我在那里可以找到需要发送给EventLog Analyzer支持团队的日志文件呢？
EventLog Analyzer的日志文件位于<EventLogAnalyzer_Home>/server/default/log目录下，当您的EventLog Analyzer运行出现问题时，您需要将此目录下的serverout.txt文件发送给EventLog Analyzer获取支持。

我发现EventLog Analyzer一直崩溃或突然停止收集日志，这是为什么？
EventLog Analyzer内建的MySQL数据库可能会因为其他进程访问EventLog Analyzer的安装目录而崩溃，请将ManageEngine安装目录从以下操作中排除：

防病毒扫描
自动备份软件
VMware虚拟机的快照保存路径

请确保当产品在虚拟机中运行时，虚拟机不存在任何的快照。

如果我不能在Web客户端创建SIF（支持信息文件），那么我需要怎么做呢？
SIF可以帮助我们快速分析您遇到的问题并提出一个解决方案，如果您不能从客户端创建SIF，您可以压缩C:\ManageEngine\Eventlog\server\default\log（默认的日志保存路径）下的所有日志文件

当事件源的信息文件无效时，怎么注册dll？
要注册dll，请参阅此链接中的相关表述：http://ss64.com/nt/regsvr32.html

安装

EventLog Analyzer在安装时显示需要有效的许可文件消息
这个消息可能在以下两种情况下出现：

情况1：您的系统日期与当前的日期不符，在这种情况下，请卸载EventLog Analyzer，重新设置系统日期为当前的日期和时间，然后重新安装EventLog Analyzer。
情况2：您可能提供了一个不正确或过期的许可文件，请验证您应用的许可文件是否从ZOHO公司获得。
如果以上情况不符合您遇到的情形，请联系我们的支持团队support.list@zohocorp.com.cn，以获取支持。

不能将EventLog Analyzer服务器绑定到指定的接口
要将EventLog Analyzer服务器绑定到指定的接口，请参阅以下的步骤：
Eventlog Analyzer作为应用运行：

打开runSEC.bat/sh文件。
在%*或 $*之前的任意位置，添加参数： bin\SysEvtCol.exe -loglevel 3 -port 513 514 %*

-bindip <EventLog Analyzer要绑定到的接口的IP地址>
示例：
bin\SysEvtCol.exe -loglevel 3 -bindip 192.168.111.153 -port 513 514 %*
Eventlog Analyzer作为服务运行：

停止Eventlog Analyzer服务。
打开<Eventlog Analyzer Home>\bin目录下的startDB.bat文件，在mysqld启动命令（以@start开始）中添加--bind-address=<ip-address>项。
打开<Eventlog Analyzer Home>\bin目录下的stopDB.bat文件，将-h <ip-address>添加到命令参数，保存文件。
在修改完之后，命令行如下：
set commandArgs=-P %PORT% -u %USER_NAME% -h <ip-address>
打开<Eventlog Analyzer Home>\server\default\conf目录下的wrapper.conf文件，并执行以下操作：
取消注释第二应用参数“wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar”。
添加以下新的应用参数
wrapper.app.parameter.3=-c default
wrapper.app.parameter.4=-b <ip-address>
wrapper.app.parameter.5=-Dspecific.bind.address=<ip-address>
保存文件。
说明：可通过移除.conf文件中的#标记执行取消注释操作。

打开<Eventlog Analyzer Home>\server\default\deploy目录下的mysql-ds.xml文件，替换connection-url标签下的localhost，将其修改为您要绑定的IP地址，并保存文件。
启动Eventlog Analyzer服务。
在命令提示符中执行netstat -ano来验证设置。

页首

启动与关闭

Windows机器上与MySQL相关的错误
可能的原因： 机器上已经运行了一个MySQL实例
解决方案：关掉所有MySQL实例，然后再启动EventLog Analyzer服务器。
可能的原因： 端口33335被占用
解决方案： 关掉占用33335端口的应用，如果您能释放此端口，请修改EventLog Analyzer使用的MySQL端口。

