1. 确定正在使用的是哪个以太网适配器。在非 HA 接收器上，通常为 eth0，在 HA 接收器上，通常为 eth1 或“浮动”IP。
2. 通过 SSH 登录到接收器，键入以下命令，然后按 ENTER：
   
   tcpdump –nni ethx host x.x.x.x   
   
   其中，x.x.x.x 是数据来源的 IP 地址，ethx 是正在使用的以太网适配器。
   
   注意：对于 syslog 数据来源，您应该会在端口 514 UDP 上看到传入流量。对于较慢的数据来源，可能需要观察几分钟才能观察到数据包，而对于像防火墙这样较快的数据来源来说，几乎立即就可观察到数据包。 如果未观察到数据包，可能是防火墙或终端问题所致。
   
    
3. 如果未观察到数据，请再次检查 IP 和以太网编号。如果这些信息正确无误，则问题可能出在终端上（例如，设备未正确配置）。对于非 syslog 数据来源，可能需要在运行 tcpdump 时从 GUI 执行连接测试（WMI 会通过端口 135 提取数据，SQL 会通过端口 1433 提取数据，诸如此类）。
   
   注意：如果 IP 和端口信息正确，但在 tcpdump 中未观察到传入流量，则问题还可能与阻止入站流量通过指定端口的防火墙或网络有关。请咨询您的网络管理员以执行进一步故障排除步骤。
    
4. 键入下面的命令，然后按 ENTER：
   
   iptables –n –v –L|grep x.x.x.x 
   
   注意：请确保对数据来源 IP 地址实施了允许其通过防火墙的规则。来自 iptables 的一般输出将包含数据来源的端口和 IP 地址。例如，对于 syslog，将包含 10.10.10.10 514。
   
    
5. 在 ESM 用户界面中选择数据来源，然后选择设备状态信息显示板。加载完成后，向下滚动到窗口下方，找到数据来源的 vipsid 编号。
6. 通过 SSH 登录到接收器，然后运行以下命令：
   
   ls –al /var/log/data/inline/thirdparty.logs/##/in  
   
   其中，## 是 vipsID 编号。

1. 确保选择了正确的解析器。如果有多个可用的解析器，请选择标题中包含 (ASP) 的那个。此外，请确保传递和格式设置保留默认值，除非您使用的是 MEF 或非 syslog 数据来源。
2. 数据来源设置和策略可能不是最新的，因此请打开数据来源属性并修改任意一行（例如，在名称中添加一个空格，然后再删除该空格）。
3. 单击确定，然后单击写入以推送数据来源设置。
4. 在设备树中选择接收器，然后在策略编辑器中，依次单击操作和部署策略，以部署该策略。启用左下方始终更新对应的复选框。
5. 如果使用的是 syslog 数据来源，请在 GUI 中的数据来源设置中启用记录未知 syslog。这意味着如果某个事件无法解析，它将显示为未知，而不会被丢弃。
6. 选择接口选项卡，并确保有问题数据来源类型的各端口号都已填写且正确无误。例如，syslog 的端口是 514，WMI 的端口是 135，RPC 的端口是 139，sql 的端口是 1433，诸如此类。
7. 可能未对数据来源启用规则，因此请针对选定的数据来源打开策略编辑器。确保为该数据来源列出的规则都已启用。
   注意：默认策略规则通常会被禁用，因此在默认级别不应启用它们。

1. 如果再无其他数据来源正在收集数据，请在接收器上执行停止然后启动操作。可以从接收器属性执行此操作。
2. 检查以确定其他数据来源是否如预期般工作。

1. 打开接收器属性，然后单击数据来源选项卡：
   • 如果写入按钮可用，则继续执行步骤 2。
   • 如果写入按钮不可用，请选择任何数据来源并对其进行编辑。进行一个小更改（例如，在名称/描述中添加一个空格然后再删除），然后单击确定以强制写入变为启用状态。
2. 单击写入以推送数据来源设置。
3. 当出现策略部署时，选择左下方的方框以强制部署到所有设备，然后单击确定。
   注意：如果未自动显示，请返回信息显示板，选择 ESM，单击顶部的策略编辑器，然后依次单击操作和部署策略。

如果问题仍未解决，而您已执行了所有解决方案中的步骤，请联系技术支持寻求进一步帮助。