启用资产自动发现，系统收到外部事件，为什么在资产中没有显示发现的资产？

在进行资产自动发现时是基于事件的设备地址和设备类型时进行发现的，在接收的外部事件没有进行范式化或设备类型没有指定时，资产进行自动发现时找不到设备类型，所以资产中没有显示发现的资产。

规则如何启用和告警？

进入规则的上级目录，在规则列表中点击“编辑”，即可配置启用和告警

规则动作中配置了声音和提示框告警，为什么有告警却没有声音和提示框？

首选看右上角声音和提示框控制是否处于启用状态。另声音和弹框，只会在一个客户端出现。其他客户端就出现不了。如果是同一个用户，在多个客户端登录了。在系统-在线用户那儿可以看到所有登录的ip。让其他ip都退出，就一个ip去登录，应该是能听到声音和看到弹框的。

系统装在linux上配置系统时间同步服务器的IP地址后，报无法连接服务器？

原因是linux系统的时钟同步NTPD服务与日志审计冲突导致，关闭NTPD服务并重新在日志审计上配置系统事件同步后问题解决。

登录linux系统后执行

#service ntpd stop //关闭ntpd服务

#chkconfig ntpd off //关闭ntpd启动配置

系统可以接收到实时事件，但首页1小时事件趋势各等级的事件数都为0，且报表数据查询为空。

表空间或存储空间已满导致无法生成cache文件导致，检查存储空间及数据库日志信息。

原始消息从网页上复制出来（或者从事件导出的CSV文件）发现无法通过解析文件解析，如何获取到正确的原始消息呢？

因为在复制过程中原始消息里存在了空格或者制表符，这时你使用事件导出CSV文件用Excel打开就会发现事件会被分成两格，并不是呈现一条的状态。首先我们先将事件导出，然后使用文本编辑器打开这个csv格式的文件，这时文本中的原始消息就是最正确的格式。

系统运行一段时间以后，系统要求我重新导入 License，为什么？

首先，要确认您的 License 是否已经过期；如果没有过期，那么很可能您修改了系统时间，目前我们不允许往前修改系统时间；此外，系统的时间同步功能，也会导致系统时间的变化，如果您做了时间同步，那么系统也可能会要求您重新导入 License。

如何查看日志审计序列号？

第一次开通或续订都需要登录日志审计web页面,页面登录方式为https://这个位置写日志审计主机挂载的弹性ip:8445(例如下图展示内容)

1. 第一次开通或授权过期的日志审计,访问日志审计web页面即可获取序列号(如下图)

2. 授权未过期获取序列号

登录sysadmin账号后依次点击系统->点击产品授权与升级后面的下拉选项->产品许可导入,即可看到序列号(下图为举例)