当尝试启动EventLog Analyzer服务器时，显示“EventLog Analyzer所需使用的端口8400端口已被其它应用占用，请释放端口并重启服务器”信息
可能的原因： EventLog Analyzer的Web服务器端口被占用
解决方案：

关掉占用8400端口的应用，执行下面的步骤：

停止EventLog Analyzer服务
打开<EventLog Analyzer Home>\server\default\conf文件夹下的wrapper.conf文件。
在# Java Additional Parameters部分添加以下内容：

wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true

添加之前：
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
添加之后：
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true

启动EventLog Analyzer服务

如果您不能释放此端口，请修改EventLog Analyzer使用的Web服务器端口。

当登录用户界面时EventLog Analyzer显示“不能绑定端口”
可能的原因：EventLog Analyzer的syslog端口被占用
解决方案：

使用netstat -anp -pudp，检查是否存在进程占用了syslog端口。如果存在，请尝试释放此端口。
如果您使用的是Linux服务器，请使用root用户启动服务器。
或，修改EventLog Analyzer的syslog端口，您需要确保所有的主机都会将syslog发送到新配置的syslog端口。

备份时，启动和关闭在Distributed Edition上不起作用的批处理文件
可能的原因：路径名输入错误.
解决方案：

下载“ Automated.zip ”并将文件“ startELAservice.bat”和“ stopELAservice.bat”解压缩到<ELA home> // bin /文件夹中。
根据您的要求创建Windows计划，并确保路径应为<ELA Home> // bin文件夹。
如果要将文件保存到其他文件夹，则需要编辑下载的文件，并提供如下所示的绝对路径：该应用程序是否安装在e：\>

e：\ ManageEngine \ EventLog \ bin \ wrapper.exe -p .. \ server \ conf \ wrapper.conf --->停止EventLog Analyzer服务。
e：\ ManageEngine \ EventLog \ bin \ wrapper.exe -t .. \ server \ conf \ wrapper.conf --->以启动EventLog Analyzer服务。

注意：仅当应用程序作为服务启动时，该脚本才有效。

EventLog Analyzer显示“无法在端口9300上启动Elasticsearch”。

可能的原因: 未禁用requiretty

解决方案：要禁用requiretty，请在etc/sudoers文件中将 requiretty修改为 requiretty！

注意：Elasticsearch对不同类型的操作使用多个线程池。在必要时创建新线程很重要。请通过在启动Elasticsearch之前将ulimit -u 4096设置为root或通过在/etc/security/limits.conf中添加 elasticsearch-nproc 4096来确保Elasticsearch用户可以创建的线程数至少为4096。

配置

当添加主机时， 验证账号动作提示RPC服务器无效错误。
可能的原因和解决方案：
可能的原因： 主机的RPC（Remote Procedure Call）端口被其它防火墙阻止访问。
解决方案： 配置防火墙，使RPC端口允许访问。

当添加主机时，验证登录动作抛出“拒绝访问”的错误。
可能的原因和解决方案：
可能的原因： 主机从EventLog Analyzer机器不可达。
解决方案： 使用Ping命令检查主机和EventLog Analyzer服务器之间的网络连接。
可能的原因： 主机的系统防火墙，且REMOTEADMIN服务器被禁用。
解决方案： 检查主机中的系统防火墙是否在运行，如果系统防火墙在运行，那么请在此系统中打开一个命令行窗口，执行以下命令：
netsh advfirewall set allprofiles settings remotemanagement enable

当在Windows Server 2003中使用WBEM测试失败时，抛出80041010错误。

可能的原因和解决方案：

可能的原因： 默认设置下，WMI组件没有安装在Windows 2003服务器上。

解决方案： 在Windows Server 2003上，默认未安装Win32_Product类包，要添加此类，请参阅下面的步骤：

打开添加或移除程序窗口，点击添加/移除 Windows组件。
在Windows组件向导窗口，选择管理和监视工具，然后点击详细信息。
在管理和监视工具对话框，选择WMI Windows Installer提供程序，点击确定。
点击下一步。

