常用问题排错指导-深信服上网行为管理AC

1、SANGFOR AC&SG常见问题排错指导培训内容培训目标所有用户上网断网1.掌握所有用户断网情况下的问题排查思路上网策略导致访问异常1.掌握由于上网策略不正确导致访问异常的排查方法内网收发邮件异常1. 掌握内网用户收发邮件异常情况下的排查方法外置数据中心数据库连接失败1. 掌握外置数据中心数据库连接失败的排查方法外置数据中心无法建立索引1.掌握数据中心无法建立 索引时的排查步骤查不到上网行为日志1. 掌握查不到上网行为日志的排查方法外置数据中心同步失败1. 掌握外置数据中心同步失败的排查方法所有用户上网断网所有用户上网断网1.首先从内网PC上ping下网关，测试下PC和网关的网络连通

2、性。 如果从PC上ping不通网关，则需要先检查下物理链路是否正常，有没有二层的ARP欺骗。4. 开启拦截日志并直通，看用户上网是否恢复，如果恢复，则通过查看拦截日志，找到被拒绝数据的模块，修改策略。关闭拦截日志和直通，测试上网是否恢复正常，如果仍然未恢复，则再开启拦截日志，跟据拦截日志修改策略，直到故障修复。3. 如果PC与AC/SG设备之间跨三层设备，需要检查AC/SG设备上的防DOS攻击设置，是否勾选了“内网到本设备间通过一台/多台二层交换机直接相连，没有跨越任何的三层交换设备”（三层环境下不能勾选），DOS防御的参数是否设置过低导致的断网。2. 如果PC能ping通网关，且网关是AC/

3、SG设备，则需要检查AC/SG设备上的代理上网配置或者路由是否正确，LAN-WAN防火墙是否放通。上网策略导致访问异常上网策略导致访问异常 如果用户只有部分应用访问异常，例如MSN登录不了，登录不了网银，某些网站打不开，那么这些现象有可能和AC/SG上设置的策略有关系。 1. 首先检查下用户管理的上网策略，是否有设置可能拦截数据的策略。 2. 设置条件，填入测试电脑的IP，开启拦截日志并直通，测试故障是否修复。 （虽然也可以把测试电脑的IP地址填到设备的排除IP里，看故障是否修复，但是防火墙规则对排除IP还是生效的，所以还是建议用开启拦截日志并直通来排除和定位问题） 上网策略导致访问异常 3.

4、 如果开启拦截日志并直通后故障恢复，那么可以定位问题是由于AC/SG设备的策略引起的，通过查看拦截日志，找到被拒绝数据的模块，修改策略。 4. 关闭拦截日志和直通，测试应用是否访问正常，如果仍然未恢复，则重复第2，3步，直到故障修复。内网收发邮件不正常内网收发邮件异常 如果邮件服务器在外网，客户端通过AC/SG收发邮件异常的话，需要进行以下步骤的排查： 3. 如果AC/SG本身能上外网，只要开启邮件过滤，客户端收发邮件就不正常，关闭邮件过滤又能恢复，需要检查下AC/SG设备的系统日志，看是否有程序异常的日志。 2. 如果关闭邮件过滤功能，客户端收发邮件正常，需要检查下AC/SG设备本身是否可以

5、上外网，AC/SG网桥模式部署，网桥IP必须正确配置能上外网的IP和网关。 1. 检查邮件过滤功能是否有开启，如果有开启邮件过滤功能，检查是否有不恰当的邮件过滤选项，可以关闭邮件过滤功能，看收发邮件功能是否恢复。内网收发邮件异常 4. 如果邮件过滤功能本身没有开启，但是客户端通过AC/SG收发邮件异常的话，还需要检查下是否开启了网关杀毒中的SMTP和POP3杀毒。 6. 如果AC/SG本身能上外网，只要开启SMTP和POP3杀毒，客户端收发邮件就不正常，关闭SMTP和POP3杀毒又能恢复，需要检查下AC/SG设备的系统日志，看是否有网关杀毒模块异常的告警日志。 5. 如果开启了SMTP和POP

6、3杀毒，则关闭SMTP和POP3杀毒，再检查客户端收发邮件是否恢复正常。 如果关闭SMTP和POP3杀毒，客户端收发邮件就恢复正常的话，需要检查下AC/SG设备本身是否可以上外网，AC/SG网桥模式部署，网桥IP必须正确配置能上外网的IP和网关。查不到上网行为日志查不到上网行为日志 具体的测试方法：以打开网页的行为来测试，查看AC/SG设备的实时连接，查询测试机的IP，看AC/SG上面对于打开网页的行为识别成何种应用。 正常情况下应该识别为HTTP，如果识别为其他的应用，说明设备上曾经被自定义过应用识别规则，导致识别错误。 需要到“对象定义”“应用特征识别库”，禁用或者删除自定义的应用识别规则

