本文档介绍了用户在使用运维审计系统过程中的故障处理方法。
对于问题现象,需要明确预期和实际结果、如果有错误提示需要记录错误提示。
若不是产品的问题,需要明确导致问题的外部组件。
对于陌生的异常问题,很多人会感到无从下手,不知道从哪里开始。此时如果掌握一些基本的排错方法论就可以避免这种无力感。对于新手,方法论可以告诉你从什么地方开始,并列举了如何继续下去的步骤。对于专家,方法论可以作为检查清单来使用,确保没有遗漏。《性能之巅》中介绍了很多性能调优的方法论,同样适合故障排查,我们节选部分,有兴趣的可以阅读原文。
询问这些问题并得到相应的回答通常会立即指向一个问题和解决方案。当你遇到一个新问题时,首先应该使用的就是这个方法。
遇到问题时根据现象检查核对《FAQ》和《故障排查指南》就是使用了Adhoc核对清单法。
问题就是问题的陈述,参考问题陈述法。从这点你可以假设问题的原因可能是什么。然后你进行试验,可以是观察性的也可以是实验性的,看看基于假设的预测是否正确。最后是分析收集的试验数据。
举个例子,你可能发现某个应用程序在迁移到一个内存较小的系统时其性能会下降,你假设导致性能不好的原因是较小的文件系统缓存。你可以使用观测的试验方法分别测量两个系统的缓存失效率,预测内存较小的系统缓存失效率更高。用实验的方法可以增加缓存大小(加内存),预测性能将会有所提升。另外,还可以更简单,实验性的测试可以人为地减少缓存的大小(利用可调参数),预计性能将会变差。
无法访问运维审计系统对外的服务,例如Web服务(80、443端口)、字符服务(22端口)、RDP服务(3389端口)、图形会话回放(5899端口)、后台管理(8022端口)。
如果其它设备的IP地址和运维审计系统的IP地址冲突可能导致部分端口通,部分不通。
运维审计系统无法访问外部设备的服务,既包括操作员访问的目标设备的对外服务,也包括管理员配置的运维审计系统与外部系统的对接服务,例如邮件服务、LDAP认证等。
访问Oracle类型的资产,显示TNS连接超时;访问Mysql类型的资产,显示can'tconnecttomysqlserveronx.x.x.x。
数据库类型的资产访问方式为:数据库客户端→运维审计系统→数据库服务器。需要保证网络通畅,端口监听正常。
复杂多机部署场景中,如果发生主节点切换,浮动IP无法切换成功。
浮动IP地址绑定了之前主节点的MAC地址。
由于网络震荡,丢包率高等问题,造成活跃的字符、图形会话异常断开。
活跃会话异常断开问题可能是安全设备拦截导致。
进行RDP会话时,图像刷新缓慢,鼠标移动有卡顿感。
RDP图形会话在传输时会传输图像的变动部分,当遇见图像高频率或大批量刷新时,会导致网络带宽占用率过高。如果传输链路中的带宽有限,会出现画面卡顿现象。
安装补丁包出现Exceptioncreatingconnectiontox.x.x.x错误提示,导致安装无法成功。
修改运维审计系统IP地址的标准入口只有Web页面的系统设置>系统>基本设置>网络配置处和Console控制台菜单处,其他方式均不正确。
安装补丁包出现FileAlreadyExistException错误提示,导致安装无法成功。
在Web页面升级,显示补丁版本不一致。
在Console控制台升级,显示TheQZPpackagedoesnotsupportupgradingfromthecurrentversion。
补丁包在安装前,会检测系统当前的软件包版本,只有满足要求,才会进行升级。
运维审计系统不支持使用360浏览器访问,当使用360浏览器上传补丁包时,会有此报错信息。
通过AccessClient调用本地应用程序异常。
操作系统、安全软件可能会对AccessClient的安装过程进行拦截,导致软件安装不完全。
在第一次使用AccessClient关联客户端应用时,关联了错误的客户端应用,使之后的每一次访问都是请求错误的客户端应用。
浏览器使用URL为accessclient://xxx的方式调用本地的AccessClient。一般浏览器不允许修改此URL调用的应用,但是Firefox可以修改。如果关联错误了,会造成所有打开的会话,都调用一个错误的应用。
