EventLog Analyzer - 故障排除技巧
最后更新于:
通用
-
在哪里可以找到要发送给EventLog Analyzer支持团队的日志文件?
从版本 8010 开始
日志文件位于<EventLogAnalyzer_Home>logs目录中。通常遇到问题时,系统会要求您将此目录中的serverout.txt文件发送至EventLog Analyzer支持团队。
Build 8000 及更早版本
日志文件位于<EventLogAnalyzer_Home>server/default/log目录下。通常遇到问题时,您需要将该目录中的serverout.txt文件发送给EventLog Analyzer支持团队。
-
我发现EventLog Analyzer频繁崩溃或突然停止收集日志,可能是什么原因?
若其他进程同时访问这些目录,EventLog Analyzer内置的PostgreSQL/MySQL数据库可能损坏。因此请将ManageEngine安装文件夹排除在
- 防病毒扫描
- 自动备份软件
- VMware安装环境下的快照功能
若产品在虚拟机上运行,请确保不进行快照操作。
-
当无法通过Web客户端操作时,如何创建SIF(支持信息文件)并发送给ManageEngine?
SIF文件将帮助我们分析您遇到的问题并提出解决方案。
若无法通过Web客户端界面创建SIF文件,
针对Build 8010及后续版本
可将C:/ManageEngine/Eventlog/logs(默认路径)下的'logs'文件夹内容压缩为zip文件,上传至以下FTP链接:http://bonitas.zohocorp.com/upload/index.jsp?to=eventloganalyzer-support@manageengine.com
Build 8000及更早版本
请将位于 C:/ManageEngineEventlog/server/default/log(默认路径)下的'log' 文件夹内容压缩,并将压缩文件上传至以下 FTP 链接:http://bonitas.zohocorp.com/upload/index.jsp?to=eventloganalyzer-support@manageengine.com
-
当事件源的消息文件不可用时,如何注册DLL?
注册 DLL 文件请遵循以下链接中的步骤:http://ss64.com/nt/regsvr32.html
-
如何将捆绑的postgres注册/注销为服务?
为何需注册/注销捆绑式Postgres服务?
根据您的环境,偶尔可能因Postgres数据库启动失败导致EventLog Analyzer无法启动。为避免此问题,建议先注册数据库,使其在后台持续运行,不受产品启动或关闭影响。
如何注册/注销捆绑式Postgres服务?
注册捆绑Postgres为服务:
针对Build 12440及后续版本
- 在"<EventLog Analyzer安装目录>bin"文件夹内,以管理员身份打开命令提示符窗口执行以下命令:
- 停止 EventLog Analyzer 服务/服务器,并在注册的数据库服务启动后重新启动它。
register_pgdbservice.bat "<指定要注册的数据库服务名称>"
针对 Build 12440 及更早版本
- 将 register_pgdbservice.bat 从 "<EventLog Analyzer Home\tools\postgres\bin" 复制并粘贴到 "<EventLog Analyzer Home\bin" 目录中
- 在<EventLog Analyzer Home>bin目录下的提升权限命令提示符窗口中执行以下命令:
- 停止 EventLog Analyzer 服务/服务器,并在注册的数据库服务启动后重新启动它。
register_pgdbservice.bat "<指定要注册的数据库服务名称>"
若您不再希望管理该数据库,可选择注销服务,此操作将使产品在自身启动/关闭时同步启动/关闭数据库。
取消注册捆绑的 Postgres 服务:
针对 Build 12440 及更高版本
- 在<EventLog Analyzer Home>bin目录下的提升权限命令提示符窗口中执行以下命令:
unregister_pgdbservice.bat "<指定要注销的数据库服务名称>"
针对 Build 12440 或更早版本
- 将 unregister_pgdbservice.bat 从 "<EventLog Analyzer 安装目录\tools\postgres\bin" 复制到 "<EventLog Analyzer 安装目录\bin"
- 在<EventLog Analyzer安装目录>bin目录下的提升权限命令提示符窗口中执行以下命令:
unregister_pgdbservice.bat "<指定要注销的数据库服务名称>"
安装
-
安装过程中EventLog Analyzer提示"请输入有效的ManageEngine许可文件"
此操作可能发生在两种情形下:
- 情况1:系统日期设置为未来或过去日期。此时需卸载EventLog Analyzer,将系统日期重置为当前日期时间,然后重新安装EventLog Analyzer。
- 情况2:您可能提供了错误或损坏的许可文件。请确认已应用从ZOHO公司获取的许可文件。若以上均非原因,或仍出现此错误,请联系licensing@manageengine.com
-
将事件日志分析器服务器绑定到特定接口(IP绑定)。
Build 8010 及更高版本
若需将事件日志分析器服务器绑定至特定接口,请按以下步骤操作:
若 Eventlog Analyzer 以应用程序形式运行:
- 关闭事件日志分析器
- 打开位于<EventLog Analyzer安装目录>bin文件夹下的 run.bat文件,定位至"RESTART命令块",取消注释下方RESTART命令行并替换<ip-address>为
目标绑定应用程序的IP地址,注释掉原有RESTART命令行后保存文件。
复制到剪贴板
rem%JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START% -c default -b<ip-address>
至
复制到剪贴板%JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START% -c default -b<ip-address>
复制到剪贴板%JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START%
至
复制到剪贴板rem%JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START%
- 打开位于<EventLog Analyzer Home>bin目录 下的setcommonenv.bat文件,转至"JAVA_OPTS设置命令块",取消注释以下JAVA_OPTS设置命令行
并将<ip-address>替换为应用程序需绑定的IP地址,同时注释掉原有的JAVA_OPTS设置命令。
复制到剪贴板
remset JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms128m -Xmx512m -Dspecific.bind.address=<ip-address>
至
复制到剪贴板set JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms128m -Xmx512m -Dspecific.bind.address=<ip-address>
复制到剪贴板设置 JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms256m -Xmx1024m
至
复制到剪贴板rem设置 JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms256m -Xmx1024m
- 保存文件
- 打开位于<EventLog Analyzer Home>conf目录下的database_param.conf文件,将url标签中的localdevice替换为您想要绑定应用程序的<绑定 IP 地址>,然后保存文件。
复制到剪贴板
url=jdbc:postgresql://本地设备:33336/eventlog?stringtype=unspecified
至
