EventLog Analyzer - 故障排除技巧

最后更新于:

通用

  • 在哪里可以找到要发送给EventLog Analyzer支持团队的日志文件?

    从版本 8010 开始

    日志文件位于<EventLogAnalyzer_Home>logs目录中。通常遇到问题时,系统会要求您将此目录中的serverout.txt文件发送至EventLog Analyzer支持团队。

    Build 8000 及更早版本

    日志文件位于<EventLogAnalyzer_Home>server/default/log目录下。通常遇到问题时,您需要将该目录中的serverout.txt文件发送给EventLog Analyzer支持团队。

  • 我发现EventLog Analyzer频繁崩溃或突然停止收集日志,可能是什么原因?

    若其他进程同时访问这些目录,EventLog Analyzer内置的PostgreSQL/MySQL数据库可能损坏。因此请将ManageEngine安装文件夹排除在

    • 防病毒扫描
    • 自动备份软件
    • VMware安装环境下的快照功能

    若产品在虚拟机上运行,请确保不进行快照操作。

  • 当无法通过Web客户端操作时,如何创建SIF(支持信息文件)并发送给ManageEngine?

    SIF文件将帮助我们分析您遇到的问题并提出解决方案。

    若无法通过Web客户端界面创建SIF文件,

    针对Build 8010及后续版本

    可将C:/ManageEngine/Eventlog/logs(默认路径)下的'logs'文件夹内容压缩为zip文件,上传至以下FTP链接:http://bonitas.zohocorp.com/upload/index.jsp?to=eventloganalyzer-support@manageengine.com

    Build 8000及更早版本

    请将位于 C:/ManageEngineEventlog/server/default/log(默认路径)下的'log' 文件夹内容压缩,并将压缩文件上传至以下 FTP 链接:http://bonitas.zohocorp.com/upload/index.jsp?to=eventloganalyzer-support@manageengine.com

  • 当事件源的消息文件不可用时,如何注册DLL?

    注册 DLL 文件请遵循以下链接中的步骤:http://ss64.com/nt/regsvr32.html

  • 如何将捆绑的postgres注册/注销为服务?

    为何需注册/注销捆绑式Postgres服务?

    根据您的环境,偶尔可能因Postgres数据库启动失败导致EventLog Analyzer无法启动。为避免此问题,建议先注册数据库,使其在后台持续运行,不受产品启动或关闭影响。

    如何注册/注销捆绑式Postgres服务?

    注册捆绑Postgres为服务:

    针对Build 12440及后续版本

    • 在"<EventLog Analyzer安装目录>bin"文件夹内,以管理员身份打开命令提示符窗口执行以下命令:
    • register_pgdbservice.bat "<指定要注册的数据库服务名称>"

    • 停止 EventLog Analyzer 服务/服务器,并在注册的数据库服务启动后重新启动它。

    针对 Build 12440 及更早版本

    • 将 register_pgdbservice.bat 从 "<EventLog Analyzer Home\tools\postgres\bin" 复制并粘贴到 "<EventLog Analyzer Home\bin" 目录中
    • 在<EventLog Analyzer Home>bin目录下的提升权限命令提示符窗口中执行以下命令:
    • register_pgdbservice.bat "<指定要注册的数据库服务名称>"

    • 停止 EventLog Analyzer 服务/服务器,并在注册的数据库服务启动后重新启动它。

    若您不再希望管理该数据库,可选择注销服务,此操作将使产品在自身启动/关闭时同步启动/关闭数据库。

    取消注册捆绑的 Postgres 服务:

    针对 Build 12440 及更高版本

    • 在<EventLog Analyzer Home>bin目录下的提升权限命令提示符窗口中执行以下命令:
    • unregister_pgdbservice.bat "<指定要注销的数据库服务名称>"

    针对 Build 12440 或更早版本

    • 将 unregister_pgdbservice.bat 从 "<EventLog Analyzer 安装目录\tools\postgres\bin" 复制到 "<EventLog Analyzer 安装目录\bin"
    • 在<EventLog Analyzer安装目录>bin目录下的提升权限命令提示符窗口中执行以下命令:

    unregister_pgdbservice.bat "<指定要注销的数据库服务名称>"

安装

  • 安装过程中EventLog Analyzer提示"请输入有效的ManageEngine许可文件"

    此操作可能发生在两种情形下:

    • 情况1:系统日期设置为未来或过去日期。此时需卸载EventLog Analyzer,将系统日期重置为当前日期时间,然后重新安装EventLog Analyzer。
    • 情况2:您可能提供了错误或损坏的许可文件。请确认已应用从ZOHO公司获取的许可文件。若以上均非原因,或仍出现此错误,请联系licensing@manageengine.com
  • 将事件日志分析器服务器绑定到特定接口(IP绑定)。

    Build 8010 及更高版本

    若需将事件日志分析器服务器绑定至特定接口,请按以下步骤操作:

    若 Eventlog Analyzer 以应用程序形式运行

    • 关闭事件日志分析器
    • 打开位于<EventLog Analyzer安装目录>bin文件夹下的 run.bat文件,定位至"RESTART命令块",取消注释下方RESTART命令行并替换<ip-address>为 目标绑定应用程序的IP地址,注释掉原有RESTART命令行后保存文件。
      复制到剪贴板

      rem%JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START% -c default -b<ip-address>

      复制到剪贴板

      %JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START% -c default -b<ip-address>

      复制到剪贴板

      %JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START%

      复制到剪贴板

      rem%JAVA% %JAVA_OPTS% -cp "%CLASS_PATH%" com.adventnet.mfw.Starter %SAFE_START%

    • 打开位于<EventLog Analyzer Home>bin目录 下的setcommonenv.bat文件,转至"JAVA_OPTS设置命令块",取消注释以下JAVA_OPTS设置命令行 并将<ip-address>替换为应用程序需绑定的IP地址,同时注释掉原有的JAVA_OPTS设置命令。
      复制到剪贴板

      remset JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms128m -Xmx512m -Dspecific.bind.address=<ip-address>

      复制到剪贴板

      set JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms128m -Xmx512m -Dspecific.bind.address=<ip-address>

      复制到剪贴板

      设置 JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms256m -Xmx1024m

      复制到剪贴板

      rem设置 JAVA_OPTS=-Djava.library.path=..lib;..libnative -DpdfReport=false -Duser.country=US -Duser.language=en -DminDiskSpace=5 -Xms256m -Xmx1024m

