设备日志配置了syslog或trap发送到日志审计服务器，但在审计系统中查不到该设备事件，如何排查？

首先保证设备日志已发到审计服务器上，通过抓包工具可以验证，window通过wireshark或Kiwi；linux可通过tcpdump命令如tcpdump udp port 514 host 192.168.1.1。

为什么在采集器中配置了加密转发，但在审计中心中收不到转发的事件？

请检查审计中心的采集器配置，看转发参数中是否也选中了加密转发，两者必须配对使用。

为什么在合并规则中定义了合并规则，在审计中心该合并规则没有生效？

在合并规则中定义合并规则后，在采集器模块引用该合并规则后才能生效。

日志采集器和审计中心中断后，会缓存事件么？如果缓存，再次连通时，是先发送缓存事件还是实时事件？

日志采集器和审计中心中断后，默认缓存100万条事件，服务器再次连通后，根据先进先出的原则，先发送缓存的事件，再发送实时事件。

通过 WMI 采集 Windows的日志时，采集不到windows日志采集怎么办？

windows 2008，先检查服务器上的Remote Procedure Call (RPC)、Remote Registry、Server是否已启用，若这三个服务已启用，再检查WMI采集任务配置时的帐号信息是否正确，最后检查防火墙是否启用，若防火墙启用就需要把WMI使用的端口加到允许策略中,还需要关掉 UAC：控制面板-用户帐户-更改用户帐户设置，改为从不通知，然后重启系统。

若管理中心系统服务或采集器服务安装在linux系统中，接收不到事件怎么进行排查？

使用查看linux上防火墙是否已启用，若防火墙已启可以用 service iptables stop 关闭防火墙或设置iptables -A NIPUT -p udp --dport 514 -j ACCEPT，通过ps –e |grep syslogd 查看linux自身syslog服务是否已启，若该服务启动也会造成日志审计系统接收不到日志，使用service syslogd stop 关闭服务后在重启日志审计系统服务。

系统安装在linux上采集不到syslog日志，但是在该linux系统上使用tcpdump udp port 514能看到事件，是什么原因？

这是linux自身的syslog服务起udp 514端口和审计系统接收syslog日志使用的udp 514端口冲突，使用service syslog stop 停掉syslog服务，在重启服务能够解决。

系统收不到任何日志但是 wireshark 可以抓取到包，是什么原因？

运行 netstat -na｜find "514" 发现端口处于正常监听状态，一定要确认机器本身的防火墙是否关闭。

有多台设备在发送日志，但有部分设备的日志无法收到，是什么原因？

具体接收到日志的设备的个数，可以在日志源统计中查看。

系统如何将事件转发到第三方平台？

在本地采集器配置-转发参数中配置，注意转发端口默认是8514端口，可将全部范式化后的事件转发出去，如果修改为514端口，仅转发原始消息。

当在linux与aix系统配置syslog时，相同的配置为什么aix收不到日志？

linux与aix系统配置syslog时存在差异，需要注意aix不可以*.* @，aix下只能*.info@；linux均可以。