怎样在Linux操作系统中启用对象访问的记录？

可能的原因和解决方案：

可能的原因： 在Linux系统中未启用对象访问记录。

解决方案：在Linux系统中启用对象访问记录，请参阅以下步骤：

打开文件/etc/xinted.d/wu-ftpd，编辑服务器参数，如下所示：

server_args = -i -o -L

在Solaris 10中，启动和停止Syslog守护进程的命令是什么？

可能的原因和解决方案：

可能的原因： 不能在Solaris 10中启动或停止Syslog守护进程

解决方案： 在Solaris 10中停止或启动syslogd守护进程的命令为：

# svcadm disable svc:/system/system-log:default

# svcadm enable svc:/system/system-log:default

在Solaris 10中重启syslogd守护进程，并强制重读/etc/syslog.conf:

# svcadm refresh svc:/system/system-log:default
或
# svcadm -v restart svc:/system/system-log:default

页首

使用ServiceDesk配置事件管理时，我遇到SSL连接错误。

如果EventLog Analyzer的JRE证书存储中未包含ServiceDesk服务器的HTTPS证书，则可能发生此错误。要将证书导入到EventLog Analyzer的JRE证书存储中，请按照以下步骤操作：

通过在浏览器引发错误（表明证书不受信任）时允许信任，将服务器的证书放置在浏览器的证书存储区中。
从浏览器将证书导出为二进制DER文件。

对于Firefox，您可以在“偏好设置” >“ 高级” >“ 加密” >“ 服务器”下找到它

对于IE，请选择Internet选项 > 内容 > 证书 > 个人 > 导出（对于Chrome浏览器），设置 > 显示高级设置 > 管理证书

使用keytool实用程序将证书导入到EventLog Analyzer的JRE证书存储中。 keytool -import -alias SDP服务器 -keystore EventLog Analyzer主页 / lib / security / cacerts-文件证书路径输入密钥库密码。请注意，默认密码为changeit。

文件完整性监控（FIM）故障排除

如果为特定文件夹启用了用户名，请尝试以下疑难解答。

注意：以下GUI用于文件夹属性中的SACL条目。

文件完整性监视（FIM）中的错误状态。

1.权限被拒绝

原因

凭据可能不正确。
特权不足的凭证。

解决方案

可以通过访问SSH终端来检查凭据。
需要具有启动，停止和重新启动审核守护程序以及将文件传输到Linux设备的特权的凭据。

2. 审核服务不可用
原因

选定的Linux设备中不存在审计守护程序服务。

解决方案

审核守护程序软件包必须与Audisp一起安装。

3. 来自SELinux的访问限制

原因

SELinux阻碍了审核过程的运行。

解决方案

可以使用 getenforce命令检查SELinux的存在。
在许可模式下配置SELinux。将其更改为许可模式后，导航至“管理代理” 页面，然后单击 “重新安装”以重新安装代理。

4.代理升级失败的
原因

产品升级期间与代理无连接。
凭证不正确。

解决方案

通过导航到 “管理代理”页面来手动安装代理。
要安装代理：
Windows设备：运行EventLogAgent.msi。
Linux设备：执行chmod +x EventLogAgent.bin, 然后运行EventLogAgent.bin。

5.代理安装失败的
原因

机器可能处于离线模式。
机器可能不存在。
网络路径可能无法访问。

解决方案

要确认该设备是否存在，可以对其执行ping操作。
通过导航到 “管理代理”页面来手动安装代理。

6.在不兼容平台上的代理安装

该代理安装在既没有Linux也没有Windows OS的主机上。

解决方案

支持的Linux发行版是CentOS，Debian，Fedora，openSUSE，Red Hat和Ubuntu。
支持大于5.2的Windows版本（Windows Server 2003）。

