H3CSecCenterCSAP-SA-AK系列综合日志审计系统

H3C SecCenter CSAP-SA-AK系列综合日志审计系统
用户FAQ
Copyright © 2019 新华三技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

目录
1硬件类FAQ (1)
1.1 硬件简介 (1)
2售前FAQ (2)
2.1 什么是综合日志审计？ (2)
2.2 为什么各类IT设备自身都有审计日志，还需要我们的什么产品？ (2)
2.3 综合日志审计平台能做什么？ (2)
3售后FAQ (2)
3.1 日志采集范围： (2)
3.2 端口可达的情况下，SSH远程连接失败？ (3)
3.3 Web页面无法访问 (3)
3.4 Windows Agent安装失败 (3)
3.5 Windows Agent配置无法保存 (4)
3.6 Windows日志源无日志 (4)
3.7 Syslog日志源无日志 (4)
3.8 日志查询显示other和未知事件 (4)
3.9 日志查询收集的日志之前可以解析，突然出现不能解析的情况 (5)
3.10 网卡模块 (5)
3.11 Windows XP和Winserver 2003系统安装完Agent后，系统日志采集列表处显示空白或显示不全 (5)
3.12 设备关机重启 (6)
3.13 设备WMI采集不到日志 (6)
3.14 设备导入授权后资产数和剩余资产数显示不变 (6)
3.15 设置了自动转存路径，但是在转存路径下无文件 (6)
3.16 告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效 (7)
3.17 设备插上或拔出插卡未初始化，导致网络>网络设置，修改设备地址功能不生效 (7)
3.18 配置完过滤规则后，过滤功能不生效 (7)
3.19 点击日志还原，日志还原功能不生效 (7)
3.20 设备已导入正式授权，再导入之前临时的授权文件，License会更新 (7)
3.21 设备同时配置主备DNS，当主DNS生效时，备DNS不生效 (8)
3.22 日志审计系统通过snmptrap接收日志，当前交换机、数据库审计等设备可以接收到日志,但日志不解
析，ACG等设备无法接收到日志 (8)
3.23 设置session会话超时时间，修改后，会自动退出到登录界面 (8)
3.24 系统内存总量、磁盘总量显示不准确，无法读出磁盘使用量 (8)
3.25 分析目录下部分图表的横坐标IP地址及应用名称显示不全 (9)
3.26 Web页面无法恢复出厂设置 (9)
3.27 通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差 (9)
3.28 设备面板口接口坏掉一个或多个，初始化后会导致接口顺序混乱 (9)
3.29 设备面板口接口坏掉一个或多个，初始化后会导致接口顺序混乱 (9)
本文档介绍H3C SecCenter CSAP-SA综合日志审计平台的用户常见问题及解答。

1 硬件类FAQ
1.1 硬件简介
表1-1硬件简介表
综合日志审计平台H3C SecCenter CSAP-SA-AK640 H3C SecCenter CSAP-SA-AK645 外形规格1U 2U
外观尺寸(长D*宽W*
高H)
430mmx360mmx44mm 1U 438mmx470mmx88mm 2U 净重6Kg 10Kg 标配CPU 多核多线程CPU 多核多线程CPU
标配内存8G 16G 标配存储2T 4T 是否支持RAID 否是/RAID1
电口6个8个
光口0 8个
管理口（电口）与业务口共用一个接口与业务口共用一个接口
HA口配置HA时，需要占用一个业务口做HA口配置HA时，需要占用一个业务口做HA
口
Console口1个1个
USB 2个2个
业务卡插槽1个2个
插卡类型4*GE电口+4*GE光口
（NSQM1IPCGT4GP4A2）
8*GE电口（NSQM1IPCGT8A2）
8*GE光口（NSQM1IPCGP8A2）
4*10GE光口（NSQM1IPCTGS4A2）
4*GE电口+4*GE光口
（NSQM1IPCGT4GP4A2）
8*GE电口（NSQM1IPCGT8A2）
8*GE光口（NSQM1IPCGP8A2）
4*10GE光口（NSQM1IPCTGS4A2）
供电方式单电源1+0发货（并支持现场升级1+1/支持冗余）
标配电源60W AC 110V-240V 50HZ-60HZ /DC
12V
350W AC 100V-240V 50HZ-60HZ
/DC -48V
功率60W 350W 电压AC 110-240V / DC 12V AC 100V-240V /DC -48V
工作温度0℃-40℃ (存储温度:-20℃-75℃) 0℃-40℃ (存储温度:-20℃-75℃)
工作湿度10~90%（存储湿度：0~90%） 10~90%（存储湿度：0~90%）
MTBF 62670 77863
2 售前FAQ
2.1 什么是综合日志审计？
日志审计平台的核心功能包括三方面，一是网络安全事件的收集与分析，发现疑似攻击或违规访问时可告警并响应；二是根据历史数据进行安全审计，生成审计报表，满足合规要求；三是对收集和分析的网络安全事件进行备份归档。

