老架构防火墙日志上报MSS存在日志延时
有效排查步骤
1、排查域名能否正常解析通信,将脚本上传到后台,执行脚本python check_conn.py
2、排查获取接入地址REST接口是否正常
使用如下命令测试REST接口,corpcode=后面的参数为企业ID。
wget --no-check-certificate -qO - “https://device.sangfor.com.cn/sc ... 0&corpcode=16729605”
如果正常,会返回如下接入地址:
{"code":0,"message":"成功","data":{"ip":"219.135.99.249","port":5000}}
3、排查步骤二返回的IP端口是否正常,最好抓包确认tcp握手是否正常
telnet 219.135.99.249 5000 / ssh 219.135.99.249 -p 5000
4、确认用户id是否正确,接入的设备名称要和云图上的设备名称一致,密码是否正确(一定要反复确认,配置不对也会报代理服务不可用)
5、检查防火墙日志上报相关日志:/fwlog/slog/log/最新日志.log,存在报错信息:invalid character 'u' looking for beginning of value。
老架构防火墙自身调整上报域名存在较大代码改动,暂时无法通过后台调整上报的域名,可通过修改防火墙host配置,将clt.sangfor.com.cn的域名和clt1.sangfor.com.cn的公网IP进行绑定,实现防火墙上报日志最终是上报clt1.sangfor.com.cn。
日志上报云图流程:
1.slog_clint(AF)调用云脑认证接口 https://auth.sangfor.com.cn/v1/auth 获取token;
2.slog_clint(AF)根据客户端i_get中的log.server主控地址,执行s_get获取上报配置,上报配置中包含需要的表,还有需要上报给那个地址;
3.slog_clint(AF)根据步骤2返回内容中的上报数据的地址,调用接口进行上报。