端口管理错误代码

以下是一些常见错误，其原因以及解决该问题的可能解决方案。如有任何信息，请随时与我们的支持团队联系。

端口已被其他程序使用

原因：无法使用指定的端口，因为其他应用程序已使用该端口。
解决方案: 可以通过更改指定应用程序中的端口或使用新端口来解决此问题。
如果使用新端口，请确保手动或使用自动日志转发配置更改转发设备中的端口。

TLS未配置

原因:HTTPS未配置为支持TLS加密日志。
解决方案：: 将服务器配置为使用自签名证书或有效的PFX证书。
有关更多详细信息，请访问连接设置。

未配置PFX

原因: 已配置HTTPS，但不支持证书类型。
解决方案1: 如果未使用有效的证书，建议使用SelfSignedCertificate。
要找到使用的证书类型，
打开Conf / Server.xml文件，检查连接器标签。
检查属性keystoreFile的范围。
解决方案2: 如果使用了有效的KeyStore证书，请打开CMD命令行导航到 <EventLog Analyzer home>/jre/bin执行以下命令。
keytool -importkeystore -srckeystore <证书路径> -destkeystore server.pfx -deststoretype PKCS12 -deststorepavss <密码> -srcalias tomcat -destalias tomcat
有关更多详细信息，请访问连接设置。

外部错误

原因: 未知的外部问题。
解决方案: 请联系 EventLog Analyzer技术支持

事件源文件的配置会引发“无法发现文件”错误。

可能的补救措施包括：
检查机器的凭证。
检查设备的连接性。
确保未禁用远程注册表服务。
用户应具有管理员权限。
不能删除打开键和带有子键的键。

日志收集和报表

我已经添加了一台主机，但是EventLog Analyzer不能收集它的事件日志。
可能的原因：主机从EventLog Analyzer机器不可达。
解决方案：使用Ping命令检查主机是否响应，如果无响应，那么表示主机不可达。要收集事件日志，主机必须对EventLog Analyzer服务器可达。
可能的原因：您在主机上没有管理权限。
解决方案： 编辑主机明细，输入主机的管理员登录凭证，点击验证登录，检查是否登录是否成功。

当我点击登录时，出现禁止访问错误，但是我已经给出了正确验证信息。
可能的原因： 可能出现其它的原因导致访问被拒。
解决方案： 请参考下表中的错误代码、错误原因及解决方案。

错误编码	原因	解决方案
0x80070005	Windows工作站扫描失败可以归于以下几个原因：
	用于扫描的登录用户名和密码无效。	检查用户名或密码是否正确。
	在远端工作站远程DCOM选项被禁止。	在远程工作站检查远程DCOM是否启用。如果禁止，则使用下面的方法启用：选择开始 >运行打开`dcomcnfg`并点击确定选择默认属性标签选择在这台主机启动分布式COM复选框点击确定在Windows XP主机启动DCOM: 选择开始 >运行打开`dcomcnfg`并点击确定在服务组件>计算机>我的电脑右击选择属性选择默认属性标签选择在这主机上启动分布式COM复选框点击确定
	远程主机上用户账号无效	通过执行下面命令在远程主机上检查用户账号是否有效： `net use \\<RemoteComputerName>\C$ /u:<DomainName\UserName> "<password>"` `net use \\<RemoteComputerName>\ADMIN$ /u:<DomainName\UserName> "<password>"` 如果这使用这些命令之后仍然有错误，那么可能是在目的主机上提供的是用户账号和密码有误。
0x80041003	用户没有扫描操作的访问权限。可能用户并不属于这台主机的管理员组。	添加用户到管理组或者使用管理员（拥有更高权限）的账号。
0x800706ba	在远端主机上开启了防火墙。像这样的异常一般发生在Windows XP(sp2)系统上，因为此系统的防火墙默认是开启的。	禁用默认防火墙在Windows XP主机上: 选择开始 > 运行打开 `Firewall.cpl`并点击确定在常规标签,点击禁用点击确定如果防火墙不能禁用，使用管理员账号远程登录主机执行下面命令： `netsh firewall set service RemoteAdmin` 描述结束之后，执行下面命令，您可以禁用管理员远程访问： `netsh firewall set service RemoteAdmin disable`
0x80040154	远程Windows工作站WMI无效，这在Windows NT上可能发生。如果WMI组件没有正确注册，这种错误也可发生在高版本的Windows系统上。没有注册WMI组件	在远端工作上安装WMI核心组件。您可以从 Microsoft 网站上下载得到。在命令窗口，执行下面命令注册WMI DLL文件: `winmgmt /RegServer`
0x80080005	这可能是运行WMI服务(winmgmt.exe)的主机内部错误。主机上的的WMI仓库最后更新失败。	在远程工作站上重启WMI 服务：选择开始 > 运行打开 Services.msc 并点击确定 Windows服务窗口将会打开, 选择 Windows Management Instrumentation 服务。右击并选择重启
更多错误代码信息，请参阅 MSDN知识库

