應用場景

日志審計（原生版）已經采集到日志，但未觸發對應告警。

前提準備

進入日志審計（原生版）平臺。

通過控制臺進入日志審計（原生版）實例。

告警服務邏輯

告警涉及服務：esinsert、alarmMgr、event_analysvr。

告警涉及流程：

• event_ana（告警解析）：通過Kafka接收logp解析的日志，根據告警規則解析該日志是否符合告警條件，符合條件則將該告警信息轉發給alarm。

• alarm：通過kafka接收event_ana的告警信息，并觸發告警，產生告警。

• esinsert（錄入elasticsearch）將產生的告警錄入elasticsearch。

查看程序

點擊“系統配置 > 系統運維”，在服務管理中，查看相關服務狀態，出現異常時，點擊“重啟”重啟程序，大約1分鐘后刷新頁面，再次查看服務狀態是否正常。

查看程序日志

點擊“系統配置 > 系統運維”，在服務管理中，點擊“導出日志”，可導出服務日志。按流程步驟依次查看esinsert、alarmMgr、event_analysvr等服務日志是否有異常信息。

中間件故障

各程序報告日志出現報錯：Broker transport failure: 127.0.0.1:9092/0: Connect to ipv4#127.0.0.1:9092 failed

日志分析：9092為Kafka服務端口，該提示說明Kafka服務出現異常。

eventana服務故障

例如，日志中出現信息：src/LogDispatcher.cpp:45"recevice log event count = 9412"

日志分析：出現count表示有正常接收到解析后的日志。若沒有該打印日志，確定對應日志是否采集到日志審計（原生版）平臺，可通過“事件分析 > 日志檢索”中查詢。