2.2 为什么各类IT设备自身都有审计日志，还需要我们的什么产品？
•各类IT设备自身日志格式杂乱，形式不统一，且各自分散，无法进行集中有效的统一管理；
借助日志审计平台对各种IT设备和信息系统的日志的收集，标准化和统一存储和管理。

•只能对单一事件进行告警；借助日志审计平台提供事件交叉关联分析与优先严重性分析，对各种日志进行实时审计分析，发现违规行为，并能进行各设备之间的关联告警响应。

•在出现安全事件时，各类IT设备自身记录的日志属于删除的重点对象；
•满足各种规范符合性要求的需要。

2.3 综合日志审计平台能做什么？
就目前的产品我们能实现以下内容：
•满足日志审计的迫切需求，实现对各种IT设备和信息系统的日志的收集，标准化和统一存储和管理；
•提供集中化监控、告警、分析及报表管理功能；
•提供事件交叉关联分析与优先严重性分析，将未处理过的大量数据转换成有用的信息，对各种日志进行实时审计分析，发现违规行为，并能进行告警响应；
•对审计信息进行统计分析，提供日志审计报告报表，多角度对网络系统的安全状况进行审计；
•帮助管理者及时掌握全网的安全态势，总体把控网络安全事件的发展动态；
•满足各种规范符合性要求的需要。

3 售后FAQ
3.1 日志采集范围：
1.增加资产配置后需3-5分钟解析才能生效
2. agent支持安装在Windows server2003 ，Windows server2008， Windows server2012等操作
系统上
3.JDBC支持的采集数据库类型有：
MySQL支持版本5.1、5.5、5.7、8
Oracle支持版本11G、10G
SQL server支持版本2005、2008
BD2支持版本11.1、9.5
4.Linux操作系统通过配置syslog采集系统日志
5.资产处统计日志数量有延时
6.端口开放说明：
TCP 80：升级服务端口
TCP 443：Web管理端口
TCP 3000：ping、日志监测业务功能端口
TCP 3042：用于显示升级时实时进度
TCP 5145：agent采集日志的接收端口
TCP 60000：SSH端口
UDP 161：SNMP服务，用于网络监控类系统监控日志审计系统的端口
UDP 162：通过SNMP Trap方式发送日志的接收端口
UDP 514：通过Syslog协议发送日志的接收端口
3.2 端口可达的情况下，SSH远程连接失败？
问题描述：远程连接日志审计后台控制端时，连接失败。