    • 保存文件
    • 打开位于<EventLog Analyzer Home>conf目录下的database_param.conf文件,将url标签中的localdevice替换为您想要绑定应用程序的<绑定 IP 地址>,然后保存文件。
      复制到剪贴板

      url=jdbc:postgresql://本地设备:33336/eventlog?stringtype=unspecified

      url=jdbc:postgresql://<绑定IP地址>:33336/eventlog?stringtype=unspecified

    • 打开位于<EventLog Analyzer Home>pgsqldata目录下的 postgresql.conf文件在CONNECTIONS AND AUTHENTICATION部分取消注释'#listen_addresses = 'localdevice''这一行,并将'localdevice'替换为应用程序需要绑定的'<绑定IP地址>',最后保存文件。
      复制到剪贴板

      #------------------------------------------------------------------------------
      # 连接与认证
      #------------------------------------------------------------------------------

      # - 连接设置 -

      #listen_addresses = 'localdevice' # 监听的IP地址;

      # 由逗号分隔的地址列表;

      # 默认为'localdevice';使用'*'表示所有地址

      #(修改需重启)

      #------------------------------------------------------------------------------
      # 连接与认证
      #------------------------------------------------------------------------------

      # - 连接设置 -

      监听地址 = <绑定IP地址># 监听的IP地址;

      # 以逗号分隔的地址列表;

      # 默认为'localdevice';使用'*'表示所有地址

      #(修改需重启)

    • 打开位于<EventLog Analyzer Home>pgsqldata 目录下的pg_hba.conf文件,添加以下行:

    device all all <绑定IP地址(IPv4格式)>/32 trust

    在以下行之后添加:

    device all all 127.0.0.1/32 trust

    并保存文件。

    # TYPE DATABASE USER ADDRESS METHOD

    # IPv4 本地连接:

    设备 all 所有 127.0.0.1/32 信任

    # IPv6 本地连接:

    device all all ::1/128 trust

    to

    # 类型 数据库 用户 地址 方法

    # IPv4 本地连接:

    设备 all all 127.0.0.1/32 信任

    设备 所有 所有 <绑定IP地址(IPv4格式)>/32 信任

    # IPv6 本地连接:

    设备 所有 所有 ::1/128 信任

    • 重启事件日志分析器

    对于以服务形式运行的事件日志分析器

    继续操作前,请停止事件日志分析器服务,并确保'SysEvtCol.exe'、'Postgres.exe'和'java.exe'均未运行

    需修改7个文件以实现IP绑定。 

    注意: 在编辑文件前请确保已备份文件。

    假设 xxx.xxx.xxx.xxx 是您希望与 EventLog Analyzer 绑定的 IP 地址。

    文件 1)

    <ELA home>\bin\setCommonEnv.bat

    • 查找以下行:set JAVA_OPTS=-Djava.library.path=..\lib;..\lib\native -Duser.country=US -Duser.language=en -Xms256m -Xmx1024m
    • 在末尾添加 -Dspecific.bind.address= xxx.xxx.xxx.xxx至该行末尾。修改后应呈现为: set JAVA_OPTS=-Djava.library.path=..\lib;..\lib\native -Duser.country=US -Duser.language=en -Xms256m -Xmx1024m -Dspecific.bind.address= xxx.xxx.xxx.xxx

    文件 2)

    <ELA home>\bin\runSEC.bat

    • 搜索行"%SERVER_HOME%\bin\SysEvtCol.exe" -port 513 %syslogPort% -dbhome "%dbhome%" -ELAhome "%serverHome%" -loglevel 2 %RelayIP% %IPadd% %IgnoreHost% %IPadd% %*
    • 在该行添加-bindip xxx.xxx.xxx.xxx,使其变为:"%SERVER_HOME%\bin\SysEvtCol.exe" -bindip xxx.xxx.xxx.xxx -port 513 %syslogPort% -dbhome "%dbhome%" -ELAhome "%serverHome%" -loglevel 2 %RelayIP% %IPadd% %IgnoreHost% %IPadd% %*

    文件 3)

    <ELA home>\server\conf\wrapper.conf

    • 查找行#wrapper.app.parameter.1=com.adventnet.mfw.Starter
    • 删除该行前的#符号,修改后应为:wrapper.app.parameter.1=com.adventnet.mfw.Starter
    • 当前位置下一行应为#wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar。 在此行后依次添加以下两行:
      • wrapper.app.parameter.2=-b xxx.xxx.xxx.xxx
      • wrapper.app.parameter.3=-Dspecific.bind.address= xxx.xxx.xxx.xxx
    • 该代码块应呈现如下形式:

    wrapper.app.parameter.1=com.adventnet.mfw.Starter

    #wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar

    wrapper.app.parameter.2=-b xxx.xxx.xxx.xxx

    wrapper.app.parameter.3=-Dspecific.bind.address= xxx.xxx.xxx.xxx

    文件 4)

    <ELA home>\conf\server.xml

    查找以下代码块:

    <Connector SSLEnabled="false" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="WebServer" noCompressionUserAgents="gozilla, traviata" port="8095" protocol="HTTP/1.1" scheme="http" secure="false"/>

    • address="0.0.0.0" 替换为 address="xxx.xxx.xxx.xxx"
    • 修改后应如下所示

    <Connector SSLEnabled="false" URIEncoding="UTF-8" acceptCount="100" address="xxx.xxx.xxx.xxx" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="WebServer" noCompressionUserAgents="gozilla, traviata" port="8095" protocol="HTTP/1.1" scheme="http" secure="false"/>

    文件 5) 

    <ELA home>\conf\database_params.conf

    • 查找以下行:url=jdbc:postgresql://127.0.0.1:33335/eventlog?stringtype=unspecified
    • 将 127.0.0.1 替换为您的 xxx.xxx.xxx.xxx,该行应变为url=jdbc:postgresql://xxx.xxx.xxx.xxx:33335/eventlog?stringtype=unspecified

    文件 6) 

    <ELA home>\pgsql\data\postgresql.conf

    • 查找行#listen_addresses = 'localhost'
    • 删除该行前的#符号。
    • 将'localhost'替换为 'xxx.xxx.xxx.xxx',该行应修改为:listen_addresses = 'xxx.xxx.xxx.xxx'

    文件 7) 

    <ELA 安装目录>\pgsql\data\pg_hba.conf

    查找以下段落 

    IPv4 本地连接:

          host all all 127.0.0.1/32 trust

    我们需要复制原有的`host all all 127.0.0.1/32 trust` 规则,将 127.0.0.1 替换为新 IP 地址,并将其添加到该行之后。复制该行本身,粘贴到下一行,然后编辑删除原有 IP 地址。

    最终应呈现如下格式

    IPv4 本地连接: 

    host all all 127.0.0.1/32 trust

    host all all xxx.xxx.xxx.xxx/32 trust

    启动EventLog Analyzer后,请查阅<ELA安装目录>\logs\wrapper.log确认当前状态。

  • EventLog Analyzer 显示"java.lang.Error: 可能的致命错误:未找到字体"

