奇安信LAS面试题

序号	问题	答案
1	【LAS】【系统】las是否支持ipv6?	las目前版本暂不支持ipv6。在web界面上无法设置ipV6地址，但是如果客户要求必须使用IPV6，可以在LAS底层linux系统设置IPV6进行解决。
2	【LAS】Windows 日志代理的注册后，LAS未能收集到日志，该如何排查。	在“系统”-“系统诊断”模块下，执行“开始诊断”；安全管理员用户或者操作员用户登录系统，点击“配置”-“日志源”模块，查看最后活跃时间 。确认用户环境中防火墙开放端口：确保组件之间防火墙对应端口放开（TCP端口16920），在Windows设备上查看日志代理agent服务是否正常，检查是否有杀毒软件，是否有误杀记录。
3	【LAS】客户反馈设备密码（sysadmin、secadmin、auditadmin）丢失，所有账号多次登录被锁定，如何解决。	ssh：使用 SecureCRT 软件或其他 SSH 软件进行连接登录。输入账号密码（默认用户 lasadmin，默认密码@1fw#2soc$3vpn）进行设备管理 或者console： 串口连接参数 波特率为 115200，数据位 8，使用 SecureCRT 软件或其他超级终端软件进行管理：输入账号密码（默认用户 lasadmin，默认密码@1fw#2soc$3vpn）进行设备管理。使用lasadmin用户上传对应用户 /home/lasadmin 下，执行命令       执行 secfox -U sysadmin_202102260944.dat （此处为sysadmin用户）命令执行结束后为恢复为默认密码!1fw@2soc#3vpn
4	【LAS】-【告警】为什么原始设备中有告警，且LAS事件查询中也有日志，但是LAS却没有任何告警产生？	原始设备中产生的一切日志（包括告警、记录、操作等），发送到LAS设备，都只是一条普通的日志；只有匹配上LAS中定义的告警规则后，LAS上才会产生告警；如果没有告警，需要排查日志是否匹配告警规则库中的规则字段。
5	【LAS】【事件查询】LAS 日志源里的最后活跃时间比实际的时间要快约8个小时？	快8 个小时通常是时区的问题。登录到后台用date 命令查看时区，平台默认使用东八区，即“+0800”与“CST”，若不对则可能导致日志源里的时间不对。
6	【LAS】-【日志源】LAS中的日志源/资产日志指的是什么？	所有向LAS发送过数据且LAS接收正常的设备，都会在LAS中留下一条记录条目，日志源/资产日志就是存放管理这些条目的地方。
7	【LAS】【安装部署】LAS是否支持级联部署？	支持。配置-级联管理，可以进行下级级联节点注册，并配置上报的数据
8	【LAS】【数据采集】Windows Agent 是否支持采集 Windows 数据库日志？	不支持，agent可以采集文本文件日志、无法采集二进制文件日志。 Linux 和 Windows 的 agent 的都无法进行直接连接到数据库进行日志收集。
9	LAS设备管理地址是多少？三个管理员账号密码都是多少，用户权限是什么？	硬件版LAS-管理口：GE1(eth0)管理地址：https://10.70.25.88。secadmin 安全管理员，负责系统的操作使用和安全管理(权限分配)。 auditadmin                 审计管理员，对系统操作进行审计分析。sysadmin  系统管理员，管理系统权限，维护用户。三个账号默认密码都是默认密码!1fw@2soc#3vpn
10	【LAS】【系统配置】LAS支持哪些短信平台	LAS日志审计设备目前只支持”容联云通讯短信网关”服务器
11	【LAS】【系统原理】LAS是否有用到Oracle数据库？	没有，LAS使用的是mysql数据和ES，未使用Oracle。
12	【LAS】【WEB】CPU使用率100%，web登陆界面无法登陆，点击“立即登陆”无反应，web可以登陆，但登陆后界面响应慢、显示不全	原因1：解析文件相关，解析文件开启太多、全开或者导入错误的解析文件原因2：性能相关，接收的日志量（EPS）超过系统日志处理性能。                 解决方案 1、解析文件相关的处理方法   1）停用解析文件 2）待cpu恢复正常后，按需开启解析文件 2）待cpu恢复正常后，按需开启解析文件                                                                                                     2、性能相关处理方法      1）停用所有的解析文件      2）查看实时接收时间是否与系统时间相差较小，以及当前每秒日志数，如果当前每秒日志数超过设备性能则需在日志源端减少日志的外发