该提示不会自动清除,如需清除,需要单击已安装按钮。
Firefox中首次访问时会要求选择客户端,正常情况下应该选择访问客户端,而不是根据待访问的目标资产的类型选择特定的客户端,例如Xshell或者远程桌面客户端。
不同版本的Firefox浏览器,操作步骤有少许上的差异,此处以Firefox76为例进行介绍。
操作员单击可访问的应用图标后,页面没有任何反应,没有报错,也没有弹出任何窗口。
单击应用图标后,浏览器会请求相应的accessclienturl,通过accessclienturl打开本地应用。如果没有获得accessclienturl,则页面没有任何反应。
如果Windows开启内置管理员模式,用户执行某些应用可能由于权限过低而被拒绝。
网络质量差、安全设备过滤、证书等问题会导致此现象。
网页通过加载资源来渲染页面,如果某个关键性的资源加载速度慢时,会导致整个页面加载慢。
访问运维审计系统的Web界面需要使用推荐的浏览器。
涉及到页面访问的服务有Nginx和Tomcat,当出现页面访问速度慢的情况时,可以查看这两个服务的日志文件。
如果最近进行过升级,可能是因为浏览器中的css或者js有缓存导致的。
排除缓存问题,可能是运维审计系统返回的资源文件有问题导致的。
如果运维审计系统的磁盘使用率达到100%,会造成自身各种业务异常,其中就包括Web页面显示不正常。
圆形加载图标是Nginx服务展现的。当Nginx连接Tomcat服务异常时,会出现此图标。
外部链接引用了运维审计系统的IP地址,点击该外部链接,Web页面报404。
HA部署下,在主节点查看系统状态菜单。当点击备节点时,提示无法获取监控数据。
HA的各节点之间是通过API请求来获取数据的。如果配置了API的ACL规则,该规则可能会限制各节点之前的API请求。因此,API的ACL规则需要放通运维审计系统各个节点的IP。
开启了Nginx的Host头保护后,Nginx会对请求URL的主机名字段进行验证。管理员需要添加允许访问的域名或IP地址,否则会返回403报错。
HA部署模式,Common服务默认分配1G的内存,单个日期文件夹下的文件数量如果在250万以下,不会影响到文件同步。超过300万之后,会导致Common内存不足。
输入的用户名错误,系统中不存在。
输入的密码错误。
使用LDAP、AD或者Radius身份验证时,系统无法连接身份验证服务器。
这种场景下,为了安全,系统不会明确提示是否是第三方身份验证系统故障。
使用手机令牌认证、TOTP认证或者短信认证时,每个一次性口令只能使用一次。
使用手机令牌认证或TOTP认证时,系统与手机或者令牌的时钟不同步。
管理员禁用了用户帐号。
用户帐号超过了管理员设定的有效期。
管理员设置了同一用户帐号同时只允许从一个IP地址访问。
PC端安装证书时存储位置选择错误。
X.509证书认证中配置的用户信息匹配规则*错误。
制作的用户证书与与X.509根证书不匹配。
系统设置>系统>定期任务中,LDAP帐号同步失败,显示帐号不允许包含中文字符和空格,加号(+),冒号(:),斜杠(/)。
LDAP服务器中帐号存在字母+空格的格式,由于运维审计系统不允许用户帐号中存在空格,导致同步失败。
E6112P05版本对USBKey的存储机制进行了调整。升级前如开启了USBKey认证,升级后必须重新开启。
该错误表示,客户端无法建立到运维审计系统的SSH连接。
运维审计系统未监听22端口也会导致连接被拒绝或访问失败。
该错误表明运维审计系统无法建立到目标资产的TCP连接,通常是SSH或者Telnet端口不通导致的。
用户环境中可能存在安全设备,阻止了运维审计系统到目标资产的SSH连接建立。此时通过Telnet协议可以连接,但SSH协议无法正常连接。
SSH会话的建立需要客户端和服务器端协商出多套算法,例如:DH算法、mac算法。当协商算法失败或协商出的算法但无法使用时,SSH会话将建立失败。
这是一个非常普遍的错误,导致该错误的原因很多,不一定是用户名或者密码错误导致的。该错误发生在建立TCP连接后,认证成功前。
运维审计系统中目标资产的ssh协议端口号配置错误。