7、，然后再观察AC/SG设备是否能正确识别到应用。对于查不到用户的上网行为日志的现象，需要进行的排查步骤如下：1.先检查用户关联的上网策略，是否有开启相应的上网行为审计选项。2. 如果开启了上网行为审计选项，仍然记录不到上网日志，需要测试下AC/SG设备的应用识别功能是否正常工作。 直到AC/SG设备能正确识别到应用，再检查是否能记录到上网行为日志。查不到上网行为日志3. 如果AC/SG设备能正确识别到应用，但是仍然记录不到上网行为日志。需要检查下设备网桥模式下是否接反了线，这种情况下也会导致通过AC/SG上网没有问题，但是设备上记录不到上网行为日志的。4. 如果AC/SG设备识别应用正确，接线

8、也是正确的，需要检查下设备的系统日志，看是否有程序异常的告警日志。5. 如果在AC/SG设备的内置数据中心日志选项开启了“优化审计性能”，则内置数据中心不会记录上网日志，也无法登录，必须通过外置数据中心查询。外置数据中心同步失败外置数据中心同步失败1.在设备上测试连接外置数据中心服务器是否正常。同步端口使用的是TCP810,如果在AC上测试连接外置数据中心失败，可以到服务器上确认本机是否正常监听TCP810端口。可以telnet 810看是否成功2.如果服务器本机没进程监听该端口，到【开始】-【管理工具】-【服务】中检查服务“Sangfor Data Center”（对应d

9、atacenter.exe进程）状态是不是没有启动。可以尝试手动启动该服务。3.如果本机测试监听端口成功则，检查AC到服务器的路由是否可达，中间是否有其他网络设备阻止了TCP810端口的访问。4.查看系统日志，通过系统日志可以检查：外置数据中心安装软件的版本和设备版本是否一致，外置数据中心同步账号和密码是否和设备上的一致。5. 如果系统日志有其他告警或者错误日志，请联系400处理。外置数据中心数据库连接失败外置数据连接数据库失败连接数据库失败大多都是由于SangforMySql服务起不来（对应mysqld-nt.exe进程），可以尝试手动启动该服务。需要注意的是，引起SangforMySql服

10、务无法启动的原因较多，下面总结常见的会引起SangforMySql服务无法启动的情况：1. mysql安装时没有和操作系统安装在同一块硬盘上目前要求mysql和操作系统安装在一块物理硬盘上，他们可以不在一个磁盘分区。（但是支持RAID磁盘阵列）。 2. 服务器上已安装了其他数据库（比如SQL SEREVER）建议服务器上不要安装其他数据库，以免冲突。 3. 服务器磁盘满了会导致使用一段时间后出现问题，磁盘快满时请及时清理磁盘删除早期的日志，或做数据库迁移。 外置数据连接数据库失败 4. 新建同步账号时建立数据库名称 为“mysql”新建同步账号时建立数据库名称不能是mysql，否则会导致数据库

11、连接失败，此时请卸载重装，且保证数据库名不要叫做mysql5. 在虚拟机上安装的外置数据中心虚拟机环境不稳定，不建议在虚拟机上安装。 6. 做了数据库迁移后，数据库起不来请检查mysql安装路径下MYSQLMySQL Server 5.0目录下my.ini中datadir的路径，G该路径应该是mysql的data所在路径，如datadir=C:/MySQL/MySQL Server 5.0/Data/，一般做过数据库迁移之后要确保这个路径是移动后的位置。 外置数据中心无法建立索引外置数据中心无法建立索引在配置外置数据中心的内容搜索时，无法建立 索引或索引到一半时卡住，可通过如下步骤进行排错：1

12、. 确认索引时间内的日志已同步至外置数据中心。网页内容索引需要开启网页内容审计才可以。2. 查看数据中心服务器的系统状态，如果cpu、内存过高，可能会影响索引程序。确认索引相关进程Cserver.exe ，Quickindex.exe，cindexer，mysqld-nt.exe及websvr.exe在运行。3. 在索引状态页面查看索引进度时，建议查看搜索百分比是否有增加，来判断索引是否在正常进行，每索引100条日志，索引进度就会发生变化。索引状态，即已索引的日志条数，这个不是实时更新的，索引是先写到内存中，当内存写满时，才会从内存写到硬盘中，索引状态数是从内存写到硬盘的过程中才更新的，如果内存很大，索引策略设置为高，索引状态更新就会很慢。4. 数据中心安装目录和索引所在目录是否可读写文件，空间是否满了。可以手动在索引所在安装目录下创建文件进行验证。外置数据中心