Xsec内的组件SIPlogger登陆提示平台授权即将过期，或者已经过期、采集不到日志等。 1、确定Xsec平台提示功能永不过期 2、通过Xsec容器重新下发授权，还是非永久的平台授权。 3、升级组件SIPlogger3.0.22版本彻底解决 Xsec504下发永久授权和 3.0.20 版本logger不适配导致 升级SIPlogger组件版本3.0.22彻底解决   否      

sip-logger采集中间件，使用syslog或nxlog配置，较为繁琐，且成功率低，使用sangfor_logger插件，简单便捷。       1、上传sangfor_logger插件到linux服务器 2、编辑syslog_agent.tpl文件 2-1-2.png (23.69 KB)   2-1-1.png (24.76 KB)   PS： path下的日志路径需设置为/var/log/auth*.log格式，/var/log/auth*格式无法正常转发 端口以数据源配置页面端口为准（默认为514，同一个ip多个端口生成端口会不一致，如38514、38515等）   3、执行install.sh文件(sh install.sh) 4、执行strat.sh文件(sh start.sh) 建议将该插件添加开机启动项，高危操作，建议客户自行操作，以centos7为例 1、修改/etc/rc.d/rc.local文件(source后为start.sh文件路径) 2-1-7.png (18.73 KB)   2、为/etc/rc.d/rc.local文件赋予权限(chmod 777 rc.local) 2-1-8.png (4.73 KB)   3、重启后验证sangfor_agent进程正常 PS: 1、此方式同一个服务器只支持单个中间件日志采集，如果同一个服务器有多个中间件日志需采集请使用syslog或nxlog进行采集 2、安装后如果要修改配置需要找到syslog_agent.yml修改，直接修改syslog_agent.tpl不生效，修改完重启进程（默认安装配置路径在/etc/sangfor_nglas/syslog_agent.yml (可以直接find / -name syslog_agent.yml 查找)） 2-1-6.png (34.12 KB)   为服务器添加启动项为高危操做，建议客户自己操作 其他系统添加启动项参考链接https://www.cnblogs.com/xingboy/p/15305027.html sangfor_logger_1117.zip ( 39.42M  )    

Windows服务器安装winlogbeat插件失败，提示“Failed to create service, please try again and try running this script as administrator”，如下图所示。   1.参考案例winlogbeat插件安装失败之创建服务失败  替换了控件也不行   1.将Winlogbeat插件放至C盘，进入安装目录修改winlogbeat.yml配置文件 打开cmd,手动安装插件 输入命令：cd /                              进入C盘 cd sangfor-sip-winlogbeat             进入sangfor-sip-winlogbeat文件夹 输入start /b winlogbeat64.exe -c winlogbeat.yml    2.进入安装目录查看日志发送是否正常   否        

纪元平台巡检报错，提示“场景checker.siplogger.buildin_1规则读取失败”，如下图所示   1、检查Siplogger版本是3.0.13以上版本，支持纪元平台巡检，同时设备也开启了ssh   2、检查纪元平台版本也是最新的，也有siplogger的规则库   退出纪元平台，用管理员权限重新纪元平台即可          

SIPlogger3.0.21，做文件上传方式收集日志导入正常，无法查询日志   1、界面导入文件上传，解析正常，导入提示成功 2、后台排查已经有日志文件生成，但是界面无法查询到对应日志 日志路径：/data/apps/agent2/upload_file 3、协调研发排查是开启了管道模式问题，关闭管道模式日志查询正常 开启文件上传时，需要关闭管道聚合模式，设备目前在该模式下对文件上传日志解析有问题   通过关闭管道聚合模式，日志查询正常            