目标资产的密钥交换算法有问题,和运维审计系统进行密钥交换时失败。
使用Putty访问资产时,出现报错unexpectedargument"root@10.2.3.4"。
字符会话的访问方式为scrt,但字符会话关联的应用却是putty。
例如用户将运维审计系统的443端口映射到外网任意端口,又将运维审计系统的22端口映射到外网的2022端口,则从外网Web地址启动字符会话会失败。
通过运维审计系统访问目标资产每次都需要等待30s以上。
工作台>审计>操作审计>字符会话中记录的命令与用户实际输入的命令不一致。
如果审计中记录的命令和用户实际输入的命令不一致,通常是因为运维审计系统没有兼容特定的输入场景。
默认情况下运维审计系统优先保障普通用户的输入速度,对大量粘贴命令的场景可能存在命令记录不全的情况。
通过运维审计系统进行字符访问时显示乱码。
运维审计系统的默认编码为GB18030,客户端编码应该和该编码一致。
已连接的字符会话突然中断。
客户端到运维审计系统,或者运维审计系统到目标资产的网络中断。
会话断开时显示[TERM]Sessionwillbekilledbecauseofthiscommand:。
会话断开时显示Waitinginputtimeout.。
Web会话超,关联的字符会话被切断。
访问部署在云环境下的运维审计系统,字符会话端口连接失败。
运维审计系统必须配置了能够解析该域名的DNS,成功解析该域名,才能通过域名格式的地址来访问资产。
通过运维审计系统单独访问资产时能够正常访问,但批量启动会话时,单击启动后没有任何反应。
管理员为运维审计系统配置了IP地址转发和端口映射,对Web服务端口(443/tcp)和字符/图形访问端口(22/tcp、3389/tcp)、客户端回放端口(5899/tcp)做了映射。这些端口映射前后都必须一致。
通过SSH访问华三Comware资产时,产生报错“Invalidpasswordforxxx”。
Comware资产升级后DSA算法默认使用2048位,而OpenSSH主机密钥DSA算法只支持1024位。
需要在Comware资产上修改DSA算法为1024位。
操作员在工作台>访问资产页面看不到可访问的资产。
访问资产,出现操作失败”,具体内容为:失败:无权访问资产。请从以下四个方面确认。
一个单元格中包含多行数据时,如果换行符比较特殊,运维审计系统将无法识别该单元格中的数据,从而判断用户、资产不存在。
访问时,能够看到字符资产以及该资产下的SSH服务,但是看不到SFTP服务。
动态权限、变更单和工单中,均未给该资产配置sftp协议的访问权限。
集群环境下,添加权限之后,刷新访问资产页面,资产时有时无。
Tomcat可能会因为某些作业导致自身的OOM,此时权限加载是异常的。
Rabbitmq作为消息中间件,桥接了运维审计系统的各个模块,当Rabbitmq服务不正常时,运维审计系统的很多功能将无法使用。
本地PC访问C/S资产时产生报错“远程会话已断开连接,因为访问被拒绝导致许可证存储的创建失败,请使用提升的权限运行远程桌面客户端”。
在Web界面工作台>文件传输>文件传输中,传输文件失败,提示:文件大小超过规则模板限制x。x表示文件传输阈值。
检查阈值设置是否合理,如果不合理,请按以下操作修改。
Mac13及以后版本,默认不支持ssh-dss,需要进行以下操作才能进行字符访问。
配置了命令权限,但是命令权限并没有生效。
不同的设备类型有不同的特征值进行匹配,当选择错误设备类型时,会出现命令权限不生效的情况。
命令权限中的多条规则按照从上至下、从高到低的优先级进行匹配,并且只执行匹配的第一个规则的动作。
如果运维审计系统内部服务异常,也会导致命令识别错误。
具体有以下几种可能。其中映射前的端口正常情况下即为运维审计系统实际的端口。
这几种情况下,从Web界面使用Web方式启动RDP会话时都能正常访问。
例如用户将运维审计系统的443端口映射到外网任意端口,又将运维审计系统的3389端口映射到外网的3390端口,则从外网Web地址启动RDP会话会失败。