排查方法：
•使用Console连接线或显示器、键盘，连接日志审计平台。

•检查磁盘空间是否已满。

3.3 Web页面无法访问
问题描述：正确输入日志审计平台访问地址，Web页面无法访问。

排查方法：
•检查是否系统是否正常加电开机。

•检查网络连线是否正常。

•正常开机需5-10分钟，请等待。

•通过Telnet检查443端口是否正常通讯。

•检查网络路由过程中是否有影响该IP和端口的安全策略。

3.4 Windows Agent安装失败
问题描述：在Windows Agent服务设置，点击“安装”时提示“服务安装失败”。

排查方法：
•检查是否以管理员身份运行进行安装，agent程序的目录建议解压至磁盘根目录，不要在包含中文或特殊字符的目录下运行。

•检查本机是否有加固类或杀毒类软件，完全退出或将Agent程序加入白名单。

3.5 Windows Agent配置无法保存
问题描述：Windows Agent点击保存时，提示“不能访问采集器，请确认地址是否正确！”
排查方法：
•检查【网络】-【组件状态】中“日志解析服务”是否正常。

•如刚开机或添加过资产，会造成采集服务重启，请等待15分钟左右，继续操作。

•如长时间无法进行Windows Agent配置，请记录现象，反馈问题。

3.6 Windows日志源无日志
问题描述：Windows Agent日志功能开启后，[审计]-[日志查询]中无日志。

排查方法：
•检查是否配置并开启相应日志过滤规则。

•Telnet测试日志源到日志审计平台TCP5145是否可达。

•检查日志源服务器任务管理器进程中是否包含系统日志采集的winlogbeat.exe或流量采集的packetbeat.exe或文件采集的filebeat.exe进程。

无对应的进程，请重新按照操作文档安装
Windows Agent。

•记录现象，反馈问题。

3.7 Syslog日志源无日志
问题描述：配置并开启日志源Syslog日志外发功能后，`[审计]-[日志查询]`中无日志。

•检查是否配置并开启相应日志过滤规则。

•使用`[系统]-[日志监测]`监测日志审计平台是否收到数据包。

收到数据包，无日志，则记录现象，反馈问题；未收到则按以下步骤排查。

•无新日志问题：检查是否有新的活动日志，检查方法为模拟不影响业务的操作触发新日志•配置问题：咨询并检查是否正确配置日志外发。

•网络问题：检查网络接入、防火墙安全策略等网络连接和配置问题。

3.8 日志查询显示other和未知事件
问题描述：在日志查询页面中，对日志进行查询，所有字段显示other和未知事件。

排查方法：
•检查是否在资产列表中选择对应资产类型。

•检查解析列表中是否包含该资产类型解析规则。

•新添加的资产，需要加载解析规则，大约3到5分钟（具体时间根据解析规则条数决定），解析规则才会生效。

3.9 日志查询收集的日志之前可以解析，突然出现不能解析的情况
问题描述：在审计->日志查询页面中，之前可以解析的日志突然无法解析，事件类型变为其他事件。

排查方法：
•在资产->资产列表页面可以查询到该资产信息。

•添加、修改资产，配置过滤规则，配置对外转发功能，会重新加载解析规则，导致一段时间段日志不解析，请等待5-15分钟后（具体时间根据解析规则条数决定），日志会解析。

•若仍未解析，收集收集原始日志以及日志手册，反馈给技术人员做适配。

3.10 网卡模块
问题描述： 1、增加网络模块（插卡）后，系统没有正常识别。

2、修改接口信息后，管理口地址无法访问。

操作方法：
•添加网络模块。

•在网络设置页面，点击右上角“初始化网卡”按钮。

•在系统完成两次重启之后，通过GE0/0网口访问管理页面。

•修改接口地址,DNS等信息后，会重启网卡配置文件，会导致管理口地址短暂（1分钟左右）无法访问，配置文件重启完成后，管理口地址即可访问。

每次对网卡模块进行变更，都需要“初始化网卡”才能识别新网卡。

3.11 Windows XP和Winserver 2003系统安装完Agent后，系统日志采集列表处显示空白或显示不全
问题描述：Windows XP和Winserver 2003系统安装完Agent后，系统日志采集列表处显示空白或显示不全。

