配置了KAFKA但是对端没有日志,目前sta有接收流量   1、测试下STA和对端kafka服务器的端口连通性，连通性正常则进行以下操作 2、其次把这个工具rdkafka_example_cpp放到/home目录下，并赋予此工具对应的权限 3、然后执行命令./rdkafka_example_cpp -P -t (主题) -b ip:port  自己手动输入一些字段，若发生成功则会显示success，否则不支持或其他，可以协调第三方kafka侧查看   找kafka服务器进一步查看          

SIP上看到两个相同IP的STA接入，且其中一个无法删除 查看接入ID，发现其中一台无法删除的，接入ID带有|符号 下级上报的STA会在设备管理显示，区分可看|标记 无需解决，正常现象            

SIP开启集群维护模式报错提示密码错误   确认超级管理员账号是不是改过名称不再是默认名称admin了 版本问题，集群维护模式校验密码时提交的用户名默认是admin 先把超级管理员改回默认的admin，再去操作维护模式            

设备备检测提示磁盘有坏道或者内存故障   1、磁盘问题后台使用smart命令扫描系统盘和数据，如果第5 197 199行没有数据就是没有坏道（如无法确认可联系硬件专家） 2、内存问题需要进到IPMI获取MBC日志联系硬件专家分析确认 3、如果硬件确认设备硬件正常，可以通过一下方案解决误报   删除/home/fantom/party/rasmgr/event_data/下的smart_xerrorlog_unc 文件，重新巡检，告警消除          

1、客户3.0.56版本STA升级3.0.78版本失败，后台升级再次卡主 后台升级步骤：1、上传对应的ssu包到STA的后台 2、执行bash /usr/sbin/ssupdate/ssupdate.sh /xx/xxx.ssu，此命令是执行升级的操作，后面xx代表的是路径 3、执行之后可以另起一个窗口看升级日志，对应的路径：tail -f /var/log/ssupdate.log 4、若遇到提示sn校验失败，但是时间上又有授权，则可以使用此命令跳过：sed -i '2 s/^/exit 0\n/' /usr/sbin/checkupdsn.sh 5、若看升级日志发现他一直卡在配置切换中，则查看下是否有pcap_proof进程，ps aux |grep pcap_proof查看，若发现有这个进程，则就是在删除pcap数据，等即可，至少需要等一天，若等一天依旧卡主，则可以kill pcap_proof进程，等正常升级之后，再去格式化fwlog(处理之前建议咨询下专家)   参考有效排查步骤          

SIP联动AC提示返回信息失败   1.sip后台查看对应soar相关日志： /data/application_soar/instance/sip_soar_service/data/data/log/daemon/daemon_action_runner.log 2.AC上查看对应时间节点，对应用户是否在线，发现执行失败节点，对应用户不在线   对应用户在AC上上线之后，重新执行联动AC任务，正常            

导入资产失败提示，查看冲突文档，提示与已导入责任人冲突。 ,查看【配置】-【责任人管理】，存在相同名称的责任人导致导入异常 删除此处的责任人，重新添加即可           。。

SIP3.0.52，之前用户在风险服务器导出了失陷主机，后面在去风险服务器里面查找找不到对应主机了   1、风险服务器搜了11月到今天的，没有找到对应IP了  2、安全事件查找对应IP是能正常显示的 3、跟研发确认：3.0.52版本，风险主机只展示最近30天的记录；在3.0.77版本后，改成统计90天。 3.0.52版本，风险主机只展示最近30天的记录 风险主机只展示最近30天的记录，可以通过安全事件进行查看30天之前的记录。          

3.0.77勒索类型安全告警未在分析中心-勒索页面搜索不到     77版本勒索页面只展示部分勒索类型告警数据 升级81版本及以上            

首页吞吐量突然不显示流量 进入后台检查CPU、内存、磁盘空间正常，ad_appd进程异常   检查接口发现配置为了af_packet模式，和研发确认长时间开af_packet模式会导致ad_appd进程异常，修改为dpdk模式后，后台拉起ad_appd进程正常了，前台可以看到吞吐量了 修改af_packet模式接口为dpdk模式          

SIP首页-待支持风险点告警没有跳转到处置中心的安全告警   1、f12查看点击的时候没有cgi 2、更换浏览器测试依旧，后台查看数据库都正常 3、测试的时候后台看ci日志也没报错 与研发确认安全告警数量超过10K的时候取消了自动跳转 截止SIP3092版本暂时没有方法取消限制，需要客户手动到处置中心点安全告警          

SIP添加白名单不生效，还是产生了安全告警 1、确认现象，查看操作日志，客户在11/13号上午11-26左右添加了安全白名单，但是在11/13的18.31和22.24还是产生安全事件 1、查看白名单正常，数据来源是本平台，测试在安全告警添加白名单与客户添加的没有异常处 2、查看原始日志发现产生告警时间是别的IP产生了日志，但是查看资产不是同一个资产   与研发确认当天添加的白名单，当天的告警还会更新。次日就不会生成新的 观察一天，隔天未再生成就是正常现象            