mstsc窗口中有红色字体报错:TheerrorcodefromconnectisPREECONNECTERROR。
这个错误发生在运维审计系统准备连接目标资产所需的IP地址、端口、应用发布程序信息和代填信息、帐号和密码时发生了错误,通常意味着运维审计系统存在配置错误。
如果目标资产要求NLA认证,运维审计系统需要先发送正确的用户名和密码才能建立RDP会话。
检查是否开启FIPS,如果已经开启请关闭FIPS。
mstsc窗口中有红色字体报错:ErrorinTLShandshake。
运维审计系统和目标资产进行TLS握手时失败。
RDP会话突然中断,远程桌面客户端提示:您的远程桌面会话已结束。
运维审计系统中如果开启了标题栏识别,将有一定的几率导致会话中断。
使用Toad、PL/SQL或者UltraEdit等工具时有一定几率导致会话中断。
RDP访问时显示Authenticationerrorcheckyoupasswordandusername。
如果运维审计系统连接目标资产时采用了NLA认证,一旦运维审计系统中托管目标资产的用户名或者密码不正确,就会产生这种错误。NLA认证是在获取图形画面之前就完成了身份验证。
访问时显示Insufficentprivilegesontargetserver。
在Windows中通常administrators组的用户自动获得远程访问的权限,其它组的用户需要加入RemoteDesktopUsers组才能RDP远程访问。
connectingtoserver...theerrorcodefromconnectisUNDEFINEDCONNECTERRORfreerdp_connectfailedtodestinationx.x.x.x:33895.7.8.1运维审计系统无法连接目标资产的3389端口
访问时显示Failedtoreadfork-datafromxxx-backend。
这个错误意味着图形模块尝试从Webapp获取访问目标资产所必须的IP地址、帐号和密码等参数时失败。
单击鼠标键盘无响应。
如果出现卡顿后,单击鼠标和键盘一直无影响,等待2分钟后会话自动断开,说明运维审计系统到目标资产的网络异常中断,之所以会话没有立即断开是因为对于网络异常中断的RDP会话,运维审计系统需要等待超时。
如果客户端到运维审计系统或者运维审计系统到目标资产的网络带宽过小也会导致卡顿现象,特别是屏幕内容变化比较大的时候。
RDP访问时,无法正常使用剪切板或者磁盘映射功能。
运维审计系统支持管理员通过访问权限的规则模板设定是否允许使用剪切板和磁盘映射。
目标资产禁用了驱动器或剪切板,导致访问时,无法正常使用剪切板或者磁盘映射功能。
远程桌面客户端访问页面显示由于客户端检测到一个协议错,这个会话将被中断,请重新连接到计算机。
这种错误可能是客户端环境问题导致的。
远程桌面客户端访问页面显示出现了内部错误。
客户端到运维审计系统之间的防火墙或者IDC设备认为RDP连接不安全,中断了连接。
运维审计系统的Xrdp服务默认的最大进程数为500,如果达到此限制,则新的RDP会话无法启动。
通过RDP协议访问Windows资产时,不勾选启用Console连接时,无法成功访问目标资产,只有勾选后,才可以访问。
MAC电脑下,RDP会话的启动成功,需要rdp后缀名的文件的打开方式关联正确。
打开页面后黑屏并闪退。
H5模式的图像会话是通过Websocket模式连接到运维审计系统的,如果出现黑屏闪退,说明Websocknet连接失败。
使用IE浏览器打开H5页面后黑屏。
运维审计系统仅支持IE11及以上的IE浏览器,因此渲染模式最好也适配为IE11。
针对某些VNC设备,操作约5、6分钟后,出现鼠标点击失灵现象。具体现象为鼠标可以拖动,但是单击时,图像没有响应。
对于Linux下的开源VNC服务,建议选择非商业版;对于Windows下的商业版VNC服务,建议选择商业版。
开启xdmcp会话,运维审计系统需要先访问目标资产的UDP177端口。随后目标资产将反向连接运维审计系统6000-6999之间的TCP端口建立xdmcp会话。
通过H5模式启动的xfwd会话,在新窗口启动后闪退。