url=jdbc:postgresql://<绑定IP地址>:33336/eventlog?stringtype=unspecified
- 打开位于<EventLog Analyzer Home>pgsqldata目录下的 postgresql.conf文件,在CONNECTIONS AND AUTHENTICATION部分取消注释'#listen_addresses = 'localdevice''这一行,并将'localdevice'替换为应用程序需要绑定的'<绑定IP地址>',最后保存文件。
复制到剪贴板
#------------------------------------------------------------------------------
# 连接与认证
#------------------------------------------------------------------------------# - 连接设置 -
#listen_addresses = 'localdevice' # 监听的IP地址;
# 由逗号分隔的地址列表;
# 默认为'localdevice';使用'*'表示所有地址
#(修改需重启)
至
#------------------------------------------------------------------------------
# 连接与认证
#------------------------------------------------------------------------------# - 连接设置 -
监听地址 = <绑定IP地址># 监听的IP地址;
# 以逗号分隔的地址列表;
# 默认为'localdevice';使用'*'表示所有地址
#(修改需重启)
- 打开位于<EventLog Analyzer Home>pgsqldata 目录下的pg_hba.conf文件,添加以下行:
device all all <绑定IP地址(IPv4格式)>/32 trust
在以下行之后添加:
device all all 127.0.0.1/32 trust
并保存文件。
# TYPE DATABASE USER ADDRESS METHOD
# IPv4 本地连接:
设备 all 所有 127.0.0.1/32 信任
# IPv6 本地连接:
device all all ::1/128 trust
to
# 类型 数据库 用户 地址 方法
# IPv4 本地连接:
设备 all all 127.0.0.1/32 信任
设备 所有 所有 <绑定IP地址(IPv4格式)>/32 信任
# IPv6 本地连接:
设备 所有 所有 ::1/128 信任
- 重启事件日志分析器
对于以服务形式运行的事件日志分析器:
继续操作前,请停止事件日志分析器服务,并确保'SysEvtCol.exe'、'Postgres.exe'和'java.exe'均未运行。
需修改7个文件以实现IP绑定。
注意: 在编辑文件前请确保已备份文件。
假设 xxx.xxx.xxx.xxx 是您希望与 EventLog Analyzer 绑定的 IP 地址。
文件 1)
<ELA home>\bin\setCommonEnv.bat
- 查找以下行:set JAVA_OPTS=-Djava.library.path=..\lib;..\lib\native -Duser.country=US -Duser.language=en -Xms256m -Xmx1024m
- 在末尾添加 -Dspecific.bind.address= xxx.xxx.xxx.xxx至该行末尾。修改后应呈现为: set JAVA_OPTS=-Djava.library.path=..\lib;..\lib\native -Duser.country=US -Duser.language=en -Xms256m -Xmx1024m -Dspecific.bind.address= xxx.xxx.xxx.xxx
文件 2)
<ELA home>\bin\runSEC.bat
- 搜索行"%SERVER_HOME%\bin\SysEvtCol.exe" -port 513 %syslogPort% -dbhome "%dbhome%" -ELAhome "%serverHome%" -loglevel 2 %RelayIP% %IPadd% %IgnoreHost% %IPadd% %*
- 在该行添加-bindip xxx.xxx.xxx.xxx,使其变为:"%SERVER_HOME%\bin\SysEvtCol.exe" -bindip xxx.xxx.xxx.xxx -port 513 %syslogPort% -dbhome "%dbhome%" -ELAhome "%serverHome%" -loglevel 2 %RelayIP% %IPadd% %IgnoreHost% %IPadd% %*
文件 3)
<ELA home>\server\conf\wrapper.conf
- 查找行#wrapper.app.parameter.1=com.adventnet.mfw.Starter
- 删除该行前的#符号,修改后应为:wrapper.app.parameter.1=com.adventnet.mfw.Starter
- 当前位置下一行应为#wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar。 在此行后依次添加以下两行:
- wrapper.app.parameter.2=-b xxx.xxx.xxx.xxx
- wrapper.app.parameter.3=-Dspecific.bind.address= xxx.xxx.xxx.xxx
- 该代码块应呈现如下形式:
wrapper.app.parameter.1=com.adventnet.mfw.Starter
#wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar
wrapper.app.parameter.2=-b xxx.xxx.xxx.xxx
wrapper.app.parameter.3=-Dspecific.bind.address= xxx.xxx.xxx.xxx
文件 4)
<ELA home>\conf\server.xml
查找以下代码块:
<Connector SSLEnabled="false" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="WebServer" noCompressionUserAgents="gozilla, traviata" port="8095" protocol="HTTP/1.1" scheme="http" secure="false"/>
- 将address="0.0.0.0" 替换为 address="xxx.xxx.xxx.xxx"
- 修改后应如下所示
<Connector SSLEnabled="false" URIEncoding="UTF-8" acceptCount="100" address="xxx.xxx.xxx.xxx" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="WebServer" noCompressionUserAgents="gozilla, traviata" port="8095" protocol="HTTP/1.1" scheme="http" secure="false"/>
文件 5)
<ELA home>\conf\database_params.conf
- 查找以下行:url=jdbc:postgresql://127.0.0.1:33335/eventlog?stringtype=unspecified
- 将 127.0.0.1 替换为您的 xxx.xxx.xxx.xxx,该行应变为url=jdbc:postgresql://xxx.xxx.xxx.xxx:33335/eventlog?stringtype=unspecified
文件 6)
<ELA home>\pgsql\data\postgresql.conf
- 查找行#listen_addresses = 'localhost'
- 删除该行前的#符号。
- 将'localhost'替换为 'xxx.xxx.xxx.xxx',该行应修改为:listen_addresses = 'xxx.xxx.xxx.xxx'
