M9000虚墙上传日志至安全态势感知问题

是不是日志条目数超上限了？

设备时间是否正确？

1. 检查系统时间一致性（最常见原因）

• 操作：分别登录态势感知平台和M9000防火墙后台，核对两者的系统时间和时区设置是否完全一致（建议统一为北京 GMT+08:00）。

2. 排查日志解析异常与乱码

• 现象确认：前往态势感知的“威胁日志”或相关查询页面，查看是否有归类到“网元系统日志”或“其他日志”的条目，或者是否存在解析乱码现象。
• 无效日志检查：进入【数据中心 - 日志查询 - 无效日志】，查看是否有大量日志因格式异常被判定并丢弃。
• 解决对策：若存在乱码，需检查对应M9000虚墙日志源的字符集配置，通常需要将其修改为 GBK；同时确认日志源设备类型和编码格式配置是否正确。

3. 核查磁盘空间与存储状态

• 操作：进入态势感知平台的“系统设置 -> 存储管理”，查看 /opt、/data、/log 等分区的磁盘使用率。CSAP系列默认在磁盘使用率达到96%或100%时，可能会停止接收或落盘安全日志。
• 解决对策：如磁盘已满，需手动清理冗余历史数据释放空间，或在自动清理中调整阈值。

4. 验证授权与规则库有效性

• 授权检查：进入【系统管理 - 授权管理】，核实安全日志分析、事件分析的授权是否在有效期内。
• 规则库检查：进入【系统管理 - 规则升级】，确认安全规则库是否过期或升级失败。若失效，请重新导入匹配版本的官方规则库激活。

5. 重启后端服务兜底

• 操作：建议在业务低峰期，尝试重启被动采集器及相关后台进程。
  • 重启被动采集器命令参考：cd /data/csap-log-collector/collector/bin && ./collector.sh restart。
  • 也可通过后台运维账号执行 status all 检查日志解析进程（如 logd）、安全事件引擎进程（sec-eventd）是否异常退出，若未运行则执行 start [进程名] 拉起。

一、先看你的截图现象分析
从图里可以看到：
日志源 IP 是 10.161.191.250:514，日志速率 3492 条 / 分钟，总数 50 多万条，说明采集器已经收到了防火墙发来的 Syslog 数据，问题出在「接收后→入库 / 索引」环节，而不是「防火墙发送」环节。
二、核心排查步骤（按优先级排序）
1. 确认采集器配置与日志格式匹配
M9000 虚墙默认发送的是H3C 防火墙 Syslog 格式，态势感知采集器必须正确识别：
检查采集器中该日志源的「日志类型」是否设置为 H3C Firewall/H3C M9000，不能是通用 Syslog。
确认端口是 UDP 514，且采集器没有启用 TLS/SSL 加密（M9000 默认明文 Syslog）。
检查是否开启了「日志过滤规则」，误将防火墙日志丢弃了。
2. 检查态势感知的索引与入库状态
采集器收到日志不代表已经写入数据库，重点排查：
查看采集器的「日志处理状态」，是否有「解析失败」「格式不匹配」的报错。
检查态势感知的「磁盘使用率」，如果存储分区满了，会导致日志无法写入索引。
查看「全文检索的时间范围」，是否设置的时间比日志产生的时间晚，或者时区不一致（防火墙和态势感知时区必须统一为 UTC+8）。
3. 防火墙侧日志发送配置排查
虽然采集器显示有数据，但仍需确认 M9000 虚墙的 Syslog 配置：
bash
运行
# 进入虚墙上下文
context name 虚墙名称
# 查看Syslog配置
display info-center loghost
display info-center enable
# 确认是否开启了日志过滤
display info-center filter
确保日志主机 IP 是态势感知采集器 IP，端口 514，协议 UDP。
确保发送的日志级别包含 information 级别（大部分业务日志是这个级别）。
确认没有配置日志过滤规则，导致关键日志被过滤。
4. 排查日志格式不兼容问题（最常见）
M9000 虚墙的 Syslog 格式和部分老版本态势感知存在兼容问题：
防火墙日志中包含大量「模块标识、租户信息」，部分采集器无法正确解析，导致入库失败。
解决方法：
升级态势感知采集器到最新版本，支持 M9000 虚墙格式。
在防火墙侧调整 Syslog 格式为「RFC5424」或关闭扩展字段，发送标准 Syslog。
用 tcpdump 在采集器上抓包，看收到的日志是否完整、无乱码：
bash
运行
tcpdump -i any host 10.161.191.250 and port 514 -A
5. 租户 / 日志源归属问题
态势感知中如果防火墙日志被归属到了错误的租户 / 日志源，会导致检索不到：
检查采集器中，日志源 10.161.191.250 是否正确关联到了你的租户（默认租户）。
确认防火墙发送的日志中，「设备标识」和采集器中配置的日志源名称一致，没有被识别为未知设备。
三、快速验证方法
在采集器服务器上，用 nc 直接监听 514 端口，看是否能收到日志：
bash
运行
nc -ul 514
看是否有 M9000 的日志输出，确认格式正常。
用态势感知的「原始日志查询」功能，按日志源 IP 10.161.191.250 直接过滤，不按关键字搜索，看是否有数据。
重启采集器服务，强制刷新索引缓存。
四、典型问题总结
你的情况 90% 是以下两种原因之一：
采集器日志类型配置错误：没有选择「H3C 防火墙」，导致解析失败，日志被丢弃。
时区 / 索引延迟问题：日志入库后需要几分钟建立索引，短时间内检索不到，或者时间范围设置错误。