使用xfwd功能,需要目标资产的SSHD服务开启X11forwarding。
访问xdmcp会话,会话中部分或全部文字显示乱码。
访问vnc会话黑屏或者显示会话连接出现错误,请稍后重试或联系管理员。
进入文件传输后只能看到我的文件,或者没有上传下载按钮。
如果该用户没有对任何资产的文件传输权限,进入工作台>文件传输页面时,就只能看到我的文件。
上传文件到网盘时提示文件大小超出配置文件设定值或文件大小不可超过xxx。
系统默认允许上传10240MB的文件。
如果没有达到设定的限制也出现这类错误,可能被WAF、IPS防火墙等设备拦截。
在条件差的网络中上传文件,如果传输失败会提示文件传输失败或文件大小超出配置文件设定值。
提示原始文件不存在。
选择目标资产后提示资产拒绝连接。
选择目标资产后提示资产认证超时。
资产认证超时说明可以连接目标资产,但是尝试进行身份认证时超时。通常是目标资产存在异常。
网络存在丢包或者延迟高也有可能导致该问题。
选择目标资产后提示密码或密钥错误。
上传或者下载时出现未知异常,导致失败。
认证失败,具体需要看debug级别的webapp的日志和debug级别的text日志,可能是认证超时。
认证失败,webapp返回的信息中result字段不是success。
使用了any帐号,sftp不支持使用any帐号。
没有配置密码。
运维审计系统连接目标设备失败,可能是超时,需要查看打印出来的堆栈信息。
关闭运维审计系统到目标设备的连接失败,原因未知,需要查看打印出来的堆栈信息进行分析。
该资产配置了Java不支持的编码。
创建文件系统失败,原因未知,需要查看打印出来的堆栈信息进行分析。
安装winlogon时提示不能打开要写入的文件。
访问应用时Web页面提示失败:没有检测到发布了该应用的应用发布服务器(1.请检查应用发布服务器Winsync状态是否正常。2.请检查应用发布服务器是否发布了该应用。)。
运维审计系统与应用发布服务器的通讯异常。
如果所有应用发布服务器状态都正常,说明应用发布服务器上没有发布该应用。
单击详细信息可以查看具体原因。
当然如果连上图都未出现,也说明RDP会话打不开。
如果提示Authenticationerrorcheckyoupasswordandusername,说明用户名或者密码错误。
如果访问Chorme/Firefox模式的B/S应用后,RemoteAPP启动窗口打开后立即闪退,说明Chrome/Firefox路径错误或者无权访问。
如果没有弹出RemoteAPP窗口直接抛错,通常是因为本地AccessClient损坏导致。一般显示如下报错信息:无法启动此程序,因为计算机中丢失MSVCR100.dll。尝试重新安装该程序以解决此问题。
IE、Chrome和Firefox打开后,B/S应用没有正确打开。
应用发布服务器和需要访问的B/S应用之间的网络问题。
如果页面可以部分打开,但是显示异常,可能是因为B/S应用中引用了其它站点的资源,被运维审计系统阻止了。
B/S应用中启用了对URL的限制,并且配置了白名单,但实际未对一些IP进行限制,或不能访问白名单中的IP地址。
应用发布服务器为x64系统时,必须使用64位的浏览器,否则白名单功能将失效,用户无法访问白名单中设置的地址。
应用发布服务器的浏览器必须使用指定的版本,否则对URL的限制不一定能够生效。另外,用户需要关闭浏览器的自动更新。否则即使用户一开始安装的是指定的版本,自动更新后也将会使URL限制失效。
应用发布服务器支持的浏览器版本,请参见《Web配置手册》中的“资产访问兼容性列表”。
会话启动后无法正确打开应用。
如果报错是应用程序自身抛出,通常是发布的应用存在依赖导致。
C/S应用程序打开后没有代填,或者没有完整代填。
如果应用发布服务器上的默认输入法是中文,会导致代填程序发送的键盘序列被解析为拼音。
密码或者其他字段的输入中有特殊的字符被目标应用当作快捷键。
如果Oracle密码中包含@会被当做特殊字符处理。
C/S应用通过RemoteAPP方式发布出来后可以打开,但是显示异常。例如应用界面变得透明,或应用之间自动切换等。
