EventLog Analyzer -
故障排除
常规
我在那里可以找到需要发送给EventLog Analyzer支持团队的日志文件呢?
EventLog Analyzer的日志文件位于<EventLogAnalyzer_Home>/server/default/log目录下,当您的EventLog Analyzer运行出现问题时,您需要将此目录下的serverout.txt文件发送给EventLog Analyzer获取支持。
我发现EventLog Analyzer一直崩溃或突然停止收集日志,这是为什么?
EventLog Analyzer内建的MySQL数据库可能会因为其他进程访问EventLog Analyzer的安装目录而崩溃,请将ManageEngine安装目录从以下操作中排除:
- 防病毒扫描
- 自动备份软件
- VMware虚拟机的快照保存路径
请确保当产品在虚拟机中运行时,虚拟机不存在任何的快照。
如果我不能在Web客户端创建SIF(支持信息文件),那么我需要怎么做呢?
SIF可以帮助我们快速分析您遇到的问题并提出一个解决方案,如果您不能从客户端创建SIF,您可以压缩C:\ManageEngine\Eventlog\server\default\log(默认的日志保存路径)下的所有日志文件,通过此FTP链接将它们发送给我们: http://bonitas.zohocorp.com/upload/index.jsp?to=eventloganalyzer-support@manageengine.com
当事件源的信息文件无效时,怎么注册dll?
要注册dll,请参阅此链接中的相关表述:http://ss64.com/nt/regsvr32.html
安装
EventLog Analyzer在安装时显示需要有效的许可文件消息
这个消息可能在以下两种情况下出现:
情况1:您的系统日期与当前的日期不符,在这种情况下,请卸载EventLog Analyzer,重新设置系统日期为当前的日期和时间,然后重新安装EventLog Analyzer。
情况2:您可能提供了一个不正确或过期的许可文件,请验证您应用的许可文件是否从ZOHO公司获得。
如果以上情况不符合您遇到的情形,请联系我们的支持团队support.list@zohocorp.com.cn,以获取支持。
不能将EventLog Analyzer服务器绑定到指定的接口
要将EventLog Analyzer服务器绑定到指定的接口,请参阅以下的步骤:
Eventlog Analyzer作为应用运行:
- 打开runSEC.bat/sh文件。
- 在%*或 $*之前的任意位置,添加参数: bin\SysEvtCol.exe -loglevel 3 -port 513 514 %*
-bindip <EventLog Analyzer要绑定到的接口的IP地址>
示例:
bin\SysEvtCol.exe -loglevel 3 -bindip 192.168.111.153 -port 513 514 %*
Eventlog Analyzer作为服务运行:
- 停止Eventlog Analyzer服务。
- 打开<Eventlog Analyzer Home>\bin目录下的startDB.bat文件,在mysqld启动命令(以@start开始)中添加--bind-address=<ip-address>项。
- 打开<Eventlog Analyzer Home>\bin目录下的stopDB.bat文件,将-h <ip-address>添加到命令参数,保存文件。
在修改完之后,命令行如下:
set commandArgs=-P %PORT% -u %USER_NAME% -h <ip-address>
- 打开<Eventlog Analyzer Home>\server\default\conf目录下的wrapper.conf文件,并执行以下操作:
取消注释第二应用参数“wrapper.app.parameter.2=-L../lib/AdventNetDeploymentSystem.jar”。
添加以下新的应用参数
wrapper.app.parameter.3=-c default
wrapper.app.parameter.4=-b <ip-address>
wrapper.app.parameter.5=-Dspecific.bind.address=<ip-address>
保存文件。
说明: 可通过移除.conf文件中的#标记执行取消注释操作。
- 打开<Eventlog Analyzer Home>\server\default\deploy目录下的mysql-ds.xml文件,替换connection-url标签下的localhost,将其修改为您要绑定的IP地址,并保存文件。
- 启动Eventlog Analyzer服务。
- 在命令提示符中执行netstat -ano来验证设置。
启动与关闭
Windows机器上与MySQL相关的错误
可能的原因: 机器上已经运行了一个MySQL实例
解决方案:关掉所有MySQL实例,然后再启动EventLog Analyzer服务器。
可能的原因: 端口33335被占用
解决方案: 关掉占用33335端口的应用,如果您能释放此端口,请修改EventLog
Analyzer使用的MySQL端口。
当尝试启动EventLog Analyzer服务器时,显示“EventLog Analyzer所需使用的端口8400端口已被其它应用占用,请释放端口并重启服务器”信息
可能的原因: EventLog Analyzer的Web服务器端口被占用
解决方案:
关掉占用8400端口的应用,执行下面的步骤:
- 停止EventLog Analyzer服务
- 打开<EventLog Analyzer Home>\server\default\conf文件夹下的wrapper.conf文件。
- 在# Java Additional Parameters部分添加以下内容:
wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true
添加之前:
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
添加之后:
wrapper.java.additional.20=-Dorg.tanukisoftware.wrapper.WrapperManager.mbean=false
wrapper.java.additional.21=-Djava.net.preferIPv4Stack=true
- 启动EventLog Analyzer服务
如果您不能释放此端口,请修改EventLog Analyzer使用的Web服务器端口。
当登录用户界面时EventLog Analyzer显示“不能绑定端口”
可能的原因:EventLog Analyzer的syslog端口被占用
解决方案:
- 使用netstat -anp -pudp,检查是否存在进程占用了syslog端口。如果存在,请尝试释放此端口。
- 如果您使用的是Linux服务器,请使用root用户启动服务器。
- 或,修改EventLog Analyzer的syslog端口,您需要确保所有的主机都会将syslog发送到新配置的syslog端口。
当应用启动后,configureODBC.vbs抛出脚本错误,或打开了另外一个应用。怎么解决这个问题?
可能的原因: (文件被其他程序打开)configureODBC.vbs文件可能设置使用wscript.exe(位于WINDOWS\system32文件夹)之外的程序打开,如记事本,因此,此文件不能在应用启动时执行。
解决方案:
- 停止Eventlog Analyzer服务器/服务 。
- 打开Eventlog Analyzer安装文件夹:<EventLog Analyzer Home>\bin(默认路径),并右击configureODBC.vbs文件,选择打开(或选择打开程序),从您的Windows\System32文件夹选择windows程序wscript.exe。
- 启动Eventlog Analyzer服务器/服务 。
可能的原因: (文件没有执行权限) configureODBC.vbs文件可能没有执行权限。
解决方案:
- 停止Eventlog Analyzer服务器/服务 。
- 打开Eventlog Analyzer安装文件夹:<EventLog Analyzer Home>\bin(默认路径),并右击configureODBC.vbs文件,修改文件的权限。
- 启动Eventlog Analyzer服务器/服务 。
配置
当添加主机时, 验证账号动作提示RPC服务器无效错误。
可能的原因和解决方案:
可能的原因: 主机的RPC(Remote Procedure Call)端口被其它防火墙阻止访问。
解决方案: 配置防火墙,使RPC端口允许访问。
当添加主机时,验证登录动作抛出“拒绝访问”的错误。
可能的原因和解决方案:
可能的原因: 主机从EventLog Analyzer机器不可达。
解决方案: 使用Ping命令检查主机和EventLog Analyzer服务器之间的网络连接。
可能的原因: 主机的系统防火墙,且REMOTEADMIN服务器被禁用。
解决方案:
检查主机中的系统防火墙是否在运行,如果系统防火墙在运行,那么请在此系统中打开一个命令行窗口,执行以下命令:
netsh firewall set service type=REMOTEADMIN mode=ENABLE profile=all
当在Windows Server 2003中使用WBEM测试失败时,抛出80041010错误。
可能的原因和解决方案:
可能的原因: 默认设置下,WMI组件没有安装在Windows 2003服务器上。
解决方案: 在Windows Server 2003上,默认未安装Win32_Product类包,要添加此类,请参阅下面的步骤:
-
打开添加或移除程序窗口,点击添加/移除 Windows组件。
-
在Windows组件向导窗口,选择管理和监视工具,然后点击详细信息。
-
在管理和监视工具对话框,选择WMI Windows Installer提供程序,点击确定。
-
点击下一步。
怎样在Linux操作系统中启用对象访问的记录?
可能的原因和解决方案:
可能的原因: 在Linux系统中未启用对象访问记录。
解决方案:在Linux系统中启用对象访问记录,请参阅以下步骤:
打开文件/etc/xinted.d/wu-ftpd,编辑服务器参数,如下所示:
server_args = -i -o -L
在Solaris 10中,启动和停止Syslog守护进程的命令是什么?