SIP-logger配置ipv6地址采集Linux系统日志，无法采集日志 无 1、SIP-logger后台抓包查看，可以抓到icmp的包，没有ipv6端口514数据过来，Linux上抓包查看，数据也没有外发 2、ipv6地址更改为ipv4地址测试，可以正常采集解析日志数据 查看/etc/rsyslog配置，文件中ipv6的格式配置错误导致无法外发日志   SIP-logger使用ipv6地址配置采集，Linux系统文件填写格式为： tcp端口 ：*.debug   @@[ipv6地址]:514   （注：tcp填写两个@） udp端口：*.debug   @[ipv6地址]:514   重新修改/etc/rsyslog文件内配置，重启服务后，查看日志采集正常 需重启syslog服务 否      

SIPLogger3.0.21，文件上传方式导入txt格式的日志提示解析失败   1、检查需要导入的文件内容，发现文件无特殊符号 2、通过检查导入日志，是转换失败，通过尝试转换日志格式为UTF8，重新导入正常     客户文件是ANSI编码，通过用note++打开，转换成为UTF-8无BOM格式编码保存重新导入          

Sip-Logger的日志源对接里面显示接收的日志量为负数 QQ图片20210621201439.png (35.73 KB) 1.点击查看日志是可以看到具体的日志的2.查看设备系统时间，发现系统时间不对 QQ图片20210621201133.png (121.4 KB) 3.修改系统时间以后显示正常   系统时间不对，导致日志量显示不对 把系统时间修改正确或者和NTP服务器同步  

华为交换机发送的日志里面时间跟设备上查询到的日志里面时间相差8小时 1、在设备后台抓包看，发送过来的数据时间就是这样的。2、在网上查资料确认有相关案例，是对端原因，修改对端配置即可恢复正常。https://support.huawei.com/enterprise/zh/knowledge/EKB1000063782   华为公司全球化整改的要求，syslog默认发送的是UTC时间。 一般设备上配置了时区UTC+8，因此，设备上显示的本地时间为UTC+8， 而设备日志的时间为本地时间。 所以设备日志比syslog日志时间快8个小时。 可以指定syslog为本地时间，方法如下： [huawei]info-center loghost 1.1.1.1 local-time 注意：1.1.1.1是logserver的ip不是loghost的ip，需要写siplog地址。（有客户验证过，是官方文档写错了）  

客户是3.0.12版本的SIPlogger，硬件设备，反馈最近使用非常卡慢，内存始终在95%以上，日志量不高，内存是16G。 1、登录客户后台查看，剩余内存确实不足5%，查看EPS，只有不到50，实际设备支持的是2000EPS。 2、查看客户配置了75个数据源，有70个是正常采集的，但是今日日志量并不大，授权是200点。3、查看后台查看TOP，发现进程pid4484非常高。使用jps查看，最高占比是logstash。 4、咨询研发，这个进程是规则解析的进程，说明设备是数据源太多，导致解析占用了内存，建议可以开启“管道聚合模式”。5、观察一段时间后，内存有明显下降，且控制台使用正常     数据源太多，解析进程占用内存导致。 开启“管道聚合模式”加快解析解决。 开启模式后能够加速解析规则的启动,但会忽略数据源的高级选项，请按需开启。  

【SipLogger】siplogger设备登录控制台提示“操作失败，服务器与本地时间相差大于1小时，服务器当前时间为XXX”。如图：     原因是siplogger同步了时间服务器的时间导致和本地时间相差太多，在系统管理-系统设置-通用设置-系统时间查看设置是开启NTP时间同步 1、如果是客户自己搭建的时间服务器，让客户手动调整一下时间服务器的时间2、如果客户那边没有手动搭建时间服务器，则取消开启NTP服务，点击获取本地时间同步之后进行保存即可  

第三方的交换机日志文件，修改后缀为txt后导入到设备内报错：禁止上传的文件类型 1.点击日志文件，查看文件内容，发现前面四行是非日志的格式： 2.删除掉这四行后，重新导入成功。   日志文件中有非日志格式的内容，需删除后再导入。  