    ELA导出报表时使用预装于Windows系统的Dejavu-seriff字体。但部分Linux发行版未预装该字体,此时将引发报错。

    此时需根据发行版手动安装字体,所需命令如下:

    • 案例 1:RHEL/CentOS
    • 复制到剪贴板

      sudo yum install fontconfig dejavu-sans-fonts dejavu-serif-fonts

    • 案例 2:Ubuntu/Debian
    • 复制到剪贴板

      sudo apt install fonts-dejavu fontconfig

    • 案例 3:SLES
    • 复制到剪贴板

      sudo zypper install dejavu-fonts fontconfig

启动和关闭

  • Windows 机器上与 MySQL 相关的错误

    可能原因:该机器上已存在正在运行的MySQL实例。

    解决方案: 关闭所有MySQL实例后,重新启动EventLog Analyzer服务器。

    可能原因:端口33335已被占用

    解决方案: 终止占用33335端口的其他应用程序。若无法释放该端口,请修改EventLogAnalyzer使用的MySQL端口

  • 尝试启动服务器时,EventLog Analyzer显示"EventLog Analyzer所需的端口8095正被其他应用程序占用。请释放该端口并重启EventLog Analyzer"

    可能原因:EventLog Analyzer默认使用的Web服务器端口已被占用

    解决方案: 终止运行在端口8095上的其他应用程序。执行以下步骤:

    • 停止事件日志分析器服务
    • 打开位于<EventLog Analyzer安装目录>server/conf文件下的wrapper.conf文件
    • # Java附加参数部分末尾添加以下内容:

    wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true

    添加前

    wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false

    添加后

    wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
    wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true

    • 启动事件日志分析器服务

    若无法释放该端口,请更改EventLogAnalyzer使用的Web服务器端口

  • 登录 UI 时 EventLog Analyzer 显示"无法绑定到端口<端口号>"

    可能原因:EventLog Analyzer的syslog监听端口已被占用。 解决方案:

    • 使用netstat -anp -pudp检查占用syslog 监听端口的进程,并尽可能释放该端口。
    • 若在UNIX系统启动服务器,请确保以 root 用户身份启动服务器。
    • 或配置EventLog Analyzer监听其他syslog端口,并确保所有已配置设备将syslog发送至EventLog Analyzer的新配置端口
  • 分布式版本备份时启动/关闭批处理文件失效

    可能原因:路径名称输入错误。

    解决方案:

    • 下载"Automated.zip",将"startELAservice.bat"和"stopELAservice.bat"解压至<ELA安装目录>//bin/文件夹。
    • 根据需求创建Windows计划任务,确保路径指向<ELA安装目录>//bin文件夹。
    • 若需将文件放置于其他文件夹,请编辑下载文件并按以下格式指定绝对路径:<例如应用程序安装于e:\>
      • e:\ManageEngine\EventLog\bin\wrapper.exe -p ..\server\conf\wrapper.conf ---> 用于停止EventLog Analyzer服务。
      • e:\ManageEngine\EventLog\bin\wrapper.exe -t ..\server\conf\wrapper.conf ---> 启动EventLog Analyzer服务。

    注意:该脚本仅在应用程序以服务形式启动时有效。

  • EventLog Analyzer 显示"无法在端口 9300 上启动 elasticsearch"。

    可能原因:requiretty未禁用

    解决方案: 请在etc/sudoers文件中将requiretty替换为!requiretty以禁用该功能。

    注意:Elasticsearch 为不同类型操作使用多个线程池。确保在需要时能创建新线程至关重要。请通过以下方式确保 elasticsearch 用户可创建至少 4096 个线程:在启动 Elasticsearch 前以 root 身份执行 ulimit -u 4096,或在 /etc/security/limits.conf 中添加elasticsearch -nproc 4096

服务包

  • 若升级失败是由于权限不足导致,如何升级服务包?

    导航至<PRODUCT_HOME>\bin目录,以管理员身份运行StartDB.bat。若出现访问拒绝错误,请执行setAppPermission.bat并等待其完成。

    注意:执行setAppPermission.bat时,EventLog Analyzer目录权限将按本文档所述进行修改
  • PPM备份故障排查指南

    注意:仅对使用PGSQL或MSSQL数据库的实例执行备份。MySQL数据库不支持PPM备份功能。

    • 若数据库大小超过10GB,自动备份功能将失效,系统会提示用户在升级前手动执行备份。
    • 对于PGSQL数据库,仅当EventLog Analyzer安装驱动器存在足够可用空间时才会执行备份。若为MSSQL数据库,备份数据将存储于MSSQL配置的默认备份文件夹。备份操作前将检查可用空间,若空间不足将提示用户:可清理空间以启用自动备份,或手动执行备份。
    • 对于PGSQL数据库,仅保留最近两次PPM备份,旧备份将在轮换时自动删除。
    • 对于MSSQL数据库,备份不会自动删除,用户需手动清理。
    • 若升级失败,可利用备份恢复实例的最后已知正常工作状态。恢复流程请联系技术支持。

配置

  • 在添加监控设备时,'验证登录'操作抛出RPC服务器不可用错误

    可能原因及解决措施: 可能原因:设备机器的RPC(远程过程调用)端口被其他防火墙阻塞。 解决方案:在防火墙中解除RPC端口的阻塞。

  • 在添加监控设备时,“验证登录”操作出现“访问被拒绝”错误。

    可能原因及解决措施如下:

    可能原因:设备机无法从事件日志分析器机访问。

    解决方案:使用PING命令检查设备机与事件日志分析器机之间的网络连接。

    可能原因:设备机运行系统防火墙且REMOTEADMIN服务被禁用。

    解决方案:检查设备是否运行系统防火墙。若系统防火墙处于运行状态,请在设备机器的命令提示符窗口执行以下命令:
    netsh firewall set service type=REMOTEADMIN mode=ENABLE profile=all

  • 在执行 WBEM 测试时,测试失败并在 Windows Server 2003 中显示代码为 80041010 的错误消息。

    可能原因及补救措施如下:

    可能原因:Windows 2003 Server默认未安装WMI组件

    解决方案:Windows Server 2003默认未安装Win32_Product类。请按以下步骤添加该类:

    • 在“添加或删除程序”中,单击“添加/删除 Windows 组件”。

    • 在 Windows 组件向导中,选择“管理和监控工具”,然后单击“详细信息”

    • 在“管理和监控工具”对话框中,选择“WMI Windows Installer Provider”,然后单击“确定”

    • 单击“下一步”

  • 如何在Linux操作系统中启用对象访问日志记录?

    可能原因及解决措施如下:

    可能原因:Linux操作系统未启用对象访问日志。

    解决方案:在Linux系统中启用对象访问的步骤如下:

    在文件/etc/xinted.d/wu-ftpd中,按以下方式编辑服务器参数:

    server_args = -i -o -L

  • Solaris 10 中启动和停止 Syslog 守护程序的命令是什么?

