|
|
EventLog Analyzer -
故障排除
|
|
如果在这里不包含您所遇到的问题,请联系我们的支持团队获取帮助。
|
常规
我在那里可以找到需要发送给EventLog Analyzer支持团队的日志文件呢?
EventLog Analyzer的日志文件位于<EventLogAnalyzer_Home>/server/default/log目录下,当您的EventLog Analyzer运行出现问题时,您需要将此目录下的serverout.txt文件发送给EventLog Analyzer获取支持。
我发现EventLog Analyzer一直崩溃或突然停止收集日志,这是为什么?
EventLog Analyzer内建的MySQL数据库可能会因为其他进程访问EventLog Analyzer的安装目录而崩溃,请将ManageEngine安装目录从以下操作中排除:
- 防病毒扫描
- 自动备份软件
- VMware虚拟机的快照保存路径
请确保当产品在虚拟机中运行时,虚拟机不存在任何的快照。
如果我不能在Web客户端创建SIF(支持信息文件),那么我需要怎么做呢?
SIF可以帮助我们快速分析您遇到的问题并提出一个解决方案,如果您不能从客户端创建SIF,您可以压缩C:\ManageEngine\Eventlog\server\default\log(默认的日志保存路径)下的所有日志文件
当事件源的信息文件无效时,怎么注册dll?
要注册dll,请参阅此链接中的相关表述:http://ss64.com/nt/regsvr32.html
安装
EventLog Analyzer在安装时显示需要有效的许可文件消息
这个消息可能在以下两种情况下出现:
情况1:您的系统日期与当前的日期不符,在这种情况下,请卸载EventLog Analyzer,重新设置系统日期为当前的日期和时间,然后重新安装EventLog Analyzer。
情况2:您可能提供了一个不正确或过期的许可文件,请验证您应用的许可文件是否从ZOHO公司获得。
如果以上情况不符合您遇到的情形,请联系我们的支持团队support.list@zohocorp.com.cn,以获取支持。
不能将EventLog Analyzer服务器绑定到指定的接口
要将EventLog Analyzer服务器绑定到指定的接口,请参阅以下的步骤:
Eventlog Analyzer作为应用运行:
- 打开runSEC.bat/sh文件。
- 在%*或 $*之前的任意位置,添加参数: bin\SysEvtCol.exe -loglevel 3 -port 513 514 %*
-bindip <EventLog Analyzer要绑定到的接口的IP地址>
示例:
bin\SysEvtCol.exe -loglevel 3 -bindip 192.168.111.153 -port 513 514 %*
Eventlog Analyzer作为服务运行:
- 停止Eventlog Analyzer服务。
- 打开<Eventlog Analyzer Home>\bin目录下的startDB.bat文件,在mysqld启动命令(以@start开始)中添加--bind-address=<ip-address>项。
- 打开<Eventlog Analyzer Home>\bin目录下的stopDB.bat文件,将-h <ip-address>添加到命令参数,保存文件。
在修改完之后,命令行如下:
set commandArgs=-P %PORT% -u %USER_NAME% -h <ip-address>
- 打开<Eventlog Analyzer Home>\server\default\conf目录下的wrapper.conf文件,并执行以下操作:
取消注释第二应用参数“wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar”。
添加以下新的应用参数
wrapper.app.parameter.3=-c default
wrapper.app.parameter.4=-b <ip-address>
wrapper.app.parameter.5=-Dspecific.bind.address=<ip-address>
保存文件。
说明: 可通过移除.conf文件中的#标记执行取消注释操作。
- 打开<Eventlog Analyzer Home>\server\default\deploy目录下的mysql-ds.xml文件,替换connection-url标签下的localhost,将其修改为您要绑定的IP地址,并保存文件。
- 启动Eventlog Analyzer服务。
- 在命令提示符中执行netstat -ano来验证设置。
启动与关闭
Windows机器上与MySQL相关的错误
可能的原因: 机器上已经运行了一个MySQL实例
解决方案:关掉所有MySQL实例,然后再启动EventLog Analyzer服务器。
可能的原因: 端口33335被占用
解决方案: 关掉占用33335端口的应用,如果您能释放此端口,请修改EventLog
Analyzer使用的MySQL端口。
当尝试启动EventLog Analyzer服务器时,显示“EventLog Analyzer所需使用的端口8400端口已被其它应用占用,请释放端口并重启服务器”信息
可能的原因: EventLog Analyzer的Web服务器端口被占用
解决方案:
关掉占用8400端口的应用,执行下面的步骤:
- 停止EventLog Analyzer服务
- 打开<EventLog Analyzer Home>\server\default\conf文件夹下的wrapper.conf文件。
- 在# Java Additional Parameters部分添加以下内容:
wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true
添加之前:
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
添加之后:
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true
- 启动EventLog Analyzer服务
如果您不能释放此端口,请修改EventLog Analyzer使用的Web服务器端口。
当登录用户界面时EventLog Analyzer显示“不能绑定端口”
可能的原因:EventLog Analyzer的syslog端口被占用
解决方案:
- 使用netstat -anp -pudp,检查是否存在进程占用了syslog端口。如果存在,请尝试释放此端口。
- 如果您使用的是Linux服务器,请使用root用户启动服务器。
- 或,修改EventLog Analyzer的syslog端口,您需要确保所有的主机都会将syslog发送到新配置的syslog端口。
备份时,启动和关闭在Distributed Edition上不起作用的批处理文件
可能的原因:路径名输入错误.