我已经添加并启用了一个自定义告警配置文件，但是在主机事件出现后，EventLog Analyzer没有生成对应的告警信息。
可能的原因： 告警条件可能没有正确定义
解决方案：请确保告警配置文件中所需的字段定义正确，检查邮件地址和邮件服务器是否配置正确。

当我创建了一个自定义报表后，并没有获得在信息过滤器中设置的报表信息。
可能的原因： 信息过滤条件未正确定义
解决方案：当您在信息过滤中输入条件来匹配日志消息时，确保您复制/输入的字段是Windows事件查看器中看到的字段。
例如：Logon Name:John

EventLog Analyzer的MS SQL数据库服务器宕机

可能的原因： MS SQL的事务日志可能已满。
解决方案： 如果EventLog Analyzer MS SQL数据库事务日志已满，请执行以下的步骤：

停止Eventlog Analyzer服务器/服务（在Eventlog Analyzer服务器机器的任务管理器上确认，进程SysEvtCol.exe和Java.exe没有运行）
连接MS SQL客户端（使用Microsoft SQL Server Management Studio），并执行以下查询：
sp_dboption 'eventlog', 'trunc. log on chkpt.', 'true'
执行完以上命令后，选择以下命令，并执行：

DBCC SHRINKDATABASE (eventlog)

注意

启动Eventlog Analyzer

我成功配置了Oracle主机，但是却得不到对应的数据

如果Oracle主机是Windows操作系统，请在那台机器上打开事件查看器，在应用类型下查看Oracle源日志，如果是Linux，请检查相应的Oracle日志的文件。如果执行的文件中有Oracle日志，但是ELA仍然无法收集到日志数据，请联系我们的支持团队。

Syslog主机未自动添加到EventLog Analyzer / Syslog接收突然停止

检查EventLog Analyzer的实时Syslog Viewer中是否有传入的Syslog数据包。

如果您能够查看日志，则意味着数据包正在到达计算机，但无法到达EventLog Analyzer。您需要检查Windows防火墙或Linux IP表。

如果您无法在Syslog查看器中查看日志，请检查EventLog Analyzer服务器是否可访问。可以通过以下方式完成此操作：

1. 对服务器执行ping操作。

2. 对于TCP，您可以尝试使用命令 telnet <ELA服务器名称> <端口号> 其中514是默认TCP端口

3. tcpdump

tcpdump -n dst <ELA服务器名称> and dst port <端口号>

如果可以访问，则表示配置存在问题。如果无法访问，则您面临网络问题。

EventLog Analyzer代理管理

如果使用EventLog Analyzer控制台，GPO或软件安装工具安装代理时遇到问题，则可以尝试手动安装代理。

性能

要进行故障排除，请按照以下步骤操作：

检查其他应用程序是否阻塞了EventLog Analyzer的CPU周期。
如果使用虚拟机，请检查是否有过度配置或快照是否影响性能。
如果日志流量很高，请查看我们的调整指南。.

