【LAS】【解析异常】LAS6系列和720系列日志无法解析或解析冲突处理

郑河川发表于:2021年05月31日 16:17:30更新于:2021年05月31日 17:52:54

1     问题描述

情况1:接入设备日志无法解析,LAS6系列和LAS702系列在”事件”查询日志设备类型为”未知设备”,

情况2:接入设备日志可以解析但是字段或解析不准确,LAS6系列和LAS702系列在”事件”查询解析后的字段缺少或不准确,例如,原始日志中存在源目IP,但是并未提取到。

情况3:接入设备日志设备类型字段解析出的值与实际该资产设备类型不匹配,例如,H3C交换机资产接入日志实际解析出来为华为路由器。

 

2     适用场景

•      LAS6系列和LAS702系列日志范化

3     原因分析

查询日志中设备类型字段为”未知设备”此问题可能原因如下:

•      对应解析文件未开启

•      解析文件开启,但是当前解析规则无法支持当前要解析的日志格式

  解析到的设备类型与实际资产类型不匹配:

•      设备日志格式过于接近,解析文件按照先后顺序匹配,存在冲突(数据匹配到第一条后就停止往后继续匹配)

 

4     解决办法

1、        先导入最新解析文件,下载地址如下:

https://wiki.qianxin-inc.cn/pages/viewpage.action?pageId=50663854

2、        下载后按照文件夹名称找到对应解析文件导入即可:

例如:网神的网闸设备,解压解析文件后找到网闸设备的目录,从中找到对应的xml文件进行导入并开启

image.png               

image.png

A. LAS6系列

先将zip文件进行解压,然后到web界面的系统–日志解析文件处,将需要用的解析文件(xml格式的文件)进行导入

B. LAS702x

先将zip文件进行解压,然后到web界面的资产--资产日志--解析文件处,将需要用的解析文件(xml格式的文件)进行导入

3、        开启解析文件后观察事件中解析效果,设备类型不为空则为解析正常,如果出现部分字段无法解析,则收集以下信息导出原始日志样本提交TAC工单处理即可

1)、设备IP所属厂商,如奇安信

2)、设备IP对应的设备类型,如智慧防火墙

3)、设备IP对应的硬件型号和软件版本

4)、设备IP对应的日志说明文档

5)、从LAS上导出无乱码的原始日志,导出时请将导出字段全选(如下图)

image.png

6)、一类log提交一个case

 

4、        如果出现解析冲突情况,例如H3C交换机被解析为华为路由器,则查看当前接入数据是否存在华为路由器,如果未接入则关闭华为路由器解析文件即可,如果两种设备都有接入则导出日志样本提交TAC工单处理解析冲突问题。