解决方案:
-
下载“ Automated.zip ”并将文件“ startELAservice.bat”和“ stopELAservice.bat”解压缩到<ELA home> // bin /文件夹中。
- 根据您的要求创建Windows计划,并确保路径应为<ELA Home> // bin文件夹。
- 如果要将文件保存到其他文件夹,则需要编辑下载的文件,并提供如下所示的绝对路径:该应用程序是否安装在e:\>
- e:\ ManageEngine \ EventLog \ bin \ wrapper.exe -p .. \ server \ conf \ wrapper.conf --->停止EventLog Analyzer服务。
- e:\ ManageEngine \ EventLog \ bin \ wrapper.exe -t .. \ server \ conf \ wrapper.conf --->以启动EventLog Analyzer服务。
- 注意:仅当应用程序作为服务启动时,该脚本才有效。
EventLog Analyzer显示“无法在端口9300上启动Elasticsearch”。
可能的原因: 未禁用requiretty
解决方案:要禁用requiretty,请在etc/sudoers文件中将 requiretty修改为 requiretty!
注意:Elasticsearch对不同类型的操作使用多个线程池。在必要时创建新线程很重要。请通过在启动Elasticsearch之前将ulimit -u 4096设置为root或通过在/etc/security/limits.conf中添加 elasticsearch-nproc 4096来确保Elasticsearch用户可以创建的线程数至少为4096。
配置
当添加主机时, 验证账号动作提示RPC服务器无效错误。
可能的原因和解决方案:
可能的原因: 主机的RPC(Remote Procedure Call)端口被其它防火墙阻止访问。
解决方案: 配置防火墙,使RPC端口允许访问。
当添加主机时,验证登录动作抛出“拒绝访问”的错误。
可能的原因和解决方案:
可能的原因: 主机从EventLog Analyzer机器不可达。
解决方案: 使用Ping命令检查主机和EventLog Analyzer服务器之间的网络连接。
可能的原因: 主机的系统防火墙,且REMOTEADMIN服务器被禁用。
解决方案:
检查主机中的系统防火墙是否在运行,如果系统防火墙在运行,那么请在此系统中打开一个命令行窗口,执行以下命令:
netsh advfirewall set allprofiles settings remotemanagement enable
当在Windows Server 2003中使用WBEM测试失败时,抛出80041010错误。
可能的原因和解决方案:
可能的原因: 默认设置下,WMI组件没有安装在Windows 2003服务器上。
解决方案: 在Windows Server 2003上,默认未安装Win32_Product类包,要添加此类,请参阅下面的步骤:
-
打开添加或移除程序窗口,点击添加/移除 Windows组件。
-
在Windows组件向导窗口,选择管理和监视工具,然后点击详细信息。
-
在管理和监视工具对话框,选择WMI Windows Installer提供程序,点击确定。
-
点击下一步。
怎样在Linux操作系统中启用对象访问的记录?
可能的原因和解决方案:
可能的原因: 在Linux系统中未启用对象访问记录。
解决方案:在Linux系统中启用对象访问记录,请参阅以下步骤:
打开文件/etc/xinted.d/wu-ftpd,编辑服务器参数,如下所示:
server_args = -i -o -L
在Solaris 10中,启动和停止Syslog守护进程的命令是什么?