    可能原因及补救措施如下:

    可能原因:无法在Solaris 10中启动或停止Syslog守护进程

    解决方案:在Solaris 10中,停止和启动syslogd守护进程的命令如下:

    # svcadm disable svc:/system/system-log:default

    # svcadm enable svc:/system/system-log:default

    在Solaris 10中,若需重启syslogd守护进程并强制其重新读取/etc/syslog.conf配置文件

    # svcadm refresh svc:/system/system-log:default

    (或)

    # svcadm -v restart svc:/system/system-log:default

  • 在配置事件管理时,我遇到 SSL 连接错误。

    若工单工具服务器的HTTPS证书未包含在EventLog Analyzer的JRE证书存储库中,则可能出现此错误。请按以下步骤将证书导入EventLog Analyzer的JRE证书存储库:


    • 当浏览器弹出证书不可信的错误提示时,请允许信任该证书,将其添加至浏览器的证书存储库。
    • 从浏览器中将证书导出为二进制DER文件。
    • 在 Firefox 中,可通过以下步骤操作:
      • 点击网址栏旁的锁形图标,选择"更多信息"。
      • 选择"安全"选项卡,点击"查看证书",再切换至"详细信息"选项卡。
      • 选中证书后点击"导出"。在本地计算机选择保存位置并存储证书。
    • IE浏览器操作路径:Internet选项 > 内容 > 证书 > 个人 > 导出
    • Chrome 浏览器:设置 > 显示高级设置 > 管理证书
    • 使用 keytool 工具将证书导入 EventLog Analyzer 的 JRE 证书存储库。该命令需在 <Eventlog Analyzer 安装目录>/jre/bin 路径下执行。
    • 复制到剪贴板

      keytool -import -alias ticketingtool -keystore <Eventlog Analzyer Home>/jre/lib/security/cacerts -file path-to-certificate-file

      Create an EventLog Analyzer Support Information File (SIF)
    • 输入密钥库密码。请注意默认密码为changeit
  • 在将事件日志分析器与 JIRA 本地版进行配置时,“测试并保存”操作出现验证码验证失败的错误。

    若在配置EventLog Analyzer与JIRA On-Premise时,即使输入有效凭据仍遇到问题,请执行以下步骤:

    • 前往工单系统实例尝试登录账户。
    • 输入有效凭证并完成验证码验证。
    • 现在可重新尝试配置 EventLog Analyzer 与 JIRA 本地版。测试和保存操作将成功完成且无任何错误。

    帮助链接:https://developer.atlassian.com/cloud/jira/software/basic-auth-for-rest-apis/#captcha

    编辑最大尝试次数或禁用验证码的步骤:

    • 登录您的JIRA本地部署账户。
    • 在右上角选择管理,进入系统 > 常规配置 > 编辑设置
    • 在"最大允许认证尝试次数"字段输入期望值。超过此限制后,您需重新通过验证码验证登录JIRA On-Premise账户。否则即使凭有效凭证也无法配置EventLog Analyzer与JIRA On-Premise的集成。
    • 若留空此字段,验证码功能将被禁用。即使多次认证失败后,您仍可尝试将EventLog Analyzer与JIRA本地版集成。
  • 文件完整性监控 (FIM) 故障排除

    若特定文件夹启用了用户名验证,请尝试以下故障排除方法:

    Create an EventLog Analyzer Support Information File (SIF)
    注意:以下图形界面适用于文件夹属性中的SACL条目。
    Create an EventLog Analyzer Support Information File (SIF)
  • 端口管理错误代码

    以下列出部分常见错误、其成因及可能的解决方案。如有疑问,欢迎随时联系我们的支持团队。 

    端口已被其他应用程序占用

    原因:指定端口已被其他应用程序占用。

    解决方案:可通过修改指定应用程序的端口或使用新端口解决此问题。

    若使用新端口,请确保通过手动或自动日志转发配置修改转发设备的端口设置。

    TLS未配置

    原因:HTTPS 未配置为支持 TLS 加密日志。

    解决方案:配置服务器使用自签名证书或有效的PFX证书。

    更多详情请参阅连接设置。

    未配置PFX

    原因:已配置HTTPS,但证书类型不受支持。

    解决方案 1:若未使用有效证书,建议使用 SelfSignedCertificate。 

    要查找使用的证书类型,

    • 打开Conf/Server.xml文件检查连接器标签。
    • 检查 keystoreFile 属性的扩展名。

    解决方案 2:若使用有效 KeyStore 证书,请在<EventLog Analyzer 安装目录>/jre/bin终端执行以下命令:

    keytool -importkeystore -srckeystore <证书路径> -destkeystore server.pfx -deststoretype PKCS12 -deststorepass <密码> -srcalias tomcat -destalias tomcat

    更多详情请访问连接设置。

    外部错误

    原因:未知外部问题。

    解决方案:请联系EventLog Analyzer 技术支持

  • 事件源文件配置出现“无法发现文件”错误。

    可能的补救措施包括:

    • 检查机器的凭据。
    • 检查设备连接状态。
    • 确保远程注册表服务未被禁用。
    • 用户应具备管理员权限。
    • 无法删除已打开的密钥及包含子密钥的密钥。
  • 如何更改 PostgreSQL 超级用户密码

    执行位于<EventLog Analyzer安装目录>/bin文件夹中的changeDBPassword.bat/sh文件。

    Windows:

    • changeDBPassword.bat -U postgres -p <旧密码> -P <新密码>

    Linux:

    • changeDBPassword.sh -U postgres -p <旧密码> -P <新密码>
  • 处理重复的 Windows 设备

    问题描述:

    部分Windows设备因用户界面问题(已识别为ELA 12260)出现重复显示。

    已采取措施:

    本地收集器关联处理:

    若重复设备关联的本地收集器拥有最旧日志采集时间戳,则该设备将被删除。

    远程收集器关联(最后消息时间较短):

    满足以下条件的重复设备将被禁用:

    它们关联到远程收集器。

    当前日期与最后消息时间的差值小于保留期。

    关联远程收集器且最后消息时间较长的重复设备:

    当满足以下条件时,具有最旧日志收集时间戳的重复设备将被删除:

    与远程收集器关联。

    当前日期与最后消息时间的差值超过保留期。

    配置文件重映射:

    若被删除或禁用的设备曾配置于以下配置文件:应用程序、导入、告警、报表、日志收集过滤器、系统日志转发器、代理,则需重新映射以确保功能持续有效。

    客户需采取的操作:

    设备重新配置:

    涉及设备组配置、日志收集失败告警、合规性及自定义日志解析器的设置,请重新配置相应设备。错误设备可能因前述界面问题导致配置失误。

  • 在转发审计日志时,有时具有安全增强功能(SElinux)的 Red Hat 系统中的默认策略不会允许读取审计日志。

    • 问题:当 SELinux(安全增强)启用时,某些默认策略会阻止在转发过程中读取 Red Hat Linux 系统的审计日志。
    • 解决方案:在 etc/audisp/plugins.d/syslog.conf 中添加 "active=yes" 可实现审计日志转发;或在 CentOS/RHEL v8 及更高版本中创建 etc/audit/plugins.d/syslog.conf 文件并添加以下内容:
    复制到剪贴板

    active = yes

    direction = out

    路径 = 内置系统日志

    类型 = 内置

    args = LOG_INFO

    格式 = 字符串

    注意:此操作将审计日志转发至syslog服务。需启用"通过syslog服务转发日志"功能,方可在EventLog Analyzer服务器接收日志。

  • 如何在事件日志分析器中添加组织范围的代理证书?