该应用与Windows的RemoteAPP调用存在兼容性问题,通过RemoteAPP方式打开该应用就会出现。
Chrome代填要求应用发布服务器安装64位的JDK。
xpath路径正确,但是无法代填,可能是因为html页面中存在iframe,导致直接通过浏览器获取的xpath路径不正确。此时需要设置iframe路径。
目标资产的页面使用了非标准的html控件,比如ActiveX或者其它控件。
如果应用发布服务器上安装了错误版本的Chrome也会导致无法代填。
代填了用户名和密码后没有提交。
目标资产用文件上传功能,通过运维审计系统时无法上传。
大部分B/S应用都可以代填,但是个别B/S应用无法代填。
请联系技术支持人员依次完成以下操作。
通过IE浏览器访问的B/S应用代填失败。
如果页面可以打开,但是没有代填,可能是因为IE代填插件没有启用。
页面有资源无法加载。
一些特殊的网页,并不是由标准的HTML元素组成,例如XBAP类型网页。对于这类的网页,运维审计系统无法完成代填。
采用Firefox方式访问的B/S应用代填失败。
webdriver需要和Firefox版本匹配。
Firefox使用rdpapp.bat脚本启动,因此在发布Firefox浏览器时,在AppServer中配置的文件路径和名称为WebDriver安装路径\bin\rdpapp.bat。
打开应用程序异常关闭后会话注销。
有些应用对于操作系统用户环境存在特殊限制。例如单用户只能打开一个该应用会话、单用户多开应用时会共享该应用的会话等。
能够看到会话建立连接的过程,但是随后会话就断开。
ResponseCodeError,PleaseReopenTheApp.responsefailed.5.13.15.1同时在Agent中填写了运维审计系统的实IP和虚IP出现该报错,可能是因为Agent的填写有误。HA/集群/总分的部署场景下,在Agent中填写运维审计系统的虚IP即可,如同时填写了实IP和虚IP,则会导致该问题。
运维审计系统不支持使用虚拟机克隆得到的应用发布服务器。
应用发布服务器与运维审计系统通信不正常时,也可能导致该问题。有可能只是单次连接失败,这种情况下可以尝试重新打开AppServer,否则需要对网络做详细的排查。
打开AppServer配置工具时报错,显示发生未知异常,详情请查看日志。尝试将程序卸载干净,重装后,再打开。
应用发布服务器的AppServer工具必须依赖于.NetFramework3.5。
打开Winlogon配置工具时报错。
单击SSH或者RDP会话,可以正常的调用应用,但是单击应用类型的会话,没有任何反应。
在运维审计系统的Web界面升级WinSoft时,提示不支持升级。
从E6112P03(含)版本开始,WinSoft组件才支持在Web界面自动升级。对于之前的版本,请参考以下步骤进行手动升级。
升级完成后,建议重启应用发布服务器。
用户通过应用发布服务器访问资产时,会话启动失败,显示报错失败:同步用户失败。
通过应用发布服务器发布应用,出现以下故障现象:
请在R6113P08(含)以上版本中执行以下操作。对于之前的版本,请先升级到上述版本后再进行操作。
非单机部署时,请在每个节点上进行以下操作。
Enterselection:configconfConfigConfManagement:1.listallconf2.addconf3.delconf0.ReturnEnterselection:2Pleaseinputconf(kev=value):appServer.useAdmin=falsesetconfsuccessYouneedrestarttomcattotakeeffecttheconfiguration重启Tomcat服务(Console菜单:SystemTools>RestartTomcat)。Note:重启Tomcat服务会断开当前H5访问的会话,Web界面在重启完成后才能正常访问。5.14数据库会话
当用户访问数据库失败时,首先要排查运维审计系统、应用发布服务器和数据库服务器之间的网络是否连通、端口监听是否正常。
通过应用发布服务器访问数据库资产有两种方式:支持数据库审计和不支持数据库审计,其访问过程和网络故障排查步骤分别如下:
访问Oracle、MySQL和MSSQL数据库时,运维审计系统将同时记录图形会话和数据库会话审计记录,并支持提取操作过程中的SQL语句。
访问过程
网络故障排查方法
访问此类数据库时,运维审计系统将仅记录图形会话,不记录数据库会话,且无法提取操作过程中的SQL语句。以下以DB数据库为例,其他数据库请根据对应的端口号排查。
DB2的数据库端口为50000。
通过PL/SQLDeveloper访问数据库资产时,显示如下:
(Notloggedon)-...ORA-12537:TNS:连接关闭
PL/SQL默认会以参数方式对用户名、密码等项目进行代填。当密码中含有@字符,会导致PL/SQL参数方式的代填解析错误。此时请使用AppAuto方式。
当使用AppAuto方式访问时,PL/SQL不代填或者代填不完整。
当使用AppAuto方式代填PL/SQL时,需满足代填的兼容性列表。当前AppAuto方式的PL/SQL的代填仅支持PL/SQLDeveloper11.0英文版。
ORA-12541:TNS:无监听程序5.14.5.1应用发布服务器无法连接运维审计系统的1521端口
Theoperationcouldnotbecompleted.Thesystemcannotfindthefilespecified.或
LostconnectiontoMySQLserverat'readinginitialcommunicationpacket',systemerror:0MSSQL会话连接后,显示如下:远程主机强迫关闭了一个现有的连接Oracle会话连接后,显示如下:ORA-12537:TNS:连接关闭5.14.6.1Gsessiond异常可能是因为运维审计系统无法连接应用发布服务器的Gsessiond服务导致。
连接Oracle、MSSql会话时,Windows报错如图:
在Oracle、MSSQL会话建立过程中,AppAuto会去写hosts文件,当该同步帐号对于hosts文件不可写时,会出现此报错。
这是由于运维审计系统默认不支持从映射后的地址访问数据库。代填主机名时,会填写为映射后的地址,而非运维审计系统的真实地址。必须按以下步骤进行配置。
运维审计系统不支持加密的MSSQL协议。
发生了故障排查指南中未明确的错误。
如果数据协议数据中存在运维审计系统未识别或者正确处理的包,也可能会导致卡顿或者异常。
改密计划已经创建,但是执行后,提示改密计划执行失败。
为防止密码丢失,运维审计系统在改密前,会进行密码的备份操作。如果密码备份失败,改密不会进行。
密码备份策略可以同时指定多种密码备份方式,只要任一方式备份成功,则会进行改密。如采用密码分段方式,需要保证两段密码都备份成功。
在改密计划的关联帐号处,没有指定帐号,或者动态关联的规则没有匹配到帐号。
字符资产的改密需要资产处拥有Telnet或者SSH协议,并且该协议没有被禁用。
如果需要使用Agent改密,需要Windows资产安装Agent,并保证Agent配置正确。
Agent协议的连接方式为Windows资产连接运维审计系统的3301端口,需要保证Windows资产到运维审计系统的3301端口连通。
如果目标资产有密码复杂度要求,设置简单密码时,将改密失败。
运维审计系统对于Windows资产的改密顺序为先尝试进行Agent改密,当检测到Agent协议不通时,进行RPC改密。所以当配置了Agent改密,并改密失败后,并不一定是Agent阶段失败,也有可能是RPC阶段失败。
运维审计系统添加的目标资产的IP地址,和目标资产使用Agent回连运维审计系统时的源IP地址不是同一个地址。造成运维审计系统不认为该资产使用了Agent方式连接。
当Windows资产没有配置Agent,或配置了Agent,但Agent连接失败时,运维审计系统会进行RPC方式的改密。
RPC改密要求运维审计系统托管了特权帐号密码,或托管了待改密帐号密码。
改密时,运维审计系统会根据Windows资产的版本,连接的TCP135、139、445中的其中一个端口。需要保证运维审计系统到Windows资产的以上端口通畅。