将STIX / TAXII服务器添加到EventLog Analyzer时的错误消息

在线演示已禁用此功能！

当您尝试使用的功能在EventLog Analyzer的在线演示版本中不可用时，会弹出此错误消息。要试用该功能，请下载EventLog Analyzer的免费版本。

连接失败。请尝试配置代理服务器。

可能由于不同的原因导致此错误消息。这可能是由于网络问题，与代理相关的问题，网络中的错误请求，或者URL无法找到STIX / TAXII服务器。

无法连接到URL。

此错误消息表示输入的URL格式错误。

授权失败。

此错误消息表示输入的凭据错误。

SSL故障排除步骤

证书名称不匹配

描述：

当SSL证书的公用名与安装EventLog Analyzer的服务器的主机名不完全匹配时，将发生此错误。

解决方案：

请获取安装了EventLog Analyzer的服务器的当前主机名的新SSL证书。

无效的证书

描述：

当您使用EventLog Analyzer配置的SSL证书无效时，会发生此错误。如果证书已过期或其他原因，则可能无效。

解决方案：

请配置EvnetLog分析器以使用有效的SSL证书。

短信设置

对SMS服务器设置中的SSLHandshakeException进行故障排除。

描述:

在EventLog Analyzer中使用SSL配置SMTP邮件服务器或Web服务器时，会发生此异常，并且该服务器使用自签名证书。除非明确导入，否则EventLog Analyzer中使用的Java运行时环境将不信任自签名证书。

解决方案：
您需要在EventLog Analyzer使用的JRE包中导入服务器使用的自签名证书。请按照以下步骤操作：

步骤1: 下载证书

对于SMTP服务器：

注意：

要下载SMTP服务器使用的证书，您必须安装OpenSSL。您可以从这里下载。
打开命令提示符，然后转到OpenSSL安装位置中的bin文件夹。
现在运行以下命令，

openssl.exe s_client -connect SMTPServer: Portno -starttls smtp > certificatename.cer

例如, openssl.exe s_client -connect smtp.gmail.com:587 -starttls smtp > gmailcert.cer

对于Web服务器：

在浏览器中打开Web URL。
单击地址栏上的挂锁图标。
单击更多信息。这将打开“证书查看器”窗口，显示该Web服务器使用的证书。
单击查看证书。
当显示证书信息授权机构的证书窗口打开时，单击详细信息选项卡。
单击复制到文件。
在打开的“证书导出向导”中，单击“下一步”。
选择格式为DRE编码的二进制X.509（.CER），然后单击“下一步”。
输入您想要保存文件的路径，然后单击“完成”。

步骤2：将证书导入EventLog Analyzer的JRE包中。

打开命令提示符，然后转到\ jre \ bin文件夹。例如：C:\ManageEngine\EventLogAnalyzer\jre\bin.
运行以下命令，
Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file

例如: Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\smtpcert.cer
当提示您输入密码时，输入changeit。
当提示是或否时请输入y。
关闭命令提示符，然后重新启动EventLog Analyzer。

威胁情报疑难解答提示

IP地理位置数据存储损坏

当产品正在更新而数据存储又没有可用备份时，关闭产品可能会发生这种情况。

故障排除步骤：

这是一种罕见的情况，仅在首次下载IP地理位置数据期间产品突然关闭时才会发生。
无需进行故障排除，因为EventLog Analyzer将在下一个计划中自动下载数据。请注意，IP地理位置数据每天21:00小时自动更新。

IP地理位置数据更新失败

当EventLog Analyzer服务器上没有Internet连接或服务器不可访问时，会发生这种情况。

故障排除步骤：

确保您的互联网连接正常。
将防火墙中的https://creator.zoho.com列入白名单。

页首

ManageEngine