    • 执行命令前请确保代理证书文件已准备就绪。
    • 使用 keytool 工具将代理证书导入 EventLog Analyzer 的 JRE 证书存储库。该命令需在 <EventLog Analyzer 安装目录>/jre/bin 目录下执行。
    • 复制到剪贴板

      keytool -import -alias ticketingtool -keystore <Eventlog Analyzer Home>/jre/lib/security/cacerts -file path-to-certificate-file

      Create an EventLog Analyzer Support Information File (SIF)
    • 输入密钥库密码。默认密码为changeit

文件完整性监控 (FIM) 中的错误状态。

  • 权限被拒绝

    原因

    • 凭据可能不正确。
    • 凭据权限不足。
    • 可能存在权限不足的临时文件夹。
    • 用户对代理文件夹无权限。

    解决方案

    • 可通过访问SSH终端检查凭据。
    • 凭据必须具备启动、停止和重启审计守护进程的权限,同时需允许向Linux设备传输文件。
    • 若存在临时文件夹,请设置其权限。
      复制到剪贴板

      setfacl -R -m u:<username>:rwx /opt/ManageEngine/temp

    • 为代理文件夹设置权限。
      复制到剪贴板

      setfacl -R -m u:<username>:rwx /opt/ManageEngine/EventLogAnalyzer_Agent

      适用于 CentOS/RHEL v8 及更高版本/Ubuntu/openSUSE/Debian/Fedora:
      复制到剪贴板

      setfacl -m u:<username>:w /etc/audit/plugins.d/elafim.conf

      适用于 CentOS/RHEL v6 至 v7.9:
      复制到剪贴板

      setfacl -m u:<username>:w /etc/audisp/plugins.d/elafim.conf

  • 审计服务不可用

    原因
    • 所选 Linux 设备中未安装 audit 守护进程服务。

    解决方案

    • 必须与 Audisp 一起安装审计守护进程软件包。
  • 来自 SELinux 的访问限制

    原因

    • SELinux阻碍了审计进程的运行。

    解决方案

    • 可使用getenforce命令检查 SELinux 是否存在。
    • 将 SELinux 配置为允许模式。将其更改为允许模式后,导航至“管理代理”页面,点击“重新安装”以重新安装代理。
  • 代理升级失败

    原因
    • 产品升级期间无法连接代理。
    • 凭据不正确。

    解决方案

    • 手动安装代理程序:请导航至"管理代理"页面
    • 安装代理步骤:

      Windows设备:运行 EventLogAgent.msi。

      Linux设备: 执行chmod +x EventLogAgent.bin,随后运行EventLogAgent.bin。

  • 代理安装失败

    原因
      • 机器可能处于离线模式。
      • 机器可能不存在。
      • 网络路径可能不可达。

    解决方案

      • 要确认设备是否存在,可对其进行ping操作。
      • 手动导航至管理代理页面 安装代理。
  • 在不兼容平台上安装代理

    原因
    • 代理程序安装在既非Linux也非Windows操作系统的主机上。
    解决方案
    • 支持的 Linux 发行版包括 CentOS、Debian、Fedora、openSUSE、Red Hat 和 Ubuntu。
    • 支持Windows 5.2(Windows Server 2003)以上的版本。
  • ACL 软件包未安装

    原因:

    所选 Linux 设备中未安装 acl 软件包。

    解决方案:

    必须安装 acl 软件包。

  • 无法通过SSH连接代理

    原因:
    • 由于缺少SSH算法。
    • "/opt/ManageEngine" 目录权限不足
    解决方案:
  • 如何检查 auditd 中是否启用了不可变规则?

    执行以下命令验证不可变规则是否启用:

    复制到剪贴板

    执行以下命令:

    若配置中存在"enabled 2"字样,表明不可变规则处于激活状态。此设置将阻止Linux代理将任何新配置的审计规则应用于EventLog Analyzer中指定的监控位置。

    解决方案:

    • 运行以下命令定位不可变规则 (-e 2)
      复制到剪贴板

      grep -rniw -e '-e' /etc/audit/

      并在相关文件中注释掉或删除该配置项。
    • 重启机器以应用更新后的配置。
    • 为确认不可变规则已失效,请执行以下命令并检查配置中是否存在"enabled 1"字段。
      复制到剪贴板

      auditctl -s

日志接收器

  • 若网络捕获驱动不可用该如何处理?

    网络捕获驱动程序是允许EventLog Analyzer捕获并处理来自不同来源的网络日志的文件,包括npf.sys、Packet. dll和wpcap.dll等文件这些文件必须存储在Windows系统目录中以确保任何需要它们的应用程序都能访问。

    若网络捕获驱动程序不可用,请将文件从EventLog Analyzer安装目录移动至Windows系统目录。具体操作步骤如下:

    将网络捕获驱动程序文件移至Windows系统目录的步骤

    • 导航至 <事件日志分析器安装目录>\bin 目录。
    • 以管理员权限打开命令提示符并执行 register-driver.exe。
    • 检查控制台输出以确保文件已成功复制。

    若操作失败,请执行以下手动流程。

    手动复制网络捕获驱动程序文件的步骤

    • 从<EventLogAnalyzer_Installation_Directory>\lib\native文件夹复制npf.sys、wpcap.dll和Packet.dll文件。
    • 将文件粘贴至以下文件夹:
      • npf.sys 复制到 C:\Windows\system32\drivers\
      • wpcap.dll, Packet.dll 至 C:\Windows\system32\

    最后,在事件日志分析器中打开并刷新日志接收器窗口。

    注意:此步骤仅适用于在Windows系统上安装的EventLog Analyzer。

自动日志转发

  • 权限被拒绝

    原因:

    对 rsyslog.conf 或 syslog.conf 文件的权限不足。

    解决方案:

