【ICG】【镜像模式】无任何审计日志

唐小芳发表于:2021年03月12日 18:04:18更新于:2021年07月13日 17:05:37

【问题描述】

客户镜像模式部署,上线之后无任何审计日志

【适用场景】

镜像模式部署

【原因分析】

1、流量未镜像成功,设备没有接受到镜像过来的流量

2、策略网段配置错误,需要配置内网网段

3、IP白名单添加错误

4、设备引擎未开启

【解决办法】

1、确认流量是否镜像过来,在【系统配置】-【系统维护】-【诊断工具】里面使用TCPUDUMP命令抓包查看;image.png                                           

2、检查策略网段是否配置正确,在【上网管理】-【策略网段】里面配置策略网段;

image.png

注意:①.如果用户是要对访问公司内部服务器的流量进行审计,需要在【系统配置】-【高级配置】-【审计参数】里面开启【服务器审计模式开关】,并且将服务器地址网段加到【服务器地址网段】中;

②.如果仅仅是审计内网PC终端访问互联网的流量,需要关闭服务器审计模式开关,并且将内网PC网段加入到【客户端地址网段】中;


image.png

3、检查设备是否加了IP白名单,域名白名单以及免审计用户;

image.png

4、 检查上网审计策略里面的策略是否开启记录请求了;

image.png

5、 查看设备引擎是否开启,在【系统配置】-【高级配置】-【系统参数】里面查看,如果引擎未开启,尝试手动开启;

image.png

6、以上检查完之后,还是无任何审计日志,建议提case处理;