操作方法：
•记录Agent的系统日志采集列表中已有的选项。

•在日志审计系统的系统>插件中心，下载对应windows xp或者winserver 2003系统的agent 支持包。

•在对应windows xp或者winserver 2003系统按步骤安装下载的agent支持包。

不同操作系统，对应系统日志采集列表不同
3.12 设备关机重启
问题描述：1、设备通过直接拔掉电源线方式进行关机重启，导致设备概率性出现数据库文件损坏，web界面无法访问 2、通过web页面的关机和重启按钮概率性无法关机
操作方法：
•使用设备web界面系统>关机重启对设备进行关机或重启；也可以通过设备后面的开关键进行关机重启；不可以直接拔掉电源线，避免设备数据文件损坏。

2、若通过web页面的关机和重
启按钮无法关机，请通过设备后面的开关键进行关机重启。

3.13 设备WMI采集不到日志
问题描述：资产配置WMI后，采集不到日志
操作方法：
•查看资产配置WMI用户名密码是否配置正确。

•WMI的监控类型是否已选择对应的日志。

•资产是否已触发产生系统日志。

WMI采集用户名密码配置，暂不支持配置域帐号和密码
3.14 设备导入授权后资产数和剩余资产数显示不变
问题描述：设备导入授权文件后，资产数和剩余资产数显示不变。

操作方法：
•导入的授权文件是否包含资产扩容。

•对资产进行编辑后，再查看系统>许可信息处授权信息是否有变化。

导入授权文件，默认5分钟之后更新，或者手动编辑资产触发授权更新
3.15 设置了自动转存路径，但是在转存路径下无文件
问题描述：数据备份，设置自动转存路径，在设置的路径文件夹下没有转存文件。

操作方法：
•备份后才会触发自动转存。

•设置的转存路径不支持磁盘根目录，转存路径需要是非根目录下的文件夹。

举例：在E盘下设置ftp文件夹，在ftp文件夹下设置las文件夹，FTP服务器上设置的路径为E:\ftp\,页面上
转存路径设置为/las即可。

3.16 告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效
问题描述：告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效
操作方法：
•在使用告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效时，需要进行浏览器验证。

•具体方法，在ping工具页面或者日志监测页面点击添加验证，进行浏览器验证，验证成功后继续使用上述功能即可。

3.17 设备插上或拔出插卡未初始化，导致网络>网络设置，修改设备地址功能不生效
问题描述：设备插上或拔出插卡未初始化，导致网络>网络设置，修改设备地址功能不生效
操作方法：
•在设备网络>网络设置的右上角点击初始化网卡按钮。

•等初始化网卡设备起来之后再进行修改设备地址，功能生效。

3.18 配置完过滤规则后，过滤功能不生效
问题描述：配置完过滤规则后，过滤功能不生效。

操作方法：
•过滤规则生效前需要重新加载解析规则，加载速度与资产类型数量有关，请等待5-15分钟后，当审计->日志查询页面日志变为解析状态后，再查看日志是否被过滤。

•尽量使用设备IP地址作为过滤条件。

3.19 点击日志还原，日志还原功能不生效
问题描述：点击日志还原，日志还原功能不生效。

操作方法：
•还原之前，使用清理数据（其他），删除备份时间区间内的日志索引，在数据索引信息列表中没有要恢复的日志。

•执行还原，注意备份和还原如果数据量大，请等待状态为完成后，再观察结果。

3.20 设备已导入正式授权，再导入之前临时的授权文件，License会更新
问题描述：设备已导入正式授权，再导入之前临时的授权文件，License会更新。

操作方法：
•设备有正式授权的时候点击系统>许可信息>授权信息>，点击“导出授权”按钮将正式授权文件进行备份。

•当设备已导入临时授权文件，授权许可信息会更新为临时授权。

•可将之前备份的正式授权文件重新导入，设备会又更新成正式授权。

3.21 设备同时配置主备DNS，当主DNS生效时，备DNS不生效
问题描述：设备同时配置主备DNS，当主DNS生效时，备DNS不生效。

操作方法：
•设备在网络>网络设置，仅配置主DNS或主DNS不设置或不可用时，设置备DNS。

•在系统>ping工具，ping DNS服务器中对应的域名，可以ping通。

3.22 日志审计系统通过snmptrap接收日志，当前交换机、数据库审计等设备可以接收到日志,但日志不解析，ACG等设备无法接收到日志
问题描述：日志审计系统通过snmptrap接收日志，当前交换机、数据库审计等设备可以接收到日志,但日志不解析，ACG等设备无法接收到日志。