    为 rsyslog.conf 或 syslog.conf文件设置权限。

日志收集与报表

  • 已添加设备,但事件日志分析器未收集其事件日志

    可能原因:EventLog Analyzer服务器端无法访问设备端机器
    解决方案: 检查设备机器是否响应ping命令。若无响应,则该机器不可达。设备机器必须可从事件日志分析器服务器访问,才能收集事件日志。
    可能原因:您在设备机器上没有管理员权限
    解决方案: 编辑设备详细信息,输入设备机器的管理员登录凭据。点击"验证登录"查看登录是否成功。

    错误代码 0x251C

    可能原因:该设备是在导入其关联的应用程序日志时添加的。此情况下,仅从设备收集指定的应用程序日志,且设备类型显示为未知。

    解决方案:

    • 点击设备名称旁的更新图标。
    • 选择对应的设备类型。
    • 为所选设备类型提供其他必要信息。
    • 点击更新。
  • 当我点击“验证登录”时,设备出现访问被拒绝错误,但我已提供正确的登录凭据

    可能原因:访问被拒绝错误可能由其他因素导致。
    解决方案: 请查阅验证登录过程中出现的错误代码对应的"原因与解决方案"。


     错误代码 00x80070005, 5 

    Windows工作站扫描失败,可能由以下原因之一导致:

    • 工作站中提供的扫描登录名和密码无效。 解决方案:检查登录名和密码是否输入正确。
    • 远程工作站禁用了远程DCOM选项 解决方案:
    • 检查远程工作站是否启用了远程DCOM。若未启用,请按以下方式启用:

      • 选择开始 > 运行。
      • 在文本框中输入 dcomcnfg,然后单击“确定”。
      • 选择默认属性选项卡
      • 选中本计算机启用分布式 COM复选框。
      • 单击确定。

      在Windows XP设备上启用DCOM:

      选择开始 > 运行

      • 在文本框中输入 dcomcnfg,然后单击“确定”
      • 单击组件服务 > 计算机 > 我的计算机
      • 右键单击并选择“属性”
      • 选择“默认属性”选项卡
      • 选中“在此计算机上启用分布式 COM”复选框
      • 单击“确定”
    • 目标计算机上的用户账户无效。

    请在目标计算机上打开命令提示符,执行以下命令验证用户账户是否有效:

    复制到剪贴板

    net use \<远程计算机名称>C$ /u:<域用户名> "<密码>"

    net use \<远程计算机名称>ADMIN$ /u:<域用户名> "<密码>"

    若执行上述命令出现任何错误,则表明提供的用户账户在目标计算机上无效。

    错误代码 0x80041003

    用于扫描的用户名没有足够的访问权限来执行扫描操作。该用户可能不属于此设备机器的管理员组。

    解决方案:将该用户移至工作站的管理员组,或使用管理员账户(建议使用域管理员账户)扫描设备。

    错误代码 0x800706ba

    远程计算机配置了防火墙。此类例外情况多发生于启用了默认Windows防火墙的Windows XP(SP 2)系统中。

    解决方案:

    • 禁用Windows XP机器的默认防火墙:
    • 选择开始 > 运行

      输入 Firewall.cpl 并单击确定

      常规选项卡中,点击关闭

      单击确定

    •  若无法禁用防火墙,请在远程计算机上执行以下命令启动管理员远程管理:
    • 复制到剪贴板

      netsh firewall set service RemoteAdmin

      扫描完成后,可通过以下命令禁用远程管理:

      复制到剪贴板

      netsh firewall set service RemoteAdmin disable

      错误代码 0x80040154
      • 远程Windows工作站中无法使用WMI。此问题常见于Windows NT系统。若WMI组件未正确注册,更高版本的Windows系统也可能出现此类错误代码。
      • 解决方案:在远程工作站安装WMI核心组件。

      • WMI组件未注册。
      • 解决方案: 在命令提示符中执行以下命令注册WMI DLL文件:winmgmt /RegServer

      错误代码 0x80080005

      设备机器上运行的WMI服务(winmgmt.exe)存在内部执行故障。该工作站的WMI存储库最近一次更新可能已失败。

      解决方案:

      在远程工作站重启WMI服务:

      • 选择开始 > 运行
      • 输入 Services.msc 后单击确定
      • 在打开的服务窗口中,选择Windows 管理工具服务
      • 右键单击并选择“重新启动”

      错误代码 1722、1726、1753、1825

      可能原因:设备机器的RPC(远程过程调用)端口被其他防火墙阻塞。

      解决方案:在防火墙中解除RPC端口的封锁。

      其他错误代码请参阅MSDN知识库

  • 我已添加自定义告警配置文件并启用,但设备主机虽已发生事件,EventLog Analyzer中仍未生成告警

    可能原因:告警条件未正确定义

    解决方案:请确保在"添加告警配置文件"界面正确填写必填字段。核对所填电子邮箱地址是否准确,并确认邮件服务器配置无误。

  • 创建自定义报表时,消息过滤器中配置的报表内容未显示

    可能原因:消息过滤器未正确定义
    解决方案:消息过滤器 中输入与日志消息匹配字符串时,请确保完全复制/输入Windows事件查看器中显示的字符串。
    例如:登录名:John

  • 用于EventLog Analyzer的MS SQL服务器已停止

    可能原因:MS SQL事务日志可能已满
    解决方案: 若事件日志分析器MS SQL数据库事务日志已满,请按以下步骤进行收缩:

    • 停止事件日志分析器服务器/服务 (通过事件日志分析器服务器机器的任务管理器确认进程'SysEvtCol.exe'和'Java.exe'未运行)。
    • 连接MS SQL客户端(使用Microsoft SQL Server Management Studio)并执行以下查询:
      sp_dboption 'eventlog', 'trunc. log on chkpt.', 'true'
      执行查询时,请选中并高亮显示上述命令后按F5键。
    • 执行上述命令后,选中并高亮显示下方命令,按F5键执行:
      DBCC SHRINKDATABASE (eventlog)
    • 注意:此过程耗时取决于EventLog Analyzer数据库的大小。
    • 启动事件日志分析器 
  • 已成功配置Oracle设备,但仍无法查看数据

    若Oracle设备运行Windows系统,请在该机器上打开事件查看器,在应用程序类型下检查Oracle源日志。若为Linux系统,请检查用于写入Oracle日志的相应日志文件。若指定文件中存在Oracle日志 但EventLog Analyzer仍无法收集日志,请联系EventLog Analyzer技术支持

    扫描操作所用的用户名没有足够的访问权限来执行扫描操作。该用户可能不属于该设备机器的管理员组。

  • Syslog主机未自动添加至EventLog Analyzer/Syslog接收突然中断

    请通过EventLog Analyzer实时Syslog查看器检查传入的Syslog数据包。

    若能正常查看日志,说明数据包已到达设备但未进入EventLog Analyzer。请检查Windows防火墙或Linux IP表设置。

    若无法在Syslog查看器中查看日志,请确认EventLog Analyzer服务器是否可达。可通过以下方式验证:

