H3C SecPath ACG1000 BA用户行为感知平台 故障处理手册(E6401)-5W101

手册下载

H3C SecPath ACG1000 BA用户行为感知平台

故障处理手册

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2020新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 



1 用户行为感知平台故障处理

1.1  安装程序无法正常进行

1.1.1  故障描述

安装程序中断,无法正常进行。

1.1.2  故障处理步骤

(1)     查看安装包的名称,后缀是否正确,如不正确,请更换安装包;

(2)     比对安装包的MD5值,以确认安装软件的完整性,如不正确,请更换安装包。

(3)     重新下载安装程序并安装,查看是否正常安装,如不能正常安装,请查看其它问题处理建议。

 

说明

版本SecPathACG1000BA-IMW110-E6401.tar.gzMD5信息如下:

MD5: 42CABA118B1950F69D09F869EF6E3E01

SHA1: ED63E7BBBBD34EA6DDE6FC5137E886E80D884E3B

CRC32: D7958602

1.2  卸载程序无法正常进行

1.2.1  故障描述

运行卸载用户行为感知平台程序时,卸载MySQL服务卡顿。

1.2.2  故障处理步骤

出现该问题的主要原因是用户修改了行为感知平台服务器的时间,造成卸载MySQL不成功。

(1)     查看MySQL服务的进程ID: ps -e|grep mysql

(2)     删除进程命令:kill -9 (进程ID)

(3)     重新执行卸载命令。

1.3  安装后服务不能启动

1.3.1  故障描述

安装结束后,服务无法启动,重启服务器也不能启动服务。

1.3.2  故障处理步骤

(1)     查看硬件配置是否符合要求,如不符合,建议更换硬件。硬件要求如下。

表1-1 用户行为感知平台服务器配置要求

授权人数

CPU

内存

硬盘

1000

2*2CPU

4G内存

500G

5000

2*2CPU

8G内存

1TB

10000

2*2CPU

16G内存

2TB

30000

8CPU

32G内存

2*2TB

30000+

8+CPU

64G内存

4*2TB

 

(2)     检查是否有安装其它的软件造成服务或者端口冲突,用户行为感知平台的端口占用情况如下。

表1-2 服务端口

服务名称

占用端口

备注

SSH登录设备使用端口

22

-

https页面登录服务默认端口

443

Web server服务。

Web服务

80

Web服务端口

FTP服务请求/相应端口

20/21

-

FTP数据连接

30000-50000

-

 

1.4  产品激活失败故障定位

1.4.1  故障描述

产品激活失败。

1.4.2  故障处理步骤

(1)     查看网络连接是否正常。

(2)     看激活码的正确性,确保激活码是从官网或者正规渠道获得的与系统SN唯一对应的正确的格式和内容。

1.5  用户行为感知平台无法接收到日志

1.5.1  故障描述

正确安装用户行为感知平台后,仍然无法接收到设备端发过来的日志。

1.5.2  故障处理步骤

(1)     检查设备端到用户行为感知平台的网络是否可以正常连接,可以通过ping命令检查。如网络不通,请先排查网络问题。

(2)     检查设备上是否配置了BA服务器地址,同步策略及密钥是否正确。

(3)     设备端是每隔十分钟往BA平台同步一次日志,查看是否时间未到。

(4)     设备端是否产生了审计日志

1.6  日志中心有日志的条目数,但无具体日志内容展示

1.6.1  故障描述

设备端配置正确,一直有审计日志产生,BA平台的日志中心有日志的条目数,但无内容展示。

1.6.2  故障处理步骤

(1)     检查设备端的时间、用户行为感知平台服务器的时间时区、以及客户端的时间时区是否一致。

(2)     设备端查看时间:登录设备后,在导航栏选择“系统管理 > 时间设定”查看。

(3)     BA平台服务器时间时区查看:timedatectl status

(4)     客户端Windows的时区,一般是UTC+08:00

1.7  应用模块无数据展示常见问题定位方法

1.7.1  故障描述

日志中心有对应的命中事件挖掘的关键字日志,为什么事件挖掘模块没有分析数据?