文件 7)
<ELA 安装目录>\pgsql\data\pg_hba.conf
查找以下段落
IPv4 本地连接:
host all all 127.0.0.1/32 trust
我们需要复制原有的`host all all 127.0.0.1/32 trust` 规则,将 127.0.0.1 替换为新 IP 地址,并将其添加到该行之后。复制该行本身,粘贴到下一行,然后编辑删除原有 IP 地址。
最终应呈现如下格式
IPv4 本地连接:
host all all 127.0.0.1/32 trust
host all all xxx.xxx.xxx.xxx/32 trust
启动EventLog Analyzer后,请查阅<ELA安装目录>\logs\wrapper.log确认当前状态。
-
EventLog Analyzer 显示"java.lang.Error: 可能的致命错误:未找到字体"
ELA导出报表时使用预装于Windows系统的Dejavu-seriff字体。但部分Linux发行版未预装该字体,此时将引发报错。
此时需根据发行版手动安装字体,所需命令如下:
- 案例 1:RHEL/CentOS
- 案例 2:Ubuntu/Debian
- 案例 3:SLES
复制到剪贴板sudo yum install fontconfig dejavu-sans-fonts dejavu-serif-fonts
复制到剪贴板sudo apt install fonts-dejavu fontconfig
复制到剪贴板sudo zypper install dejavu-fonts fontconfig
启动和关闭
-
Windows 机器上与 MySQL 相关的错误
可能原因:该机器上已存在正在运行的MySQL实例。
解决方案: 关闭所有MySQL实例后,重新启动EventLog Analyzer服务器。
可能原因:端口33335已被占用
解决方案: 终止占用33335端口的其他应用程序。若无法释放该端口,请修改EventLogAnalyzer使用的MySQL端口。
-
尝试启动服务器时,EventLog Analyzer显示"EventLog Analyzer所需的端口8095正被其他应用程序占用。请释放该端口并重启EventLog Analyzer"
可能原因:EventLog Analyzer默认使用的Web服务器端口已被占用
解决方案: 终止运行在端口8095上的其他应用程序。执行以下步骤:
- 停止事件日志分析器服务
- 打开位于<EventLog Analyzer安装目录>server/conf文件夹下的wrapper.conf文件。
- 在# Java附加参数部分末尾添加以下内容:
wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true
添加前:
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
添加后:
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true- 启动事件日志分析器服务
若无法释放该端口,请更改EventLogAnalyzer使用的Web服务器端口。
-
登录 UI 时 EventLog Analyzer 显示"无法绑定到端口<端口号>"
可能原因:EventLog Analyzer的syslog监听端口已被占用。 解决方案:
- 使用netstat -anp -pudp检查占用syslog 监听端口的进程,并尽可能释放该端口。
- 若在UNIX系统启动服务器,请确保以 root 用户身份启动服务器。
- 或配置EventLog Analyzer监听其他syslog端口,并确保所有已配置设备将syslog发送至EventLog Analyzer的新配置端口
-
分布式版本备份时启动/关闭批处理文件失效
可能原因:路径名称输入错误。
解决方案:
- 下载"Automated.zip",将"startELAservice.bat"和"stopELAservice.bat"解压至<ELA安装目录>//bin/文件夹。
- 根据需求创建Windows计划任务,确保路径指向<ELA安装目录>//bin文件夹。
- 若需将文件放置于其他文件夹,请编辑下载文件并按以下格式指定绝对路径:<例如应用程序安装于e:\>
- e:\ManageEngine\EventLog\bin\wrapper.exe -p ..\server\conf\wrapper.conf ---> 用于停止EventLog Analyzer服务。
- e:\ManageEngine\EventLog\bin\wrapper.exe -t ..\server\conf\wrapper.conf ---> 启动EventLog Analyzer服务。
注意:该脚本仅在应用程序以服务形式启动时有效。
-
EventLog Analyzer 显示"无法在端口 9300 上启动 elasticsearch"。
可能原因:requiretty未禁用
解决方案: 请在etc/sudoers文件中将requiretty替换为!requiretty以禁用该功能。
注意:Elasticsearch 为不同类型操作使用多个线程池。确保在需要时能创建新线程至关重要。请通过以下方式确保 elasticsearch 用户可创建至少 4096 个线程:在启动 Elasticsearch 前以 root 身份执行 ulimit -u 4096,或在 /etc/security/limits.conf 中添加elasticsearch -nproc 4096。
服务包
-
若升级失败是由于权限不足导致,如何升级服务包?
导航至<PRODUCT_HOME>\bin目录,以管理员身份运行StartDB.bat。若出现访问拒绝错误,请执行setAppPermission.bat并等待其完成。
注意:执行setAppPermission.bat时,EventLog Analyzer目录权限将按本文档所述进行修改。 -
PPM备份故障排查指南
注意:仅对使用PGSQL或MSSQL数据库的实例执行备份。MySQL数据库不支持PPM备份功能。
- 若数据库大小超过10GB,自动备份功能将失效,系统会提示用户在升级前手动执行备份。
- 对于PGSQL数据库,仅当EventLog Analyzer安装驱动器存在足够可用空间时才会执行备份。若为MSSQL数据库,备份数据将存储于MSSQL配置的默认备份文件夹。备份操作前将检查可用空间,若空间不足将提示用户:可清理空间以启用自动备份,或手动执行备份。
- 对于PGSQL数据库,仅保留最近两次PPM备份,旧备份将在轮换时自动删除。
- 对于MSSQL数据库,备份不会自动删除,用户需手动清理。
- 若升级失败,可利用备份恢复实例的最后已知正常工作状态。恢复流程请联系技术支持。
配置
-
在添加监控设备时,'验证登录'操作抛出RPC服务器不可用错误
可能原因及解决措施: 可能原因:设备机器的RPC(远程过程调用)端口被其他防火墙阻塞。 解决方案:在防火墙中解除RPC端口的阻塞。
-
在添加监控设备时,“验证登录”操作出现“访问被拒绝”错误。
可能原因及解决措施如下:
可能原因:设备机无法从事件日志分析器机访问。
解决方案:使用PING命令检查设备机与事件日志分析器机之间的网络连接。
可能原因:设备机运行系统防火墙且REMOTEADMIN服务被禁用。
解决方案:检查设备是否运行系统防火墙。若系统防火墙处于运行状态,请在设备机器的命令提示符窗口执行以下命令:
netsh firewall set service type=REMOTEADMIN mode=ENABLE profile=all -
在执行 WBEM 测试时,测试失败并在 Windows Server 2003 中显示代码为 80041010 的错误消息。
可能原因及补救措施如下:
可能原因:Windows 2003 Server默认未安装WMI组件
解决方案:Windows Server 2003默认未安装Win32_Product类。请按以下步骤添加该类:-
在“添加或删除程序”中,单击“添加/删除 Windows 组件”。
-
在 Windows 组件向导中,选择“管理和监控工具”,然后单击“详细信息”。
-
在“管理和监控工具”对话框中,选择“WMI Windows Installer Provider”,然后单击“确定”。
-
单击“下一步”。
-
-
如何在Linux操作系统中启用对象访问日志记录?