可能的原因和解决方案:
可能的原因: 不能在Solaris 10中启动或停止Syslog守护进程
解决方案: 在Solaris 10中停止或启动syslogd守护进程的命令为:
# svcadm disable svc:/system/system-log:default
# svcadm enable svc:/system/system-log:default
在Solaris 10中重启syslogd守护进程,并强制重读/etc/syslog.conf:
# svcadm refresh svc:/system/system-log:default
或
# svcadm -v restart svc:/system/system-log:default
使用ServiceDesk配置事件管理时,我遇到SSL连接错误。
如果EventLog Analyzer的JRE证书存储中未包含ServiceDesk服务器的HTTPS证书,则可能发生此错误。要将证书导入到EventLog Analyzer的JRE证书存储中,请按照以下步骤操作:
- 通过在浏览器引发错误(表明证书不受信任)时允许信任,将服务器的证书放置在浏览器的证书存储区中。
- 从浏览器将证书导出为二进制DER文件。
对于Firefox,您可以在“偏好设置” >“ 高级” >“ 加密” >“ 服务器”下找到它
对于IE,请选择Internet选项 > 内容 > 证书 > 个人 > 导出( 对于Chrome浏览器),设置 > 显示高级设置 > 管理证书
使用keytool实用程序将证书导入到EventLog Analyzer的JRE证书存储中。
keytool -import -alias SDP服务器 -keystore EventLog Analyzer主页 / lib / security / cacerts-文件证书路径
输入密钥库密码。请注意,默认密码为changeit。
文件完整性监控(FIM)故障排除
如果为特定文件夹启用了用户名,请尝试以下疑难解答。
注意:以下GUI用于文件夹属性中的SACL条目。
文件完整性监视(FIM)中的错误状态。
1.权限被拒绝
原因
解决方案
- 可以通过访问SSH终端来检查凭据。
- 需要具有启动,停止和重新启动审核守护程序以及将文件传输到Linux设备的特权的凭据。
2. 审核服务不可用
原因
解决方案
3. 来自SELinux的访问限制
原因
解决方案
- 可以使用 getenforce命令检查SELinux的存在。
- 在许可模式下配置SELinux。将其更改为许可模式后,导航至“管理代理” 页面,然后单击 “重新安装”以重新安装代理。
4.代理升级失败的
原因
解决方案
- 通过导航到 “管理代理”页面来手动安装代理。
- 要安装代理:
Windows设备:运行EventLogAgent.msi。
Linux设备:执行chmod +x EventLogAgent.bin, 然后运行EventLogAgent.bin。
5.代理安装失败的
原因
- 机器可能处于离线模式。
- 机器可能不存在。
- 网络路径可能无法访问。
解决方案
- 要确认该设备是否存在,可以对其执行ping操作。
- 通过导航到 “管理代理”页面来手动安装代理。
6.在不兼容平台上的代理安装
- 该代理安装在既没有Linux也没有Windows OS的主机上。
解决方案
- 支持的Linux发行版是CentOS,Debian,Fedora,openSUSE,Red Hat和Ubuntu。
- 支持大于5.2的Windows版本(Windows Server 2003)。
端口管理错误代码
以下是一些常见错误,其原因以及 解决该问题的可能解决方案。如有任何信息,请随时与我们的支持团队联系。
端口已被其他程序使用
原因:无法使用指定的端口,因为其他应用程序已使用该端口。
解决方案: 可以通过更改指定应用程序中的端口或使用新端口来解决此问题。
如果使用新端口,请确保手动或使用自动日志转发配置更改转发设备中的端口。
TLS未配置
原因:HTTPS未配置为支持TLS加密日志。
解决方案:: 将服务器配置为使用自签名证书或有效的PFX证书。
有关更多详细信息,请访问
连接设置。
未配置PFX
原因: 已配置HTTPS,但不支持证书类型。
解决方案1: 如果未使用有效的证书,建议使用SelfSignedCertificate。
要找到使用的证书类型,
打开Conf / Server.xml文件,检查连接器标签。
检查属性keystoreFile的范围。
解决方案2: 如果使用了有效的KeyStore证书,请打开CMD命令行导航到 <EventLog Analyzer home>/jre/bin执行以下命令。
keytool -importkeystore -srckeystore <证书路径> -destkeystore server.pfx -deststoretype PKCS12 -deststorepavss <密码> -srcalias tomcat -destalias tomcat
有关更多详细信息,请访问 连接设置。
外部错误
原因: 未知的外部问题。
解决方案: 请联系 EventLog Analyzer技术支持