1.7.2  故障处理步骤

从以下几个方面排查:

(1)     安装BA服务器的过程中一定要配置时间,确保ACG的时间和BA服务器时间一致。

(2)     查看系统管理首页的同步信息,最近一次同步时间,如果已经同步过来之后,再到日志中心查看日志。

(3)     查看日志中心是否有匹配关键字的日志。

(4)     新建自定义事件,如果选择时间是“从当前服务器时间开始分析数据”,新产生的日志需在2个小时后进行分析:(不统计2小时内的,为了减少因为设备时间不一致导致的统计信息不准确,如果某个时段已经分析过了,设备再上传该时段的日志,就不会再进行分析了)。

1.8  系统文件升级常见问题定位方法

1.8.1  系统文件无法正常升级

(1)     首先检查网络连通性,确定网络线路正常,按照拓扑互联,ping设备管理IP地址可以连通。

(2)     检查升级文件是否正确,版本文件必须以.tar.gz为后缀名。确保版本文件是从官网或者正规渠道获得的正确的升级文件。

(3)     确定升级过程中,网络连通正常,设备状态为在线状态。

1.8.2  其它问题

其它问题如网线等物理层问题导致升级失败的请注意检查,如有其它问题请联系设备售后人员或咨询售后服务电话。

1.9  磁盘预警不能发送到邮箱

1.9.1  故障描述

磁盘预警邮件没有发送至指定的邮箱。

1.9.2  故障处理步骤

(1)     检查设置邮箱服务器是否正确。

(2)     邮件默认端口是SSL端口,需要确认邮件服务器开启了SSL

(3)     检查发送邮件地址密码是否正确。

(4)     发送邮箱收件箱已满。

1.9.3  常用功能

设置邮箱服务器“系统设置 > 系统选项”。

1.10  虚拟机环境下服务异常

1.10.1  故障描述

虚拟机环境下服务异常。

1.10.2  故障处理步骤

(1)     首选确认虚拟机类型,目前仅支持VMware以及VSphere两种虚拟环境。

(2)     查看虚拟机的资源配置是否满足最低配置要求。

1.11  系统管理员密码丢失

1.11.1  故障描述

用户忘记系统管理员账号admin的密码,无法登录。如果尝试登录失败,超过十次之后账户将被锁定15分钟。

 

1.11.2  故障处理步骤

(1)     请联系售后人员进行密码重置。

(2)     密码重置后,使用默认密码admin登录。

1.12  数据备份及导入的方法

用户行为感知平台页面目前没有备份和导入数据的功能,因此请及时对数据库做好备份。如果系统出现崩溃无法登录,管理员可以从后台导出日志文件,再把导出的日志文件导入到新的服务器。

(1)     通过后台ssh 登录服务器,用户名为root,密码为安装centos操作系统时设置的密码。

(2)     例如:导出的文件名为”test_webaccess.csv”,命令如下:

clickhouse-client  -q 'select * from log_webaccess  format CSV' >  test_webaccess.csv

[root@localhost host]#clickhouse-client  -q 'select * from log_webaccess  format CSV' >  test_webaccess.csv

[root@localhost host]#ls

Anaconda-ks.cfg guidian_app_usage1114.csv guidian_app_usage1115.csv loan_app.csv original-ks.cfg test_webaccess.csv

如果日志量比较大,可以按时间范围或日志类别导出,按时间范围命令如下:

clickhouse-client  -q 'select * from log_app_usage where toYYYYMMDD(start_time) = 20191101 and toYYYYMMDD(end_time) = 20191101 format CSV' >  test_app_usage1101.csv

 

访问网站日志,邮件日志,社区日志,文件传输日志,即时通讯日志,娱乐股票日志,搜索引擎日志,应用流量日志和应用控制日志在数据库中的表分别是:log_webaccess,log_mail,log_bbs,log_file_transfer,log_im,log_relax_stock,log_search_engine,log_app_usage,log_app_filter

(3)     把需要导入的文件用导入到需要的服务器。以WinSCP工具为例,导入文件的命令如下:

clickhouse-client --input_format_allow_errors_num=1000000 --query="insert into log_webaccess format CSV" < ./test_webaccess.csv

 

(4)     如果需要对事件挖掘、网贷分析模块的历史数据进行分析,需要在安装BA服务器时进行设置后,应用模块才可以对历史日志数据进行分析。

如下图所示,安装过程中,出现下面命令时,输入n ,然后回车。

Enter to confirm set event analysis module start date 2020-0403(y/n, default y, waiting for 10s):

N

Event analysis start date not modify.

(5)     目前采取的是这种手动导出导入的方式,如果日志量大,需要按时间段分批导出,已导出的文件在服务器上需要删除,以免占用磁盘空间。

 

联系我们