可能原因及解决措施如下:
可能原因:Linux操作系统未启用对象访问日志。
解决方案:在Linux系统中启用对象访问的步骤如下:
在文件/etc/xinted.d/wu-ftpd中,按以下方式编辑服务器参数:
server_args = -i -o -L -
Solaris 10 中启动和停止 Syslog 守护程序的命令是什么?
可能原因及补救措施如下:
可能原因:无法在Solaris 10中启动或停止Syslog守护进程
解决方案:在Solaris 10中,停止和启动syslogd守护进程的命令如下:
# svcadm disable svc:/system/system-log:default
# svcadm enable svc:/system/system-log:default
在Solaris 10中,若需重启syslogd守护进程并强制其重新读取/etc/syslog.conf配置文件:
# svcadm refresh svc:/system/system-log:default
(或)# svcadm -v restart svc:/system/system-log:default
-
在配置事件管理时,我遇到 SSL 连接错误。
若工单工具服务器的HTTPS证书未包含在EventLog Analyzer的JRE证书存储库中,则可能出现此错误。请按以下步骤将证书导入EventLog Analyzer的JRE证书存储库:
- 当浏览器弹出证书不可信的错误提示时,请允许信任该证书,将其添加至浏览器的证书存储库。
- 从浏览器中将证书导出为二进制DER文件。
- 在 Firefox 中,可通过以下步骤操作:
- 点击网址栏旁的锁形图标,选择"更多信息"。
- 选择"安全"选项卡,点击"查看证书",再切换至"详细信息"选项卡。
- 选中证书后点击"导出"。在本地计算机选择保存位置并存储证书。
- IE浏览器操作路径:Internet选项 > 内容 > 证书 > 个人 > 导出
- Chrome 浏览器:设置 > 显示高级设置 > 管理证书
- 使用 keytool 工具将证书导入 EventLog Analyzer 的 JRE 证书存储库。该命令需在 <Eventlog Analyzer 安装目录>/jre/bin 路径下执行。
- 输入密钥库密码。请注意默认密码为changeit。
复制到剪贴板keytool -import -alias ticketingtool -keystore <Eventlog Analzyer Home>/jre/lib/security/cacerts -file path-to-certificate-file
-
在将事件日志分析器与 JIRA 本地版进行配置时,“测试并保存”操作出现验证码验证失败的错误。
若在配置EventLog Analyzer与JIRA On-Premise时,即使输入有效凭据仍遇到问题,请执行以下步骤:
- 前往工单系统实例尝试登录账户。
- 输入有效凭证并完成验证码验证。
- 现在可重新尝试配置 EventLog Analyzer 与 JIRA 本地版。测试和保存操作将成功完成且无任何错误。
帮助链接:https://developer.atlassian.com/cloud/jira/software/basic-auth-for-rest-apis/#captcha
编辑最大尝试次数或禁用验证码的步骤:
- 登录您的JIRA本地部署账户。
- 在右上角选择管理,进入系统 > 常规配置 > 编辑设置。
- 在"最大允许认证尝试次数"字段输入期望值。超过此限制后,您需重新通过验证码验证登录JIRA On-Premise账户。否则即使凭有效凭证也无法配置EventLog Analyzer与JIRA On-Premise的集成。
- 若留空此字段,验证码功能将被禁用。即使多次认证失败后,您仍可尝试将EventLog Analyzer与JIRA本地版集成。
-
文件完整性监控 (FIM) 故障排除
若特定文件夹启用了用户名验证,请尝试以下故障排除方法:
注意:以下图形界面适用于文件夹属性中的SACL条目。
-
端口管理错误代码
以下列出部分常见错误、其成因及可能的解决方案。如有疑问,欢迎随时联系我们的支持团队。
端口已被其他应用程序占用
原因:指定端口已被其他应用程序占用。
解决方案:可通过修改指定应用程序的端口或使用新端口解决此问题。
若使用新端口,请确保通过手动或自动日志转发配置修改转发设备的端口设置。
TLS未配置
原因:HTTPS 未配置为支持 TLS 加密日志。
解决方案:配置服务器使用自签名证书或有效的PFX证书。
更多详情请参阅连接设置。
未配置PFX
原因:已配置HTTPS,但证书类型不受支持。
解决方案 1:若未使用有效证书,建议使用 SelfSignedCertificate。
要查找使用的证书类型,
- 打开Conf/Server.xml文件检查连接器标签。
- 检查 keystoreFile 属性的扩展名。
解决方案 2:若使用有效 KeyStore 证书,请在<EventLog Analyzer 安装目录>/jre/bin终端执行以下命令:
keytool -importkeystore -srckeystore <证书路径> -destkeystore server.pfx -deststoretype PKCS12 -deststorepass <密码> -srcalias tomcat -destalias tomcat
更多详情请访问连接设置。
外部错误
原因:未知外部问题。
解决方案:请联系EventLog Analyzer 技术支持
-
事件源文件配置出现“无法发现文件”错误。
可能的补救措施包括:
- 检查机器的凭据。
- 检查设备连接状态。
- 确保远程注册表服务未被禁用。
- 用户应具备管理员权限。
- 无法删除已打开的密钥及包含子密钥的密钥。
-
如何更改 PostgreSQL 超级用户密码
执行位于<EventLog Analyzer安装目录>/bin文件夹中的changeDBPassword.bat/sh文件。
Windows:
- changeDBPassword.bat -U postgres -p <旧密码> -P <新密码>
Linux:
- changeDBPassword.sh -U postgres -p <旧密码> -P <新密码>
-
处理重复的 Windows 设备
问题描述:
部分Windows设备因用户界面问题(已识别为ELA 12260)出现重复显示。
已采取措施:
本地收集器关联处理:
若重复设备关联的本地收集器拥有最旧日志采集时间戳,则该设备将被删除。
远程收集器关联(最后消息时间较短):
满足以下条件的重复设备将被禁用:
它们关联到远程收集器。
当前日期与最后消息时间的差值小于保留期。
关联远程收集器且最后消息时间较长的重复设备:
当满足以下条件时,具有最旧日志收集时间戳的重复设备将被删除:
与远程收集器关联。
当前日期与最后消息时间的差值超过保留期。
配置文件重映射:
若被删除或禁用的设备曾配置于以下配置文件:应用程序、导入、告警、报表、日志收集过滤器、系统日志转发器、代理,则需重新映射以确保功能持续有效。
客户需采取的操作:
设备重新配置:
涉及设备组配置、日志收集失败告警、合规性及自定义日志解析器的设置,请重新配置相应设备。错误设备可能因前述界面问题导致配置失误。
-
在转发审计日志时,有时具有安全增强功能(SElinux)的 Red Hat 系统中的默认策略不会允许读取审计日志。
- 问题:当 SELinux(安全增强)启用时,某些默认策略会阻止在转发过程中读取 Red Hat Linux 系统的审计日志。
- 解决方案:在 etc/audisp/plugins.d/syslog.conf 中添加 "active=yes" 可实现审计日志转发;或在 CentOS/RHEL v8 及更高版本中创建 etc/audit/plugins.d/syslog.conf 文件并添加以下内容:
复制到剪贴板active = yes
direction = out
路径 = 内置系统日志
类型 = 内置
args = LOG_INFO
格式 = 字符串
注意:此操作将审计日志转发至syslog服务。需启用"通过syslog服务转发日志"功能,方可在EventLog Analyzer服务器接收日志。
-
如何在事件日志分析器中添加组织范围的代理证书?
