应用场景

日志审计（原生版）已经采集到日志，但未触发对应告警。

前提准备

进入日志审计（原生版）平台。

告警服务逻辑

告警涉及服务：esinsert、alarmMgr、event_analysvr。

告警涉及流程：

event_ana（告警解析）：通过kafka接收logp解析的日志，根据告警规则解析该日志是否符合告警条件，符合条件则将该告警信息转发给alarm。

alarm：通过kafka接收event_ana的告警信息，并触发告警，产生告警。

esinsert（录入elasticsearch）将产生的告警录入elasticsearch。

查看程序

点击“系统配置”>“系统运维”,在服务管理中，查看相关服务状态，出现异常时，点击重启程序，过1min，刷新页面，查看服务状态是否正常。

查看程序日志

点击“系统配置”>“系统运维”,在服务管理中，点击导出日志，可导出服务日志。将esinsert、alarmMgr、event_analysvr等服务日志按流程步骤依次查看是否有异常信息。

中间件故障

各程序报告日志出现如下报错：Broker transport failure: 127.0.0.1:9092/0: Connect to ipv4#127.0.0.1:9092 failed。

日志分析，9092为kafka服务端口，该提示为kafka出现异常。

eventana服务故障

例如下打印：src/LogDispatcher.cpp:45"recevice log event count = 9412"。

日志分析，出现count表示有正常接收到解析后的日志，若没有该打印日志，确定对应日志是否采集到日志审计（原生版）平台。可通过“事件分析”>“日志检索”中查询。