可能的原因和解决方案:
可能的原因: 不能在Solaris 10中启动或停止Syslog守护进程
解决方案: 在Solaris 10中停止或启动syslogd守护进程的命令为:
# svcadm disable svc:/system/system-log:default
# svcadm enable svc:/system/system-log:default
在Solaris 10中重启syslogd守护进程,并强制重读/etc/syslog.conf:
# svcadm refresh svc:/system/system-log:default
或
# svcadm -v restart svc:/system/system-log:default
日志收集和报表
我已经添加了一台主机,但是EventLog Analyzer不能收集它的事件日志。
可能的原因:主机从EventLog Analyzer机器不可达。
解决方案:使用Ping命令检查主机是否响应,如果无响应,那么表示主机不可达。要收集事件日志,主机必须对EventLog Analyzer服务器可达。
可能的原因:您在主机上没有管理权限。
解决方案: 编辑主机明细,输入主机的管理员登录凭证,点击验证登录,检查是否登录是否成功。
当我点击登录时,出现禁止访问错误,但是我已经给出了正确验证信息。
可能的原因: 可能出现其它的原因导致访问被拒。
解决方案: 请参考下表中的错误代码、错误原因及解决方案。
| 错误编码 |
原因 |
解决方案 |
| 0x80070005 |
Windows工作站扫描失败可以归于以下几个原因: |
| 用于扫描的登录用户名和密码无效。 |
检查用户名或密码是否正确。 |
| 在远端工作站远程DCOM选项被禁止。 |
在远程工作站检查远程DCOM是否启用。如果禁止,则使用下面的方法启用:
- 选择开始 >运行
- 打开
dcomcnfg并点击确定
- 选择默认属性标签
- 选择在这台主机启动分布式COM复选框
- 点击确定
在Windows XP主机启动DCOM:
- 选择 开始 >运行
- 打开
dcomcnfg并点击确定
- 在服务组件>计算机>我的电脑
- 右击选择属性
- 选择默认属性标签
- 选择在这主机上启动分布式COM复选框
- 点击确定
|
| 远程主机上用户账号无效 |
通过执行下面命令在远程主机上检查用户账号是否有效:
net use \\<RemoteComputerName>\C$ /u:<DomainName\UserName>
"<password>"
net use \\<RemoteComputerName>\ADMIN$ /u:<DomainName\UserName>
"<password>"
如果这使用这些命令之后仍然有错误,那么可能是在目的主机上提供的是用户账号和密码有误。
|
| 0x80041003 |
用户没有扫描操作的访问权限。可能用户并不属于这台主机的管理员组。 |
添加用户到管理组或者使用管理员(拥有更高权限)的账号。 |
| 0x800706ba |
在远端主机上开启了防火墙。像这样的异常一般发生在Windows
XP(sp2)系统上,因为此系统的防火墙默认是开启的。 |
- 禁用默认防火墙在Windows XP主机上:
- 选择 开始 > 运行
- 打开
Firewall.cpl并点击确定
- 在常规标签,点击禁用
- 点击确定
- 如果防火墙不能禁用,使用管理员账号远程登录主机执行下面命令:
netsh firewall set service RemoteAdmin
描述结束之后,执行下面命令,您可以禁用管理员远程访问:
netsh firewall set service RemoteAdmin disable
|
| 0x80040154 |
- 远程Windows工作站WMI无效,这在Windows NT上可能发生。如果WMI组件没有正确注册,这种错误也可发生在高版本的Windows系统上。
- 没有注册WMI组件
|
- 在远端工作上安装WMI核心组件。您可以从
Microsoft 网站上下载得到。
- 在命令窗口,执行下面命令注册WMI DLL文件:
winmgmt /RegServer
|
| 0x80080005 |
这可能是运行WMI服务(winmgmt.exe)的主机内部错误。主机上的的WMI仓库最后更新失败。 |
在远程工作站上重启WMI 服务:
- 选择 开始 > 运行
- 打开 Services.msc 并点击 确定
- Windows服务窗口将会打开, 选择 Windows Management
Instrumentation 服务。
- 右击并选择重启
|
| 更多错误代码信息,请参阅
MSDN知识库 |
我已经添加并启用了一个自定义告警配置文件,但是在主机事件出现后,EventLog Analyzer没有生成对应的告警信息。
可能的原因: 告警条件可能没有正确定义
解决方案:请确保告警配置文件中所需的字段定义正确,检查邮件地址和邮件服务器是否配置正确。
当我创建了一个自定义报表后,并没有获得在信息过滤器中设置的报表信息。
可能的原因: 信息过滤条件未正确定义
解决方案:当您在信息过滤中输入条件来匹配日志消息时,确保您复制/输入的字段是Windows事件查看器中看到的字段。
例如:Logon Name:John
EventLog Analyzer的MS SQL数据库服务器宕机 可能的原因: MS SQL的事务日志可能已满。
解决方案: 如果EventLog Analyzer MS SQL数据库事务日志已满,请执行以下的步骤:
- 停止Eventlog Analyzer服务器/服务(在Eventlog
Analyzer服务器机器的任务管理器上确认,进程SysEvtCol.exe和Java.exe没有运行)
- 连接MS
SQL客户端(使用Microsoft SQL Server Management Studio),并执行以下查询:
sp_dboption 'eventlog', 'trunc. log on chkpt.', 'true'
-
执行完以上命令后,选择以下命令,并执行:
DBCC SHRINKDATABASE (eventlog)
注意:基于EventLog
Analyzer数据库的大小这个过程可能会需要一些时间,请耐心等待。
- 启动Eventlog
Analyzer
我成功配置了Oracle主机,但是却得不到对应的数据
如果Oracle主机是Windows操作系统,请在那台机器上打开事件查看器,在应用类型下查看Oracle源日志,如果是Linux,请检查相应的Oracle日志的文件。如果执行的文件中有Oracle日志,但是ELA仍然无法收集到日志数据,请联系我们的支持团队。
|