事件源文件的配置会引发“无法发现文件”错误。
可能的补救措施包括:
- 检查机器的凭证。
- 检查设备的连接性。
- 确保未禁用远程注册表服务。
- 用户应具有管理员权限。
- 不能删除打开键和带有子键的键。
日志收集和报表
我已经添加了一台主机,但是EventLog Analyzer不能收集它的事件日志。
可能的原因:主机从EventLog Analyzer机器不可达。
解决方案:使用Ping命令检查主机是否响应,如果无响应,那么表示主机不可达。要收集事件日志,主机必须对EventLog Analyzer服务器可达。
可能的原因:您在主机上没有管理权限。
解决方案: 编辑主机明细,输入主机的管理员登录凭证,点击验证登录,检查是否登录是否成功。
当我点击登录时,出现禁止访问错误,但是我已经给出了正确验证信息。
可能的原因: 可能出现其它的原因导致访问被拒。
解决方案: 请参考下表中的错误代码、错误原因及解决方案。
| 错误编码 |
原因 |
解决方案 |
| 0x80070005 |
Windows工作站扫描失败可以归于以下几个原因: |
| 用于扫描的登录用户名和密码无效。 |
检查用户名或密码是否正确。 |
| 在远端工作站远程DCOM选项被禁止。 |
在远程工作站检查远程DCOM是否启用。如果禁止,则使用下面的方法启用:
- 选择开始 >运行
- 打开
dcomcnfg并点击确定
- 选择默认属性标签
- 选择在这台主机启动分布式COM复选框
- 点击确定
在Windows XP主机启动DCOM:
- 选择 开始 >运行
- 打开
dcomcnfg并点击确定
- 在服务组件>计算机>我的电脑
- 右击选择属性
- 选择默认属性标签
- 选择在这主机上启动分布式COM复选框
- 点击确定
|
| 远程主机上用户账号无效 |
通过执行下面命令在远程主机上检查用户账号是否有效:
net use \\<RemoteComputerName>\C$ /u:<DomainName\UserName>
"<password>"
net use \\<RemoteComputerName>\ADMIN$ /u:<DomainName\UserName>
"<password>"
如果这使用这些命令之后仍然有错误,那么可能是在目的主机上提供的是用户账号和密码有误。
|
| 0x80041003 |
用户没有扫描操作的访问权限。可能用户并不属于这台主机的管理员组。 |
添加用户到管理组或者使用管理员(拥有更高权限)的账号。 |
| 0x800706ba |
在远端主机上开启了防火墙。像这样的异常一般发生在Windows
XP(sp2)系统上,因为此系统的防火墙默认是开启的。 |
- 禁用默认防火墙在Windows XP主机上:
- 选择 开始 > 运行
- 打开
Firewall.cpl并点击确定
- 在常规标签,点击禁用
- 点击确定
- 如果防火墙不能禁用,使用管理员账号远程登录主机执行下面命令:
netsh firewall set service RemoteAdmin
描述结束之后,执行下面命令,您可以禁用管理员远程访问:
netsh firewall set service RemoteAdmin disable
|
| 0x80040154 |
- 远程Windows工作站WMI无效,这在Windows NT上可能发生。如果WMI组件没有正确注册,这种错误也可发生在高版本的Windows系统上。
- 没有注册WMI组件
|
- 在远端工作上安装WMI核心组件。您可以从
Microsoft 网站上下载得到。
- 在命令窗口,执行下面命令注册WMI DLL文件:
winmgmt /RegServer
|
| 0x80080005 |
这可能是运行WMI服务(winmgmt.exe)的主机内部错误。主机上的的WMI仓库最后更新失败。 |
在远程工作站上重启WMI 服务:
- 选择 开始 > 运行
- 打开 Services.msc 并点击 确定
- Windows服务窗口将会打开, 选择 Windows Management
Instrumentation 服务。
- 右击并选择重启
|
| 更多错误代码信息,请参阅
MSDN知识库 |
我已经添加并启用了一个自定义告警配置文件,但是在主机事件出现后,EventLog Analyzer没有生成对应的告警信息。
可能的原因: 告警条件可能没有正确定义
解决方案:请确保告警配置文件中所需的字段定义正确,检查邮件地址和邮件服务器是否配置正确。
当我创建了一个自定义报表后,并没有获得在信息过滤器中设置的报表信息。
可能的原因: 信息过滤条件未正确定义
解决方案:当您在信息过滤中输入条件来匹配日志消息时,确保您复制/输入的字段是Windows事件查看器中看到的字段。
例如:Logon Name:John
EventLog Analyzer的MS SQL数据库服务器宕机 可能的原因: MS SQL的事务日志可能已满。
解决方案: 如果EventLog Analyzer MS SQL数据库事务日志已满,请执行以下的步骤:
- 停止Eventlog Analyzer服务器/服务(在Eventlog
Analyzer服务器机器的任务管理器上确认,进程SysEvtCol.exe和Java.exe没有运行)