- 执行命令前请确保代理证书文件已准备就绪。
- 使用 keytool 工具将代理证书导入 EventLog Analyzer 的 JRE 证书存储库。该命令需在 <EventLog Analyzer 安装目录>/jre/bin 目录下执行。
- 输入密钥库密码。默认密码为changeit。
复制到剪贴板keytool -import -alias ticketingtool -keystore <Eventlog Analyzer Home>/jre/lib/security/cacerts -file path-to-certificate-file
文件完整性监控 (FIM) 中的错误状态。
-
权限被拒绝
原因
- 凭据可能不正确。
- 凭据权限不足。
- 可能存在权限不足的临时文件夹。
- 用户对代理文件夹无权限。
解决方案
- 可通过访问SSH终端检查凭据。
- 凭据必须具备启动、停止和重启审计守护进程的权限,同时需允许向Linux设备传输文件。
- 若存在临时文件夹,请设置其权限。
复制到剪贴板
setfacl -R -m u:<username>:rwx /opt/ManageEngine/temp
- 为代理文件夹设置权限。
适用于 CentOS/RHEL v8 及更高版本/Ubuntu/openSUSE/Debian/Fedora:复制到剪贴板
setfacl -R -m u:<username>:rwx /opt/ManageEngine/EventLogAnalyzer_Agent
适用于 CentOS/RHEL v6 至 v7.9:复制到剪贴板setfacl -m u:<username>:w /etc/audit/plugins.d/elafim.conf
复制到剪贴板setfacl -m u:<username>:w /etc/audisp/plugins.d/elafim.conf
-
审计服务不可用
原因- 所选 Linux 设备中未安装 audit 守护进程服务。
解决方案
- 必须与 Audisp 一起安装审计守护进程软件包。
-
来自 SELinux 的访问限制
原因
- SELinux阻碍了审计进程的运行。
解决方案
- 可使用getenforce命令检查 SELinux 是否存在。
- 将 SELinux 配置为允许模式。将其更改为允许模式后,导航至“管理代理”页面,点击“重新安装”以重新安装代理。
-
代理升级失败
原因- 产品升级期间无法连接代理。
- 凭据不正确。
解决方案
- 手动安装代理程序:请导航至"管理代理"页面 。
- 安装代理步骤:
Windows设备:运行 EventLogAgent.msi。
Linux设备: 执行chmod +x EventLogAgent.bin,随后运行EventLogAgent.bin。
-
代理安装失败
原因- 机器可能处于离线模式。
- 机器可能不存在。
- 网络路径可能不可达。
解决方案
- 要确认设备是否存在,可对其进行ping操作。
- 手动导航至管理代理页面 安装代理。
-
在不兼容平台上安装代理
原因- 代理程序安装在既非Linux也非Windows操作系统的主机上。
- 支持的 Linux 发行版包括 CentOS、Debian、Fedora、openSUSE、Red Hat 和 Ubuntu。
- 支持Windows 5.2(Windows Server 2003)以上的版本。
-
ACL 软件包未安装
原因:所选 Linux 设备中未安装 acl 软件包。
解决方案:必须安装 acl 软件包。
-
无法通过SSH连接代理
原因:- 由于缺少SSH算法。
- "/opt/ManageEngine" 目录权限不足
- 确保"/etc/ssh/sshd_config"文件中存在任何SSH算法。
- 为"/opt/ManageEngine"设置权限
-
如何检查 auditd 中是否启用了不可变规则?
执行以下命令验证不可变规则是否启用:
复制到剪贴板执行以下命令:
若配置中存在"enabled 2"字样,表明不可变规则处于激活状态。此设置将阻止Linux代理将任何新配置的审计规则应用于EventLog Analyzer中指定的监控位置。
解决方案:
- 运行以下命令定位不可变规则 (-e 2)
并在相关文件中注释掉或删除该配置项。复制到剪贴板
grep -rniw -e '-e' /etc/audit/
- 重启机器以应用更新后的配置。
- 为确认不可变规则已失效,请执行以下命令并检查配置中是否存在"enabled 1"字段。
复制到剪贴板
auditctl -s
- 运行以下命令定位不可变规则 (-e 2)
日志接收器
-
若网络捕获驱动不可用该如何处理?