    • 对服务器进行Ping操作。
    • 对于 TCP,可尝试使用命令telnet <ela_server_name> <port_no>,其中 514 是默认 TCP 端口。
    • tcpdump
    • 复制到剪贴板

      tcpdump -n dst <ela_server_name> and dst port <port_no>

    若可访问,则表明配置存在问题;若不可访问,则表明存在网络问题。

EventLog Analyzer 代理管理

若通过事件日志分析器控制台、组策略对象或软件安装工具安装代理时遇到困难,可尝试手动安装代理。以下是手动安装代理的步骤。

  • 从EventLog Analyzer服务器无法访问代理

    若代理程序在手动安装时未配置凭据,或凭据更新错误,将导致"服务器无法访问代理"状态(见下图截图)。

    Create an EventLog Analyzer Support Information File (SIF)

    在此状态下,对代理执行的以下操作不会立即生效:

    • 强制重启代理
    • 停止代理
    • 更新设备IP和凭证
    • 添加、删除、启用或禁用设备/日志收集过滤器/FIM
    • 更新FIM模板
    • 更新监控间隔
    注意:此图标不影响日志收集过程,无论是否显示该图标,日志均会持续收集。

    此外,由于凭据无效,启动和卸载代理等操作必须手动执行,无法通过用户界面完成。

    若需隐藏表示服务器无法连接代理的云图标,或需要实时操作,请确保准确更新凭据。

  • 代理状态显示为"未通信"

    当代理程序与服务器长时间无法通信时,将显示"代理程序未通信"状态。

    此时应执行以下操作:

    • 确保代理设备可访问事件日志分析器服务器。
    • 验证注册表中是否更新了最新服务器信息 [计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\ZOHO Corp\EventLogAnalyzer\ServerInfo]
    • 检查是否有防病毒软件或防火墙阻断服务器与代理的通信。如有阻断,请为EventLog Analyzer代理设置防病毒软件的排除项。
    • 确保事件日志分析器代理服务正在运行,必要时启动该服务。
    注意:若遵循上述步骤后问题仍未解决,请联系技术支持。
  • 服务器迁移后如何更新EventLog Analyzer代理中的ServerInfo?

    服务器迁移后更新EventLog Analyzer代理程序ServerInfo的步骤

    Windows 代理

    • 打开注册表编辑器,导航至:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\ZOHO Corp\EventLogAnalyzer\
      Create an EventLog Analyzer Support Information File (SIF)
    • 选择ServerInfo,在对应字段中输入新的服务器IP地址服务器名称
    • 最后重启EventLog Analyzer代理程序以建立与新服务器的连接。

    Linux 代理

    • 打开/opt/ManageEngine/EventLogAnalyzer_Agent/conf/serverDetails文件。
    • 在对应字段中更新新的SERVER_NAME和SERVER_IPADDRESS。
      Create an EventLog Analyzer Support Information File (SIF)
    • 最后,重新启动事件日志分析器代理程序以建立与新服务器的连接。

性能

  • 故障排除请按以下步骤操作:

    • 检查是否有其他应用程序占用了事件日志分析器的CPU周期。
    • 若使用虚拟机,请检查是否存在过度配置或快照影响性能的情况。
    • 若日志流量过高,请查阅我们的调优指南

向事件日志分析器添加STIX/TAXII服务器时的错误信息

在尝试向事件日志分析器添加STIX/TAXII服务器时,我收到了以下错误信息。这些信息意味着什么?

  • 此功能已在在线演示中禁用!

    当您尝试使用的功能在EventLog Analyzer在线演示版本中不可用时,会弹出此错误提示。如需体验该功能,请下载EventLog Analyzer免费版本。

  • 连接失败。请尝试配置代理服务器。

    此错误信息可能由多种原因导致,包括网络问题、代理相关问题、网络请求异常,或URL无法定位STIX/TAXII服务器。

  • 连接到 URL 失败。

    此错误信息表示输入的URL格式错误。

  • 授权失败。

    此错误信息表示输入的凭据不正确。

SSL 故障排除步骤

  • 证书名称不匹配

    描述:

    当SSL证书的通用名称与安装EventLog Analyzer服务器的域名不完全匹配时,将引发此错误。

    解决方案:

    请为安装EventLog Analyzer的服务器当前主机名获取新的SSL证书。

  • 证书无效

    描述:

    当您在EventLog Analyzer中配置的SSL证书无效时会出现此错误。证书可能因过期或其他原因失效。

    解决方案:

    请将EventLog Analyzer配置为使用有效的SSL证书。

  • 证书不受 JVM 信任

    描述:

    当您在EventLog Analyzer中配置使用SSL的SMTP邮件服务器或Web服务器时,若服务器采用自签名证书,将引发此异常。除非明确导入,否则EventLog Analyzer使用的Java运行时环境不会信任自签名证书。

    解决方案:

    需将服务器使用的自签名证书导入EventLog Analyzer所用JRE环境。请按以下步骤操作:

    步骤1:下载证书

    针对SMTP服务器:

    注意:
    • 要下载SMTP服务器使用的证书,您必须安装OpenSSL。可从此处下载。
    • 打开命令提示符,切换至OpenSSL安装目录下的bin文件夹。
    • 现在运行以下命令:
    复制到剪贴板

    openssl.exe s_client -connect SMTPServer: Portno -starttls smtp > 证书名称.cer

    • 例如:openssl.exe s_client -connect smtp.gmail.com:587 -starttls smtp > gmailcert.cer

    针对Web服务器:

    • 在浏览器中打开网页地址。
    • 点击地址栏上的挂锁图标。
    • 点击“更多信息”。这将打开证书查看器窗口,显示该网页服务器使用的证书。
    • 点击查看证书。
    • 当显示证书颁发机构信息的窗口打开时,点击“详细信息”选项卡。
    • 点击“复制到文件”。
    • 在打开的证书导出向导中,点击“下一步”。
    • 选择格式为DRE编码二进制X.509(.CER)文件,点击下一步。
    • 输入文件保存路径后点击完成。

    步骤 2:将证书导入 EventLog Analyzer 的 JRE 软件包。

    • 打开命令提示符并切换至 \jre\bin 文件夹。例如:C:\ManageEngine\EventLogAnalyzer\jre\bin。
    • 运行以下命令:
    • 复制到剪贴板

      Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file

    • 例如:Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\smtpcert.cer
    • 在密码提示时输入 changeit。
    • 在提示输入“是”或“否”时输入 y。
    • 关闭命令提示符窗口,重启EventLog Analyzer。

威胁情报故障排除技巧

  • IP 地理位置数据存储损坏

    当产品在数据存储更新期间关闭且无可用备份时可能发生此情况。

    故障排除步骤:

