CSAP-SA-AK640 Windows 日志采集为 0 + 解析规则超限报错优化排错方案

一、报错核心原因：解析规则条目满载超限

落地优化操作

1. 路径：【规则管理】-【日志解析规则】，仅清理人工自定义创建的无用解析规则，系统出厂内置解析规则保留不可删除；优先剔除已下线设备、淘汰老旧业务对应的自定义正则、字段提取规则，精简规则总量至 7000 行以内，消除页面弹窗告警。
2. 临时过渡方案：在未清理完规则前，暂缓批量新增 Windows 客户端资产，分批录入资产，避免持续占用解析资源。

二、区分采集方式，修正资产配置（Agent 采集与 WMI 采集互斥）

1. 资产类型：Windows 客户端 = 客户端 Agent 上报采集（已部署 Windows Agent V4）
   该模式依靠终端安装的 Agent 程序主动推送日志，WMI 为远程无代理拉取日志协议，同一资产不能同时开启 WMI 采集，双协议并发会造成采集通道冲突、日志丢弃。
   操作：编辑 192.168.1.14/192.168.2.18 两条资产，取消勾选【启用 WMI】，【启用 JDBC】保持原有配置不变，保存提交资产配置。
2. 资产类型：Windows 主机 = WMI 远程采集，无 Agent 场景才启用 WMI。

三、Windows 终端侧 Agent 连通性排查（进程运行正常≠日志可上传）

1、终端主机自查

1. 服务核查：Windows 服务列表确认AgentService运行状态正常，打开 Agent 安装目录下 log 日志文件夹，查看运行日志：
   • 日志提示无法连接审计设备 IP：排查终端系统防火墙、中间交换机 / 防火墙，放行审计设备 IP 访问 Agent 默认 9002、9003 端口；
   • 日志显示连接审计正常、本地日志缓存积压：问题落点仍是审计设备规则满载，优先执行第一步精简解析规则。
2. 原生日志校验：打开系统「事件查看器」，确认安全、系统、应用分类有新增事件，若无系统日志生成，审计自然无法采集数据。

2、审计设备侧放行端口

四、审计设备采集参数核查

1. 路径【采集管理】-【采集参数】，选中本机采集器，确认Windows-Agent 采集开关处于启用状态，监听端口和终端 Agent 配置端口保持一致。
2. 资产编码沿用现有 UTF-8 配置，无需改动。
3. 抓包定位：【系统诊断】-【报文抓包】，筛选终端主机 IP：
   • 可捕获终端日志报文，但资产日志条数为 0：根因是规则超限，优先清理解析规则；
   • 全程无捕获报文：故障在网络连通、Agent 配置环节。

五、标准化处理步骤（按顺序执行）

1. 优先精简自定义解析规则，规则总数降至阈值内，消除超限弹窗；
2. 编辑两条 Windows 客户端资产，关闭 WMI 采集，仅保留 Agent 采集配置后保存；
3. 核对终端 Agent 运行日志与全网防火墙策略，保证终端和审计网络互通；
4. 配置完成后静置 10~30 分钟，刷新资产列表查看日志数量是否新增。

六、规则无法删减的备选方案

1. 部署外置分布式采集器，拆分部分 Windows 终端资产至外置采集节点，分摊本机解析资源占用；
2. 在原厂指导下升级设备固件与特征库，通过版本优化扩容设备解析规则上限。