述

内置数据中心查询不到日志基础排查

告警信息

可能原因:
1、网络环境问题:查看策略是否有匹配数,确认网络拓扑,可以通过抓包确认流量是否经过AF设备;
2、日志设置未勾选内置数据中心:日志设置中需要开启日志记录,并勾选内置数据中心或者防火墙;
3、策略未开启日志记录:检查策略是否有勾选记录日志,应用控制策略默认不勾选记录日志;
4、未匹配上策略:检查策略的源和目的和实际网络流量是否匹配
5、小磁盘设备有日志记录限制:老架构磁盘需要大于32G才记录允许动作的acl日志、新架构需要大于64G;
6、查询日志时,未勾选全部的日志类型,比如低危日志、信息日志:检查日志查询条件

有效排查步骤

1、网络环境问题:检查对应策略是否有匹配数,检查对应流量是否经过设备。在【系统】-【排障】-【分析工具】可以抓包确认流量是否经过设备。
PS:注意是否双机环境:双机在对应时间有没有发生切换,有可能双机发生切换导致日志在另一台;
2、日志设置未勾选内置数据中心:日志设置中需要开启日志记录,并勾选内置数据中心或者防火墙;


PS:AF8017版本之后就没有内置数据中心了,记录在防火墙本身上:


3、策略未开启日志记录:检查策略是否有勾选记录日志,应用控制策略默认不勾选记录日志;


4、小磁盘设备有日志记录限制:新架构AF硬盘是64G及以下,老架构32G及一下默认不记录应用控制策略的允许日志,应用控制策略默认不记录DNS 53端口的日志;

5、查询日志时,未勾选全部的日志类型:检查日志查询条件,低危日志和信息日志默认未勾选查询

解决方案

以上步骤未解决您的问题,可收集以下信息问题流转技术支持工程师:
1、故障现象描述:
2、故障发生时间:
3、故障影响范围:
4、故障前做过的操作:
5、设备部署模式及网络拓扑:
6、设备详细版本信息:
7、关键日志:
8、是否双机场景:
您可以通过关注微信公众号【深信服技术服务】自助提单或者拨打400-630-6430提单

我要分享
文档编号: 222123
作者: admin
更新时间: 2023-04-10 15:59
适用版本: