应用场景

日志审计（原生版）已经采集到日志，但未触发对应告警。

前提准备

进入日志审计（原生版）平台。

通过控制台进入日志审计（原生版）实例。

告警服务逻辑

告警涉及服务：esinsert、alarmMgr、event_analysvr。

告警涉及流程：

• event_ana（告警解析）：通过Kafka接收logp解析的日志，根据告警规则解析该日志是否符合告警条件，符合条件则将该告警信息转发给alarm。

• alarm：通过kafka接收event_ana的告警信息，并触发告警，产生告警。

• esinsert（录入elasticsearch）将产生的告警录入elasticsearch。

查看程序

点击“系统配置 > 系统运维”，在服务管理中，查看相关服务状态，出现异常时，点击“重启”重启程序，大约1分钟后刷新页面，再次查看服务状态是否正常。

查看程序日志

点击“系统配置 > 系统运维”，在服务管理中，点击“导出日志”，可导出服务日志。按流程步骤依次查看esinsert、alarmMgr、event_analysvr等服务日志是否有异常信息。

中间件故障

各程序报告日志出现报错：Broker transport failure: 127.0.0.1:9092/0: Connect to ipv4#127.0.0.1:9092 failed

日志分析：9092为Kafka服务端口，该提示说明Kafka服务出现异常。

eventana服务故障

例如，日志中出现信息：src/LogDispatcher.cpp:45"recevice log event count = 9412"

日志分析：出现count表示有正常接收到解析后的日志。若没有该打印日志，确定对应日志是否采集到日志审计（原生版）平台，可通过“事件分析 > 日志检索”中查询。