配置ftp数据源后未采集到日志 1、策略ftp配置是否正确（账号密码）、查看ftp服务器上是否有日志 2、查看日志文件中是否有异常信息tail -f /var/log/go/log-ftp_20230413.log  （修改为当天日期）3、查看日志里是否有以下类似错误 4、备份服务器文件mv /home/fantom/bin/log-ftp  /home/fantom/bin/log-ftp.bak 5、上传附件中文件到/home/fantom/bin/目录6、添加文件执行权限chmod +x /home/fantom/bin/log-ftp7、重启进程看是否同步到ftp服务器上的日志systemctl restart logstash_manage.service8、查看input目录下是否有日志/data/apps/agent2/input/20230413/ftp-ip目录     部分场景读取ftp目录问题（windows 搭建的ftp服务器） 3.0.21以前版本可能会存在此问题参考排查步骤，手动替换文件（此问题会在3.0.21版本修复）  log-ftp(6.74 MB)

Xsec单点登录logger提示404页面不存在 1、使用SIP-Logger配置IP登录web看系统是否正常2、查看用户登录安全策略里是否设置ip限制     用户设置了绑定ip，需要添加127.0.0.1，添加后即可 IP绑定地址添加127.0.0.1  

1、3.0.13之前版本有挂载外置存储，升级3.0.13版本后外置存储节点启动异常a、异常可能导致页面无法查询外置存储上的历史日志b、本地设备日志无法正常转储到外置服务器上 可以使用命令查看节点信息，如果挂载了外置存储只有一个节点视为异常es get _cat/nodes 1、查看节点是否正常（接了外置只有一个节点即为异常）es get _cat/nodes 2、查看服务是否正常（running状态为正常）systemctl status es_cool9201.service3、查看节点日志tail -f /var/log/elasticsearch9201/fantom.log     3.0.13版本启动外置存储es节点命令有调整 查看有接几个外置服务器，多个需要操作多变，按端口（home/fantom/party/elasticsearch9201 可能是其他端口）1、复制文件cp /home/fantom/party/elasticsearch/config/java.policy /home/fantom/party/elasticsearch9201/config 2、修改文件权限chown daemon:daemon /home/fantom/party/elasticsearch9201/config/java.policy 3、修改/home/fantom/party/elasticsearch9201/config/jvm.options 配置文件# log4j 2 -Dlog4j.shutdownHookEnabled=false -Dlog4j2.disable.jmx=true -Dlog4j2.formatMsgNoLookups=true -Djava.security.policy=/home/fantom/party/elasticsearch/config/java.policy  ----新增此行 4、重启外置节点服务systemctl restart es_cool9201.service 5、重启好之后查看节点是否正常es get _cat/nodes  

安装在超融合里面的设备重启之后，会导致设备变成重新激活界面。 1、设备的接口0口和2口是和序列号有关的，接线没有动过。2、重启前后对比MAC，有发生过变化。 3、每次重启，接口的MAC地址，都是轮询变化，将设备其他接口都接上线之后恢复正常。   其余接口未接线，将设备重启会导致超融合重新下发MAC 将其余接口都接上线 无 是  