SIP的设备管理显示AF设备突然离线了 无 1、检查SIP上深信服设备授权充足 2、在SIP后台/data/apps/ngfw/oprt_data/日期/blob_recv.log目录下检查AF的心跳日志有正常上报 3、检查SIP的设备管理上发现AF上报过来的IP与其中一个离线设备的IP一致了 4、删除无需使用的离线设备之后AF正常在SIP上线 设备管理存在IP冲突导致AF对接SIP显示离线 通过删除无需使用的离线设备，保证设备管理下看到的IP不一致实现设备正常在线 无影响 否        

配置集群未关闭维护模式导致所有接入设备离线 集群内节点状态都是正常在线，查看维护模式没有关闭 操作集群之后，在开启维护模式之后需要关闭维护模式，否则会出现所有接入设备离线。 通过关闭维护模式，等待集群同步后正常            

SIP在重保中心联动AF下发联动封锁报错”响应数据错误，AF返回的接入信息或者错误码为：json error“ 1、检查SIP的【系统设置】-【设备管理】页面测试SIP与AF连通性正常，双向认证测试成功 2、检查SIP的【联动响应】模块下未添加AF设备 3、从SIP3.0.62及以上版本开始，重保中心模块下发联动封锁除了双向认证之外还要求在联动响应模块下添加AF，且账号密码与双向认证账号密码一致 4、若AF设备是8.0.35及以上版本，则填写的账号密码除与双向认证账号密码一致之外还需要是AF的管理员账号且勾选了WEBAPI 5、在SIP的联动响应模块下添加AF之后联动下发成功 1、SIP的【系统设置】-【联动响应】模块没有添加AF设备导致 1、在SIP的【系统设置】-【联动响应】添加AF且保证账号密码与双向认证的账号密码一致 无影响 否        

HCI平台刚部署的VSTA会出现虚拟机卡死 HCI平台刚部署的VSTA会出现虚拟机卡死，虚拟机无法执行任何操作，重启电源之后一会继续卡死   1、确认HCI平台CPU是否为海光CPU，海光CPU和标准版本的VSTA底层操作系统不兼容，会导致虚拟机卡死或者镜像无法安装   海光CPU和标准版本的VSTA存在兼容性问题 1、HCI虚拟机设置关闭host cpu选项恢复正常 2、使用海光CPU适配的镜像重新部署 修改VSTA虚拟机配置会重启虚拟机          

STA设备导出设备硬件info信息报错：Access denied   1、怀疑是浏览器或者电脑的问题，更换电脑以及不同的浏览器，都是同样报错 2、检查STA登录用户，是sysadmin账号，不是admin的超级管理员账号 3、尝试使用admin账号登录STA设备，再次导出设备硬件info信息，可以正常导出了 STA导出设备硬件信息需要admin账号权限才可以导出 使用admin账号登录STA，即可正常导出设备硬件信息的info文件            

信创的STA1.0的版本镜像口显示没有流量，交换机侧镜像确认是没有问题。 无 1、查看探针的网关序列号是在有效期的，但是规则库序列号过期了 信创STA1.0（3.0.27C）的版本，需要探针所有序列号授权都在有效期的情况下，才能正常镜像流量分析。 方案1：确认是否是信创的探针，型号是STA-100-X640，如确定是的话，可直接刷机到STA3.0.59C的版本，刷机之后可正常镜像流量。（可以在设备面板或通过SN码在社区查询设备型号） 刷机具体操作可参考文档 STA3.0.59C版本arm架构ISO安装.docx ( 0.09M  ) 方案2：续期探针授权，保持探针所有授权均在有效期 如采取方案1，刷机之后，探针授权以及配置均需重新配置。 否      

SIP日志检索里检测到有暴力破解的安全日志，但是点开日志详情，没有详细的数据包可以进行研判。   1、获取日志中的json信息进行分析，分析json信息，json信息中没有source_id 字段，表示是SIP引擎生成的日志，引擎生成的不会有数据包记录。   SIP引擎生成的日志不会有数据包产生，和客户沟通解释即可。     分析此类问题需要了解哪些日志有数据包记录： 判断方式：1. 看日志中的json信息中是否有source_id字段， 有表示是探针生成的日志，没有就是引擎生成的（引擎生产的无数据包记录）；2. 如果是探针生成的日志，看module_type 值是否为90（waf日志）或30（IPS日志），是WAF或IPS日志同时协议是http的会有数据包记录。    

HCI部署了sta开机后无法进入系统，提示磁盘被加密     安装性能优化工具导致了目录盘符被加密 重新部署一台，不要安装性能优化工具     vsta和vsip部署都不推荐安装性能优化工具