网络捕获驱动程序是允许EventLog Analyzer捕获并处理来自不同来源的网络日志的文件,包括npf.sys、Packet. dll和wpcap.dll等文件。这些文件必须存储在Windows系统目录中,以确保任何需要它们的应用程序都能访问。
若网络捕获驱动程序不可用,请将文件从EventLog Analyzer安装目录移动至Windows系统目录。具体操作步骤如下:
将网络捕获驱动程序文件移至Windows系统目录的步骤
- 导航至 <事件日志分析器安装目录>\bin 目录。
- 以管理员权限打开命令提示符并执行 register-driver.exe。
- 检查控制台输出以确保文件已成功复制。
若操作失败,请执行以下手动流程。
手动复制网络捕获驱动程序文件的步骤
- 从<EventLogAnalyzer_Installation_Directory>\lib\native文件夹复制npf.sys、wpcap.dll和Packet.dll文件。
- 将文件粘贴至以下文件夹:
- npf.sys 复制到 C:\Windows\system32\drivers\
- wpcap.dll, Packet.dll 至 C:\Windows\system32\
最后,在事件日志分析器中打开并刷新日志接收器窗口。
注意:此步骤仅适用于在Windows系统上安装的EventLog Analyzer。
自动日志转发
-
权限被拒绝
原因:对 rsyslog.conf 或 syslog.conf 文件的权限不足。
解决方案:为 rsyslog.conf 或 syslog.conf文件设置权限。
日志收集与报表
-
已添加设备,但事件日志分析器未收集其事件日志
可能原因:EventLog Analyzer服务器端无法访问设备端机器
解决方案: 检查设备机器是否响应ping命令。若无响应,则该机器不可达。设备机器必须可从事件日志分析器服务器访问,才能收集事件日志。
可能原因:您在设备机器上没有管理员权限
解决方案: 编辑设备详细信息,输入设备机器的管理员登录凭据。点击"验证登录"查看登录是否成功。错误代码 0x251C
可能原因:该设备是在导入其关联的应用程序日志时添加的。此情况下,仅从设备收集指定的应用程序日志,且设备类型显示为未知。
解决方案:
- 点击设备名称旁的更新图标。
- 选择对应的设备类型。
- 为所选设备类型提供其他必要信息。
- 点击更新。
-
当我点击“验证登录”时,设备出现访问被拒绝错误,但我已提供正确的登录凭据
可能原因:访问被拒绝错误可能由其他因素导致。
解决方案: 请查阅验证登录过程中出现的错误代码对应的"原因与解决方案"。
错误代码 00x80070005, 5Windows工作站扫描失败,可能由以下原因之一导致:
- 工作站中提供的扫描登录名和密码无效。 解决方案:检查登录名和密码是否输入正确。
- 远程工作站禁用了远程DCOM选项 解决方案:
- 选择开始 > 运行。
- 在文本框中输入 dcomcnfg,然后单击“确定”。
- 选择默认属性选项卡。
- 选中本计算机启用分布式 COM复选框。
- 单击确定。
- 在文本框中输入 dcomcnfg,然后单击“确定”。
- 单击组件服务 > 计算机 > 我的计算机
- 右键单击并选择“属性”。
- 选择“默认属性”选项卡
- 选中“在此计算机上启用分布式 COM”复选框
- 单击“确定”
- 目标计算机上的用户账户无效。
检查远程工作站是否启用了远程DCOM。若未启用,请按以下方式启用:
在Windows XP设备上启用DCOM:
选择开始 > 运行
请在目标计算机上打开命令提示符,执行以下命令验证用户账户是否有效:
复制到剪贴板net use \<远程计算机名称>C$ /u:<域用户名> "<密码>"
net use \<远程计算机名称>ADMIN$ /u:<域用户名> "<密码>"
若执行上述命令出现任何错误,则表明提供的用户账户在目标计算机上无效。
错误代码 0x80041003用于扫描的用户名没有足够的访问权限来执行扫描操作。该用户可能不属于此设备机器的管理员组。
解决方案:将该用户移至工作站的管理员组,或使用管理员账户(建议使用域管理员账户)扫描设备。
远程计算机配置了防火墙。此类例外情况多发生于启用了默认Windows防火墙的Windows XP(SP 2)系统中。
解决方案:
- 禁用Windows XP机器的默认防火墙:
- 若无法禁用防火墙,请在远程计算机上执行以下命令启动管理员远程管理:
- 远程Windows工作站中无法使用WMI。此问题常见于Windows NT系统。若WMI组件未正确注册,更高版本的Windows系统也可能出现此类错误代码。
- WMI组件未注册。
- 选择开始 > 运行
- 输入 Services.msc 后单击确定
- 在打开的服务窗口中,选择Windows 管理工具服务。
- 右键单击并选择“重新启动”
选择开始 > 运行
输入 Firewall.cpl 并单击确定
在常规选项卡中,点击关闭
单击确定
复制到剪贴板netsh firewall set service RemoteAdmin
扫描完成后,可通过以下命令禁用远程管理:
错误代码 0x80040154复制到剪贴板netsh firewall set service RemoteAdmin disable
解决方案:在远程工作站安装WMI核心组件。
解决方案: 在命令提示符中执行以下命令注册WMI DLL文件:winmgmt /RegServer
设备机器上运行的WMI服务(winmgmt.exe)存在内部执行故障。该工作站的WMI存储库最近一次更新可能已失败。
解决方案:在远程工作站重启WMI服务:
错误代码 1722、1726、1753、1825
可能原因:设备机器的RPC(远程过程调用)端口被其他防火墙阻塞。解决方案:在防火墙中解除RPC端口的封锁。
其他错误代码请参阅MSDN知识库。
-
我已添加自定义告警配置文件并启用,但设备主机虽已发生事件,EventLog Analyzer中仍未生成告警
-
创建自定义报表时,消息过滤器中配置的报表内容未显示
可能原因:消息过滤器未正确定义
解决方案:在消息过滤器 中输入与日志消息匹配的 字符串时,请确保完全复制/输入Windows事件查看器中显示的字符串。
例如:登录名:John -
用于EventLog Analyzer的MS SQL服务器已停止
可能原因:MS SQL事务日志可能已满
解决方案: 若事件日志分析器MS SQL数据库事务日志已满,请按以下步骤进行收缩:- 停止事件日志分析器服务器/服务 (通过事件日志分析器服务器机器的任务管理器确认进程'SysEvtCol.exe'和'Java.exe'未运行)。
- 连接MS SQL客户端(使用Microsoft SQL Server Management Studio)并执行以下查询:
sp_dboption 'eventlog', 'trunc. log on chkpt.', 'true'
执行查询时,请选中并高亮显示上述命令后按F5键。 - 执行上述命令后,选中并高亮显示下方命令,按F5键执行:
DBCC SHRINKDATABASE (eventlog) - 注意:此过程耗时取决于EventLog Analyzer数据库的大小。
- 启动事件日志分析器。
-
已成功配置Oracle设备,但仍无法查看数据
若Oracle设备运行Windows系统,请在该机器上打开事件查看器,在应用程序类型下检查Oracle源日志。若为Linux系统,请检查用于写入Oracle日志的相应日志文件。若指定文件中存在Oracle日志 但EventLog Analyzer仍无法收集日志,请联系EventLog Analyzer技术支持。