Windows资产的RPC服务需要工作正常,改密才会成功。
如果由于Windows设备系统异常或服务异常,导致手工在该设备上改密也失败,则通过运维审计系统也会改密失败。
运维审计系统支持改密的主机字符资产包括Linux、AIX、HPUX、AS/400和KylinLinux(银河麒麟)。网络字符资产包括H3CComware、Cisco、HuaweiQuidway、JuniperNetscreen。
字符资产改密要求运维审计系统托管了特权帐号密码,或托管了待改密帐号密码。
标准Linux的特权帐号改密过程:
标准Linux的普通用户改密过程:
当目标设备编码为中文,在使用切换命令su后出现的密码提示为中文,导致匹配失败,从而改密失败。
在使用默认脚本改密时,脚本会执行设置英文语言环境的语句,以使得当前会话的交互内容都为英文,从而匹配所有的改密步骤。如果英文语言环境设置失败,可能会导致改密失败。
帐号的密码被修改后,在同一个改密队列中该密码不会被及时更新,此时运维审计系统使用旧密码去修改同一队列中的其他帐号,就会造成改密失败。
改密队列中,会依次按照切换自帐号、普通帐号、特权帐号的顺序分批次进行改密。
思科设备的改密需要进入enable模式下才能够进行,所以一定要托管enable帐号/密码。
本故障排查针对的自定义改密脚本类型包括Telnet和SSH。
E6112P02及以前的版本,自定义改密脚本不支持切换自的改密。即当特权帐号切换自普通帐号,自定义改密时将不使用特权帐号去改。
E6112P03及以后的版本,自定义改密脚本支持切换自的改密,改密失败是由其他原因导致的,请跳过此故障项,继续排查。
改密脚本的匹配字段可以使用正则表达式进行匹配,当遇见某些特殊字符时,需要进行转义。
如果某台主机具有多IP地址,例如同时拥有节点IP、浮动IP的场景,对相同主机的多IP重复修改密码,会有此现象。
在工作台>帐号改密>帐号资产中单击待改密帐号对应的编辑,在密码管理页签中执行自动改密,产生报错没有可改密的条目:人工直接改密。
Web页面看不到审计记录。
用户在帐号设置>修改信息>会话配置>图形会话中,设置采用客户端回放方式。然后在审计>操作审计>图形会话中,单击回放,出现回放窗口图标,但未开始播放回放就自动关闭。
如需观看图形会话的回放,用户本地PC中,必须安装JRE/JDK,并且保证当前只有一个可用的JAVA环境。
具体有以下几种可能。其中映射前的端口正常情况下即为运维审计系统实际的图形服务(Web方式)端口,也就是审计回放端口。
例如用户将运维审计系统的443端口映射到外网任意端口,又将运维审计系统的5899端口映射到外网的5900端口,则从外网Web地址播放图形审计回放会失败。
部署日志提示集群部署失败。
Ceph故障,导致集群的Web界面无法正常打开,字符和图形会话无法建立。
打开下载后的输出,发现输出部分不完全。
由于Excel记录的行数有限,对于完整的输出结果需要在该表格的最后一列,获取完整输出中查看。
当访问Web页面时异常时,请收集浏览器日志来分析问题。
当访问SSH会话异常时,请收集SSH客户端日志来分析问题。
访问出现异常可能与Windows本身的环境有关,请收集Windows系统日志进行分析。
通过运维审计系统的Web界面启动的会话,会调用AccessClient工具,当访问资产异常时,请收集AccessClient的日志。
当通过客户端软件访问运维审计系统出现异常时,请收集客户端软件的版本信息,以便于搭建复现问题的环境。
当出现访问异常时,也可能是目标资产出现异常,请收集目标资产日志来分析问题。
当通过运维审计系统访问Linux设备异常时,请收集该Linux设备的日志来分析问题。
当通过运维审计系统访问Windows设备异常时,请收集该Windows设备的日志来分析问题。
单击开始>管理工具>远程桌面服务>远程桌面会话主机配置,然后双击RDP-TCP,查看Windows的RDP属性。
当出现访问异常时,可能是运维审计系统出现异常,请收集运维审计系统日志来分析问题。
当访问数据库、应用系统等出现访问异常时,请收集应用发布服务器的日志来分析问题。