    • 此为罕见情况,仅发生在产品首次下载IP地理位置数据时突然关闭。

    • 无需进行故障排除,EventLog Analyzer将在下次计划任务时自动下载数据。请注意IP地理位置数据每日21:00自动更新。

  • IP地理位置数据更新失败

    当EventLog Analyzer服务器无互联网连接或服务器不可达时会发生此情况。

    故障排除步骤:

    • 请确保网络连接正常。

    • 在防火墙中将以下内容加入白名单:

      • https://creator.zoho.com/
      • https://creatorapp.zohopublic.com/
  • Log360云威胁源服务器不可用

    当产品无法连接到Log360云源服务器时可能发生此情况。

    情况1:防火墙阻断访问

    可能原因:防火墙可能阻断了对Log360云源服务器的访问。

    解决方案

    • 检查防火墙设置,查找可能阻断访问的规则。
    • 若发现任何阻塞规则,请创建允许流量访问Log360Cloud数据源服务器的全新规则。
    • 保存新规则并更新防火墙设置。

    情况2:无法解析DNS

    可能原因:设备无法通过其DNS解析器解析域名。

    解决方案

    • 检查运行该产品的机器上的DNS设置。确保DNS服务器设置正确,且该机器能够与DNS服务器通信。
    • 尝试使用命令行工具(如nslookup或 dig)解析域名,确认DNS解析是否失败。
    • 检查是否存在可能阻断DNS流量的防火墙或安全设置。
    • 若使用代理服务器可解析相关主机的域名,请在产品连接设置中配置该代理服务器。

    若上述方法均无效且问题持续存在,请联系我们的技术支持团队

  • 找不到许可文件

    若无法访问以下页面中的许可文件:https://licensing.manageengine.com,请联系iam-support@manageengine.cn

  • 更新访问密钥(Log360云威胁分析)

    此情况可能由访问密钥失效导致。

    请按以下步骤重新生成访问密钥:

    • 登录 https://log360feeds.manageengine.com/
    • 点击“重新生成密钥”。
    • 在产品中,前往设置 > 管理员设置 > 威胁源 > 高级威胁分析 > Log360 云威胁分析,并添加新密钥。
  • VirusTotal API配额限制已超限

    当您超出任一配额限制(每分钟、每日或每月)时将触发此问题。每日配额于协调世界时00:00自动重置。

    故障排除步骤:

    • 登录VirusTotal账户。
    • 在个人资料 → API密钥 → 过去30天API消耗量中查看API配额(请检查当日API限制)
  • 内部服务器错误

    此错误可能由多种原因导致。

    • 请求已提交至VirusTotal,但存在服务器端内部问题。
    • 请求已提交至Log360云威胁分析系统,服务器端存在内部问题。

    建议客户稍后重试,若仍出现相同错误,请联系"iam-support@manageengine.cn"

  • 默认威胁同步失败

    此情况发生于EventLog Analyzer服务器遭遇网络连接问题时。

    故障排除步骤:

    请确保网络连接正常。

    请在防火墙中将以下项目加入白名单:

    • https://creator.zoho.com/
    • https://creatorapp.zohopublic.com/

时区

  • 如果您的地区实行夏令时(DST),但产品未更新夏令时,该怎么办?

    当产品中的JRE未更新更改时,就会发生这种情况。

    • 从Oracle官网下载Java SE TZUpdater。链接:"https://www.oracle.com/java/technologies/javase-tzupdater-downloads.html"
    • 备份<Eventlog Analyzer_HOME>\jre目录
    • 下载后解压文件,将 tzupdater.jar 复制至 <EventLog Analyzer 安装目录>\jre\bin
    • 停止事件日志分析器服务。
    • 以管理员身份打开命令提示符,导航至<EventLog Analyzer安装目录>\jre\bin。
    • 执行以下命令:
      "java -jar tzupdater.jar -l <请从https://data.iana.org/time-zones/releases/ 选择最新时区更新器链接>"
      例如:
      复制到剪贴板
    • 注:

      若客户环境受限无法访问互联网,请执行步骤6.1和6.2。

      6.1:请从https://data.iana.org/time-zones/releases/选择最新时区更新程序链接,下载 tar.gz 格式的最新时区压缩包。

      6.2 执行以下命令:"java -jar tzupdater.jar -l file:下载的时区数据压缩包.tar.gz"

      例如

      复制到剪贴板

      java -jar tzupdater.jar -l file:"C:/ManageEngine/EventLog/jre/tzdata2023c.tar.gz"

    • 启动事件日志分析器服务

搜索引擎 - Elasticsearch

  • 数据路径不可访问

    什么是 Elasticsearch 数据路径?

    Elasticsearch 将索引的数据写入索引,并将数据流写入数据目录,该目录位于 elasticsearch.yml。若数据路径不可访问,搜索和索引功能将无法运行。

    若数据路径无法写入,将显示以下通知:

    Create an EventLog Analyzer Support Information File (SIF)

    故障排除步骤

    • 打开 elasticsearch.yml 文件,搜索path.data并查看其值。 elasticsearch.yml 文件位于 <安装目录>/EventLog Analyzer/ES/config/elasticsearch.yml
    • 确保运行EventLog Analyzer的服务账户同时具备读写权限。
    • 若路径为网络位置,请确保网络连通性,且运行EventLog Analyzer的机器可访问该网络路径。验证服务器与远程数据路径之间不存在延迟问题。

    如需更改 Elasticsearch 的数据路径,请遵循此指南操作

设备自动分配

  • 无法禁用自动分配功能。

    问题描述:无法禁用自动分配功能。

    可能原因:因环境问题导致数据库值更新失败。

    解决方案:稍后重试。

  • 无法启用自动分配。

    问题描述:无法启用自动分配功能。

    可能原因:因环境问题导致无法更新数据库值。

    解决方案:稍后重试。

  • 无法启用自动分配策略。

    问题描述:无法启用自动分配策略。

    可能原因:因环境问题无法更新数据库值。

    解决方案:稍后重试。

  • 无法禁用自动分配策略。

    问题描述:无法禁用自动分配策略。

    可能原因:因环境问题无法更新数据库值。

    解决方案:稍后重试。

  • 更新自动分配策略失败。

    问题描述:更新自动分配策略失败。

    可能原因:因环境问题无法更新数据库值。

    解决方案:稍后重试。

  • 更新同步设置失败。

    问题描述:自动分配策略更新失败。

    可能原因:

    • 因环境问题无法更新数据库值。
    • 无法与 ADAudit Plus 通信。
    • ADAudit Plus服务器可能已停机。

    解决方案:检查ADAudit Plus服务器状态及通信连接。若均正常,请稍后重试,可能是环境问题。