- 连接MS
SQL客户端(使用Microsoft SQL Server Management Studio),并执行以下查询:
sp_dboption 'eventlog', 'trunc. log on chkpt.', 'true'
-
执行完以上命令后,选择以下命令,并执行:
DBCC SHRINKDATABASE (eventlog)
注意:基于EventLog
Analyzer数据库的大小这个过程可能会需要一些时间,请耐心等待。
- 启动Eventlog
Analyzer
我成功配置了Oracle主机,但是却得不到对应的数据
如果Oracle主机是Windows操作系统,请在那台机器上打开事件查看器,在应用类型下查看Oracle源日志,如果是Linux,请检查相应的Oracle日志的文件。如果执行的文件中有Oracle日志,但是ELA仍然无法收集到日志数据,请联系我们的支持团队。
Syslog主机未自动添加到EventLog Analyzer / Syslog接收突然停止
检查EventLog Analyzer的实时Syslog Viewer中 是否有传入的Syslog数据包。
如果您能够查看日志,则意味着数据包正在到达计算机,但无法到达EventLog Analyzer。您需要检查Windows防火墙或Linux IP表。
如果您无法在Syslog查看器中查看日志,请检查EventLog Analyzer服务器是否可访问。可以通过以下方式完成此操作:
1. 对服务器执行ping操作。
2. 对于TCP,您可以尝试使用命令 telnet <ELA服务器名称> <端口号> 其中514是默认TCP端口
3. tcpdump
tcpdump -n dst <ELA服务器名称> and dst port <端口号>
如果可以访问,则表示配置存在问题。如果无法访问,则您面临网络问题。
EventLog Analyzer代理管理
如果使用EventLog Analyzer控制台,GPO或软件安装工具安装代理时遇到问题,则可以尝试手动安装代理。
性能
要进行故障排除,请按照以下步骤操作:
- 检查其他应用程序是否阻塞了EventLog Analyzer的CPU周期。
- 如果使用虚拟机,请检查是否有过度配置或快照是否影响性能。
- 如果日志流量很高,请查看我们的 调整指南。.
将STIX / TAXII服务器添加到EventLog Analyzer时的错误消息
在线演示已禁用此功能!
当您尝试使用的功能在EventLog Analyzer的在线演示版本中不可用时,会弹出此错误消息。要试用该功能,请下载EventLog Analyzer的免费版本。
连接失败。请尝试配置代理服务器。
可能由于不同的原因导致此错误消息。这可能是由于网络问题,与代理相关的问题,网络中的错误请求,或者URL无法找到STIX / TAXII服务器。
无法连接到URL。
此错误消息表示输入的URL格式错误。
授权失败。
此错误消息表示输入的凭据错误。
SSL故障排除步骤
证书名称不匹配
描述:
当SSL证书的公用名与安装EventLog Analyzer的服务器的主机名不完全匹配时,将发生此错误。
解决方案:
请获取安装了EventLog Analyzer的服务器的当前主机名的新SSL证书。
无效的证书
描述:
当您使用EventLog Analyzer配置的SSL证书无效时,会发生此错误。如果证书已过期或其他原因,则可能无效。
解决方案:
请配置EvnetLog分析器以使用有效的SSL证书。
短信设置
对SMS服务器设置中的SSLHandshakeException进行故障排除。
描述:
在EventLog Analyzer中使用SSL配置SMTP邮件服务器或Web服务器时,会发生此异常,并且该服务器使用自签名证书。除非明确导入,否则EventLog Analyzer中使用的Java运行时环境将不信任自签名证书。
解决方案:
您需要在EventLog Analyzer使用的JRE包中导入服务器使用的自签名证书。请按照以下步骤操作:
步骤1: 下载证书
对于SMTP服务器:
注意:
openssl.exe s_client -connect SMTPServer: Portno -starttls smtp > certificatename.cer
对于Web服务器:
-
在浏览器中打开Web URL。
-
单击地址栏上的挂锁图标。
-
单击更多信息。这将打开“证书查看器”窗口,显示该Web服务器使用的证书。
-
单击查看证书。
-
当显示证书信息授权机构的证书窗口打开时,单击详细信息选项卡。
-
单击复制到文件。
-
在打开的“证书导出向导”中,单击“下一步”。
-
选择格式为DRE编码的二进制X.509(.CER),然后单击“下一步”。
-
输入您想要保存文件的路径,然后单击“完成”。
步骤2:将证书导入EventLog Analyzer的JRE包中。
威胁情报疑难解答提示
IP地理位置数据存储损坏
当产品正在更新而数据存储又没有可用备份时,关闭产品可能会发生这种情况。
故障排除步骤:
IP地理位置数据更新失败
当EventLog Analyzer服务器上没有Internet连接或服务器不可访问时,会发生这种情况。
故障排除步骤:
|