扫描操作所用的用户名没有足够的访问权限来执行扫描操作。该用户可能不属于该设备机器的管理员组。
-
Syslog主机未自动添加至EventLog Analyzer/Syslog接收突然中断
请通过EventLog Analyzer实时Syslog查看器检查传入的Syslog数据包。
若能正常查看日志,说明数据包已到达设备但未进入EventLog Analyzer。请检查Windows防火墙或Linux IP表设置。
若无法在Syslog查看器中查看日志,请确认EventLog Analyzer服务器是否可达。可通过以下方式验证:
- 对服务器进行Ping操作。
- 对于 TCP,可尝试使用命令telnet <ela_server_name> <port_no>,其中 514 是默认 TCP 端口。
- tcpdump
复制到剪贴板tcpdump -n dst <ela_server_name> and dst port <port_no>
若可访问,则表明配置存在问题;若不可访问,则表明存在网络问题。
EventLog Analyzer 代理管理
若通过事件日志分析器控制台、组策略对象或软件安装工具安装代理时遇到困难,可尝试手动安装代理。以下是手动安装代理的步骤。
-
从EventLog Analyzer服务器无法访问代理
若代理程序在手动安装时未配置凭据,或凭据更新错误,将导致"服务器无法访问代理"状态(见下图截图)。
在此状态下,对代理执行的以下操作不会立即生效:
- 强制重启代理
- 停止代理
- 更新设备IP和凭证
- 添加、删除、启用或禁用设备/日志收集过滤器/FIM
- 更新FIM模板
- 更新监控间隔
注意:此图标不影响日志收集过程,无论是否显示该图标,日志均会持续收集。此外,由于凭据无效,启动和卸载代理等操作必须手动执行,无法通过用户界面完成。
若需隐藏表示服务器无法连接代理的云图标,或需要实时操作,请确保准确更新凭据。
-
代理状态显示为"未通信"
当代理程序与服务器长时间无法通信时,将显示"代理程序未通信"状态。
此时应执行以下操作:
- 确保代理设备可访问事件日志分析器服务器。
- 验证注册表中是否更新了最新服务器信息 [计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\ZOHO Corp\EventLogAnalyzer\ServerInfo]
- 检查是否有防病毒软件或防火墙阻断服务器与代理的通信。如有阻断,请为EventLog Analyzer代理设置防病毒软件的排除项。
- 确保事件日志分析器代理服务正在运行,必要时启动该服务。
注意:若遵循上述步骤后问题仍未解决,请联系技术支持。 -
服务器迁移后如何更新EventLog Analyzer代理中的ServerInfo?
服务器迁移后更新EventLog Analyzer代理程序ServerInfo的步骤
Windows 代理
- 打开注册表编辑器,导航至:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\ZOHO Corp\EventLogAnalyzer\
- 选择ServerInfo,在对应字段中输入新的服务器IP地址和服务器名称。
- 最后重启EventLog Analyzer代理程序以建立与新服务器的连接。
Linux 代理
- 打开/opt/ManageEngine/EventLogAnalyzer_Agent/conf/serverDetails文件。
- 在对应字段中更新新的SERVER_NAME和SERVER_IPADDRESS。
- 最后,重新启动事件日志分析器代理程序以建立与新服务器的连接。
- 打开注册表编辑器,导航至:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\ZOHO Corp\EventLogAnalyzer\
性能
-
故障排除请按以下步骤操作:
- 检查是否有其他应用程序占用了事件日志分析器的CPU周期。
- 若使用虚拟机,请检查是否存在过度配置或快照影响性能的情况。
- 若日志流量过高,请查阅我们的调优指南。
向事件日志分析器添加STIX/TAXII服务器时的错误信息
在尝试向事件日志分析器添加STIX/TAXII服务器时,我收到了以下错误信息。这些信息意味着什么?
-
此功能已在在线演示中禁用!
当您尝试使用的功能在EventLog Analyzer在线演示版本中不可用时,会弹出此错误提示。如需体验该功能,请下载EventLog Analyzer免费版本。
-
连接失败。请尝试配置代理服务器。
此错误信息可能由多种原因导致,包括网络问题、代理相关问题、网络请求异常,或URL无法定位STIX/TAXII服务器。
-
连接到 URL 失败。
此错误信息表示输入的URL格式错误。
-
授权失败。
此错误信息表示输入的凭据不正确。
SSL 故障排除步骤
-
证书名称不匹配
描述:
当SSL证书的通用名称与安装EventLog Analyzer服务器的域名不完全匹配时,将引发此错误。
解决方案:
请为安装EventLog Analyzer的服务器当前主机名获取新的SSL证书。
-
证书无效
描述:
当您在EventLog Analyzer中配置的SSL证书无效时会出现此错误。证书可能因过期或其他原因失效。
解决方案:
请将EventLog Analyzer配置为使用有效的SSL证书。
-
证书不受 JVM 信任
描述:
当您在EventLog Analyzer中配置使用SSL的SMTP邮件服务器或Web服务器时,若服务器采用自签名证书,将引发此异常。除非明确导入,否则EventLog Analyzer使用的Java运行时环境不会信任自签名证书。
解决方案:
需将服务器使用的自签名证书导入EventLog Analyzer所用JRE环境。请按以下步骤操作:
步骤1:下载证书
针对SMTP服务器:
注意:- 要下载SMTP服务器使用的证书,您必须安装OpenSSL。可从此处下载。
- 打开命令提示符,切换至OpenSSL安装目录下的bin文件夹。
- 现在运行以下命令:
复制到剪贴板openssl.exe s_client -connect SMTPServer: Portno -starttls smtp > 证书名称.cer
- 例如:openssl.exe s_client -connect smtp.gmail.com:587 -starttls smtp > gmailcert.cer
针对Web服务器:
- 在浏览器中打开网页地址。
- 点击地址栏上的挂锁图标。
- 点击“更多信息”。这将打开证书查看器窗口,显示该网页服务器使用的证书。
- 点击查看证书。
- 当显示证书颁发机构信息的窗口打开时,点击“详细信息”选项卡。
- 点击“复制到文件”。
- 在打开的证书导出向导中,点击“下一步”。
- 选择格式为DRE编码二进制X.509(.CER)文件,点击下一步。
- 输入文件保存路径后点击完成。
步骤 2:将证书导入 EventLog Analyzer 的 JRE 软件包。
- 打开命令提示符并切换至 \jre\bin 文件夹。例如:C:\ManageEngine\EventLogAnalyzer\jre\bin。
- 运行以下命令:
- 例如:Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\smtpcert.cer
- 在密码提示时输入 changeit。