SIP-Logger多中间件配置指南       1.1、第一个中间件（以Apache为例）步骤：1、针对Linux系统多中间件1、登录SIP-logger设备，在产品界面上新增数据源 2、root账号登陆Linux服务器，通过”touch“创建apache_syslog.conf文件（文件名可自定义修改，这里使用apache_syslog.conf为例） 3、打开创建的文件，将下述apache_syslog.conf文本内容复制并修改内容，如下图所示 注意：上述服务日志路径和IP地址需按照实际情况修改4、配置好上述文件后，保存退出5、重启rsyslog服务，执行命令“service rsyslog restart”（或者/etc/init.d/rsyslog restart） 1.2、第二个中间件（以Nginx为例） 步骤：1、登录SIP-logger设备，在产品界面上新增数据源 2、root账号登陆Linux服务器，通过touch创建nginx_syslog.conf文件（文件名可自定义修改，这里使用nginx_syslog.conf为例） 具体修改内容如下 注意：如上图，若这里有多个中间件，端口需要区分，可在添加日志源时查看对应端口。 3、配置好上述文件后，保存退出4、测试配置是否正确：rsyslogd -N1 -f apache.conf5、重启rsyslog服务，执行命令“service rsyslog restart”（或者/etc/init.d/rsyslog restart） 2、针对windows系统多中间件2.1第一个中间件（以IIS为例） 步骤：1、登录SIP-Logger设备，新增日志源，选择接入类型为syslog，解析规则为IIS 2、在windows服务器上运行以下文件，默认目录C:\Program Files (x86)\nxlog 3、复制配置文件nxlog.conf到 C:\Program Files (x86)\nxlog\conf，将原来的nxlog.conf替换掉。4、在C:\Program Files (x86)\nxlog\conf目录下新增nxlog.d目录，复制以下对应的中间件采集策略配置文件到 C:\Program Files (x86)\nxlog\conf\nxlog.d注意：如果需要采集IIS的日志，则使用iis.conf，如果是其他的中间件日志，请使用normal.conf。5、对第4步的文本进行修改如下： 注意：端口需要在设备界面查看，并保持一致。 6、服务列表里检查是否有nxlog服务，并手动进行重启 7、配置Windows本地安全策略，建议开启如下： 2.2第二个中间件（以Tomcat为例）1、登录SIP-Logger设备，新增日志源，选择接入类型为syslog，解析规则为tomcat 2、复制以下对应的中间件采集策略配置文件到 C:\Program Files (x86)\nxlog\conf\nxlog.d注意：如果需要采集IIS的日志，则使用iis.conf，如果是其他的中间件日志，请使用normal.conf。因为第一个采集器使用了IIS.conf，这里我们使用normal.conf 3、对第2步的文本进行修改如下： 注意：端口要在日志源查看，并保持一致。4、服务列表里的nxlog服务，并手动进行重启 3、针对windows系统日志和中间件日志如果一个服务器既收集系统日志，又收集中间件日志，需要安装winlogbeat和nxlog两个插件来分别对接。  SIP-Logger多路径采集 2.docx(4.58 MB)nxlog插件.rar(2.93 MB)

删除自定义采集策略组失败 无 1、检查系统管理-数据源对接是否有添加数据源   删除规则会检查数据源是否有关联，在没有数据源的时候会失败 在系统管理-数据源对接添加一个数据源  

Windwos服务器安装winlogbeat插件成功，服务也运行正常，但是一直没有采集到日志 1、检查设备数据源配置正常，也没有设置丢弃等策略，如下图所示： 2、从客户端服务器去telnet siplogger设备的5044端口能通，siplogger也能抓到服务器发来的5044端口的数据包，说明网络方面正常，没有拦截 3、再检查服务器winlogbeat插件的配置文件winlogbeat.yml(C:\sangfor-sip-winlogbeat目录下)，发现IP前面多了个$符号 4、将$符号删除，服务中重启Sangfor SIP Winlogbeat服务后日志采集正常       检查windows服务器winlogbeat.yml配置文件是否配置正确，IP前不需要写$ 只重启Sangfor SIP Winlogbeat服务，对服务无其他影响  

sip-logger采集不到防火墙日志，数据源配置正确，防火墙日志外发已开启，且防火墙有日志产生 1-1.png (22.41 KB) 1、检查sip-logger和防火墙时间正常2、在sip-logger后台抓包，未发现有日志发送过来 1-2.png (145.77 KB) 3、在防火墙抓包，发现日志发出接口为另一个接口 1-3.jpg (811.93 KB) 4、修改数据源ip为防火墙日志发出接口ip10.10.10.1后恢复正常   防火墙日志发出接口错误 修改数据源ip为防火墙日志发出接口ip后恢复正常 无影响