【ACE适用于软件版本是3.4.00/4.0.2】日志类异常，即无法查询到流日志、HTTP日志或IM日志

发布时间：2013-11-26

点击量：3515

1、故障现象
在APM或ACE Report上无法查询到ACE的流日志、HTTP日志或IM日志

2、故障可能原因
（1）ACE与APM或ACE Report时间不一致；
（2）ACE的应用识别异常；
（3）ACE的日志发送配置不当；
（4）APM或ACE Report配置不当；
（5）ACE与APM/ACE Report的连通性异常，中间设备阻断日志报文传输；
（6）APM或ACE Report日志接收服务异常；

3.故障处理流程

4.故障处理步骤

步骤1：检查ACE与APM/ACE Report两者时间
检查理由
ACE与APM/ACE Report时间不一致的话，将会导致最新日志显示的时间不正确；
检查步骤&解决方法
1、ACE 的时区和时间检查。
通过show clock命令查看ACE系统的时区和时间，如果ACE的时间与当前的时间不一致，可以通过clock zone和clock set命令进行修改；
ruijie# show clock ---->查看系统时间
Wed Aug 01 14:21:06 GMT+8 2012 ---->确认时区为GMT+8

ruijie(config)# clock zone GMT 8 ---->设置GMT+8区
ruijie(config)# clock set 14:21:00 1 8 2012 ---->设置系统时间

2、APM的时间和时区检查
1）APM（H）时间设置
通过show clock命令查看APM系统的时区和时间，如果ACE的时间与当前的时间不一致，可以通过clock zone和clock set命令进行修改；
APM# show clock ---->查看系统时间
Wed Aug 01 15:00:11 GMT+8 2012

APM(config)# clock zone GMT 8 ---->设置为GMT+8
APM(config)# clock set 14:50:00 1 August 2012 ---->设置时间
Wed Aug 1 14:50:00 GMT+8 2012
APM(config)# exit

2）APM（S）/ACE Report时间设置
APM（S）/ACE Report都为安装在服务器上的，所以只需要查看当期服务器系统的时间是否正确；如发现系统时间错误，需调整系统时间。

步骤2：检查ACE应用识别是否正常
该步骤排查过程请参考：应用识别类>>大部分流量无法识别故障排查章节

步骤3：检查ACE日志配置是否正确
检查理由
ACE发送日志需要在流控策略启用所需发送的日志类型，同时还需要在命令行下开启所需发送日志类型的服务；
检查步骤&解决方法
1、检查策略中心对应的流控策略是否开启日志
检查需要发送日志的网段关联的一级策略中是否勾选需要发送的日志类型：HTTP日志、会话日志、QQ和MSN

2、检查命令行下是否开启日志的使能开关
通过show logserver确认APM/ACE Report的IP地址和接收端口是否正确
ruijie# show logserver ---->APM/ACE Report接收端口5140
Remote Syslog Server:
           IPAddress       Port
-------------------- ----------
      192.168.33.171       5140    ---->APM/ACE Report的IP地址和接收端口
StateLog: Enable
HttpLog: Enable
ImmsnLog: Enable
ImqqLog: Enable
在命令行下配置remotelog地址和开启相应日志发送
ruijie# configure
ruijie(config)# remotelog ---->日志配置模式
ruijie(config-rl)# logserver 192.168.33.171 5140   ---->APM/ACE Report接收端口5140
ruijie(config-rl)# state   ---->开启会话日志
ruijie(config-rl)# http      ---->开启http日志
ruijie(config-rl)# im-msn    ---->开启msn日志
ruijie(config-rl)# im-qq     ---->开启qq日志
ACE能发送多种类型日志，包含：会话日志、HTTP日志和IM日志等，根据用户的需求开启相应的日志；

步骤4：检查APM/ACE Report配置是否正确
检查理由
只有APM/ACE Report上正确添加了ACE设备，并开启对应日志使能开关，才能保证日志正常的接收；
检查步骤&解决方法
1、成功添加设备，并处于“在线”状态

2、启用ACE日志
打开系统 > 系统选项 > 日志使能配置，勾选“启用”和需要记录的日志，默认端口是5140，配置完成后点击右下角“应用”。

步骤5：检查ACE与APM/ACE Report的连通性
检查理由
只有APM/ACE Report可正确接收到来自ACE发送的日志报文，才能将日志入库；所以我们需要检查两者是否连通，同时确认APM或ACE Report上可抓取到日志报文；
检查步骤
1、ping测试
可在ACE上ping下APM/ACE Report，确认两者是联通的
ruijie# ping 192.168.33.171
PING 192.168.33.171 (192.168.33.171): 56 data bytes
64 bytes from 192.168.33.171: icmp_seq=0 ttl=128 time=0.601 ms
64 bytes from 192.168.33.171: icmp_seq=1 ttl=128 time=0.582 ms
64 bytes from 192.168.33.171: icmp_seq=2 ttl=128 time=0.582 ms
64 bytes from 192.168.33.171: icmp_seq=3 ttl=128 time=0.873 ms
64 bytes from 192.168.33.171: icmp_seq=4 ttl=128 time=0.578 ms

--- 192.168.33.171 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.578/0.643/0.873/0.115 ms
ruijie#

2、抓包测试
1）在APM/ACE Report端进行抓包
如果是APM(S)/ACE Report，可在服务器上安装wireshark软件，进行抓包，确认是否有udp5140的日志报文；
如果是APM(H)可以临时将连接APM(H)网线插到测试PC上，将测试PC配置为APM(H)地址，同样采用wireshark软件进行抓包；

2）在ACE 端进行抓包
将ACE的MGT口与测试PC互联，wireshark软件，进行抓包，确认ACE是否有将日志发出；
解决方法
1、如果ACE、APM间无法ping通，可以参考基础维护类>>License上传失败>>步骤2 进行排查MGMT口IP和默认网关设置（快速链接：步骤2：检查MGMT是否可正常联网），同时还需要检查中间互联设备路由可达；
2、ACE与APM/ACE Report可以正常ping通，但在APM/ACE Report无法抓取到日志报文，很有可能是中间的设备（例如防火墙）将此日志报文过滤了，所以我们必须找到过滤日志报文设备，修改策略，放行日志报文；

步骤6：收集信息后，请联系4008111000协助处理
如果经以上5个步骤排查后故障无法解决，请将根据步骤1到步骤5检查配置、服务等信息截图和抓包文件打包压缩，同时准备好ACE与APM/ACE Report的远程方式后联系4008-111000协助处理。
需要收集的信息
1、ACE与APM/ACE Report两者时间；
2、ACE桥组配置（web配置界面截图）；
3、ACE网络接口配置（web配置界面截图）；
4、ACE的授权查看截图（license）（web配置界面截图）；
5、ACE认证配置>>认证参数配置（web配置界面截图）；
6、ACE报表>>在线IP报表（web配置界面截图）；
7、策略管理>>DPI配置（web配置界面截图）；
8、策略管理>>策略中心各条策略明细配置（web配置界面截图）；
9、APM/ACE Report设备配置、日志使能配置（web配置界面截图）；
10、ACE与APM/ACE Report ping的结果；
11、APM/ACE Report和ACE MGT口分别抓包的结果；