- 在提示输入“是”或“否”时输入 y。
- 关闭命令提示符窗口,重启EventLog Analyzer。
复制到剪贴板Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file
威胁情报故障排除技巧
-
IP 地理位置数据存储损坏
当产品在数据存储更新期间关闭且无可用备份时可能发生此情况。
故障排除步骤:
此为罕见情况,仅发生在产品首次下载IP地理位置数据时突然关闭。
无需进行故障排除,EventLog Analyzer将在下次计划任务时自动下载数据。请注意IP地理位置数据每日21:00自动更新。
-
IP地理位置数据更新失败
当EventLog Analyzer服务器无互联网连接或服务器不可达时会发生此情况。
故障排除步骤:
请确保网络连接正常。
在防火墙中将以下内容加入白名单:
- https://creator.zoho.com/
- https://creatorapp.zohopublic.com/
-
Log360云威胁源服务器不可用
当产品无法连接到Log360云源服务器时可能发生此情况。
情况1:防火墙阻断访问
可能原因:防火墙可能阻断了对Log360云源服务器的访问。
解决方案:
- 检查防火墙设置,查找可能阻断访问的规则。
- 若发现任何阻塞规则,请创建允许流量访问Log360Cloud数据源服务器的全新规则。
- 保存新规则并更新防火墙设置。
情况2:无法解析DNS
可能原因:设备无法通过其DNS解析器解析域名。
解决方案:
- 检查运行该产品的机器上的DNS设置。确保DNS服务器设置正确,且该机器能够与DNS服务器通信。
- 尝试使用命令行工具(如nslookup或 dig)解析域名,确认DNS解析是否失败。
- 检查是否存在可能阻断DNS流量的防火墙或安全设置。
- 若使用代理服务器可解析相关主机的域名,请在产品连接设置中配置该代理服务器。
若上述方法均无效且问题持续存在,请联系我们的技术支持团队。
-
找不到许可文件
若无法访问以下页面中的许可文件:https://licensing.manageengine.com,请联系iam-support@manageengine.cn
-
更新访问密钥(Log360云威胁分析)
此情况可能由访问密钥失效导致。
请按以下步骤重新生成访问密钥:
- 登录 https://log360feeds.manageengine.com/
- 点击“重新生成密钥”。
- 在产品中,前往设置 > 管理员设置 > 威胁源 > 高级威胁分析 > Log360 云威胁分析,并添加新密钥。
-
VirusTotal API配额限制已超限
当您超出任一配额限制(每分钟、每日或每月)时将触发此问题。每日配额于协调世界时00:00自动重置。
故障排除步骤:
- 登录VirusTotal账户。
- 在个人资料 → API密钥 → 过去30天API消耗量中查看API配额(请检查当日API限制)
-
内部服务器错误
此错误可能由多种原因导致。
- 请求已提交至VirusTotal,但存在服务器端内部问题。
- 请求已提交至Log360云威胁分析系统,服务器端存在内部问题。
建议客户稍后重试,若仍出现相同错误,请联系"iam-support@manageengine.cn"
-
默认威胁同步失败
此情况发生于EventLog Analyzer服务器遭遇网络连接问题时。
故障排除步骤:
请确保网络连接正常。
请在防火墙中将以下项目加入白名单:
- https://creator.zoho.com/
- https://creatorapp.zohopublic.com/
时区
-
如果您的地区实行夏令时(DST),但产品未更新夏令时,该怎么办?
当产品中的JRE未更新更改时,就会发生这种情况。
- 从Oracle官网下载Java SE TZUpdater。链接:"https://www.oracle.com/java/technologies/javase-tzupdater-downloads.html"
- 备份<Eventlog Analyzer_HOME>\jre目录
- 下载后解压文件,将 tzupdater.jar 复制至 <EventLog Analyzer 安装目录>\jre\bin
- 停止事件日志分析器服务。
- 以管理员身份打开命令提示符,导航至<EventLog Analyzer安装目录>\jre\bin。
- 执行以下命令:
"java -jar tzupdater.jar -l <请从https://data.iana.org/time-zones/releases/ 选择最新时区更新器链接>"例如:复制到剪贴板
java -jar tzupdater.jar -lhttps://data.iana.org/time-zones/releases/tzdata2023c.tar.gz
- 启动事件日志分析器服务
注:若客户环境受限无法访问互联网,请执行步骤6.1和6.2。
6.1:请从https://data.iana.org/time-zones/releases/选择最新时区更新程序链接,下载 tar.gz 格式的最新时区压缩包。
6.2 执行以下命令:"java -jar tzupdater.jar -l file:下载的时区数据压缩包.tar.gz"
例如
复制到剪贴板java -jar tzupdater.jar -l file:"C:/ManageEngine/EventLog/jre/tzdata2023c.tar.gz"
搜索引擎 - Elasticsearch
-
数据路径不可访问
什么是 Elasticsearch 数据路径?
Elasticsearch 将索引的数据写入索引,并将数据流写入数据目录,该目录位于 elasticsearch.yml。若数据路径不可访问,搜索和索引功能将无法运行。
若数据路径无法写入,将显示以下通知:
故障排除步骤
- 打开 elasticsearch.yml 文件,搜索path.data并查看其值。 elasticsearch.yml 文件位于 <安装目录>/EventLog Analyzer/ES/config/elasticsearch.yml
- 确保运行EventLog Analyzer的服务账户同时具备读写权限。
- 若路径为网络位置,请确保网络连通性,且运行EventLog Analyzer的机器可访问该网络路径。验证服务器与远程数据路径之间不存在延迟问题。
如需更改 Elasticsearch 的数据路径,请遵循此指南操作。
设备自动分配
-
无法禁用自动分配功能。
问题描述:无法禁用自动分配功能。
可能原因:因环境问题导致数据库值更新失败。
解决方案:稍后重试。
-
无法启用自动分配。
问题描述:无法启用自动分配功能。
可能原因:因环境问题导致无法更新数据库值。
解决方案:稍后重试。
-
无法启用自动分配策略。
问题描述:无法启用自动分配策略。
可能原因:因环境问题无法更新数据库值。
解决方案:稍后重试。
-
无法禁用自动分配策略。
问题描述:无法禁用自动分配策略。
可能原因:因环境问题无法更新数据库值。
解决方案:稍后重试。
-
更新自动分配策略失败。
问题描述:更新自动分配策略失败。
可能原因:因环境问题无法更新数据库值。
解决方案:稍后重试。
-
更新同步设置失败。
问题描述:自动分配策略更新失败。
可能原因:
- 因环境问题无法更新数据库值。
- 无法与 ADAudit Plus 通信。
- ADAudit Plus服务器可能已停机。
解决方案:检查ADAudit Plus服务器状态及通信连接。若均正常,请稍后重试,可能是环境问题。