操作方法：
•由于设备种类较多，需要对不同产品适配。

•如遇到不能通过SNMPtrap收集的设备，请反馈给研发查看原因。

3.23 设置session会话超时时间，修改后，会自动退出到登录界面
问题描述：设置session会话超时时间，修改后，会自动退出到登录界面。

操作方法：
•修改session时间后，系统会退出登录，重新输入用户名密码登录。

3.24 系统内存总量、磁盘总量显示不准确，无法读出磁盘使用量
问题描述：系统内存总量、磁盘总量显示不准确，无法读出磁盘使用量。

操作方法：
•计算系统磁盘使用量，在页面右上角点击，进入磁盘监控页面，AK640设备/dev/sda3目录为日志存储路径，柱状图的百分比代表已使用磁盘容量，磁盘总容量为1.8T，总容量乘以
使用率为目前使用的磁盘大小。

•计算系统磁盘使用量，在页面右上角点击，进入磁盘监控页面，AK645设备/dev/md126目录为日志存储路径，柱状图的百分比代表已使用磁盘容量，磁盘总容量为1.8T，总容量乘
以使用率为目前使用的磁盘大小。

3.25 分析目录下部分图表的横坐标IP地址及应用名称显示不全
问题描述：分析中部分图表的IP地址显示不全，隔一个柱子显示一个IP，应用名称显示存在同样的问题。

操作方法：
•由于页面排版，横坐标显示不下所有IP地址及名称，当出现不显示的柱状图，请将鼠标放到柱状图上，能显示出此柱状图的IP。

3.26 Web页面无法恢复出厂设置
问题描述：web页面无法恢复出厂设置。

操作方法：
•使用串口或者SSH登录后台，详细方法见WEB配置指导，登录成功后使用sys init进行初始化，初始化后，网卡信息不会初始化，其余配置恢复出厂设置。

3.27 通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差
问题描述：通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差
操作方法：
•由于IMC等平台取的是10分钟内cpu和内存的值，而日志审计平台记录的是实时cpu和内存值，所以结果会存在偏差，建议如果查看实时cpu和内存的值可登陆页面查看，观察cpu
和内存的值的趋势，可以通过网关软件监控查看。

3.28 设备面板口接口坏掉一个或多个，初始化后会导致接口顺序混乱
问题描述：设备出现一个或多个接口无法识别出来的硬件故障时，使用初始化网卡后会导致接口排序混乱，无法访问管理地址等问题
操作方法：
•当发现接口硬件故障时，请不要初始化网卡，可以继续使用没有故障的硬件接口，所以出现硬件故障不能加扩展卡，因为新加入扩展卡需要进行初始化网卡配置；
•若使用了初始化网卡命令会导致接口顺序混乱，web页面与设备面板标注不对应，需要多次尝试找到新的排布顺序；
•建议出现硬件故障及时更换。

3.29 设备面板口接口坏掉一个或多个，初始化后会导致接口顺序混乱
问题描述：设备出现一个或多个接口无法识别出来的硬件故障时，使用初始化网卡后会导致接口排序混乱，无法访问管理地址等问题
操作方法：
•当发现接口硬件故障时，请不要初始化网卡，可以继续使用没有故障的硬件接口，所以出现硬件故障不能加扩展卡，因为新加入扩展卡需要进行初始化网卡配置；
•若使用了初始化网卡命令会导致接口顺序混乱，web页面与设备面板标注不对应，需要多次尝试找到新的排布顺序；
•建议出现硬件故障及时更换。