应用场景

有产生日志，但日志审计（原生版）平台未看到该日志，如何定位问题。

前提准备

通过控制台进入日志审计（原生版）实例。

日志采集涉及服务逻辑

日志采集涉及服务：log_c、logp、coresvr、esinset。

日志采集涉及流程：

Log_c（日志采集）接收日志并通过kafka将接收的日志转发log_p。

Log_p（日志解析分类）接收log_c转发的原始日志根据解析规则等进行解析，并通过kafka将解析后的日志发送给esinsert。

Esinsert（录入elasticsearch）将解析后的日志录入elasticsearch。

Coresvr（页面更新程序）将页面下发的规则等变更，通过kafka下发给对应的服务。

查看程序

点击“系统配置”>“系统运维”,在服务管理中，点击导出日志，可导出服务日志。将log_c、logp、coresvr、esinsert等服务日志按流程步骤依次查看是否有异常信息。

查看程序日志

点击“系统配置”>“系统运维”,在服务管理中，点击导出日志，可导出服务日志。将log_c、logp、coresvr、esinsert等服务日志按流程步骤依次查看是否有异常信息。

Logc的服务日志报错

Logc的服务日志出现如下报错：2023-07-26 10:10:27 src/LogMgr.cpp:694 "handle log but can not find asset by ip 192.168.121.35"

日志分析：平台页面未存在ip为192.168.121.35的资产。点击菜单“资产”>"资产管理"，在查询栏查询资产ip为192.168.121.35，若未查询到该资产，则新增一条。新增后，再次查看logc日志。

                  

                    
注意
                    
新增的资产，采集方式、资产类型、资产ip都要按实际情况填写。


                    
                  
                  

中间件故障

各程序报告日志出现如下报错：

Broker transport failure: 127.0.0.1:9092/0: Connect to ipv4#127.0.0.1:9092 failed。

日志分析：9092为kafka服务端口，该提示为kafka出现异常。