1  网监对接概述

1.1        EG单设备网监对接背景

网监对接是指通过在网络中部署日志审计平台与当地有关部门监管平台对接，将审计日志发送到相应的监管平台，从而满足有关部门对于公共互联网WIFI的实名审计需求。

针对市场上有些客户不想额外配置ELOG服务器，但是又需要网监对接的场景，需要实现一个EG设备能够直接对接公安网监系统的功能。本场景EG单设备网监对接，使用EG网关作为出口，认证部署在EG设备上，AC为独立的硬件设备或者EG 集成AC功能，不依赖ELOG服务器，仅依靠EG设备发送日志到网监平台。

注：

1、截止9PJ13（11.9(2)B11）版本，目前EG单设备web已开放并支持如下第三方平台，具体支持型号请参考SPEC指标说明。

包括：任子行、任子行FTPs、佛山任子行FTPS，任子行云平台FTPS，美亚柏科、新网程、上网新网程、新网程（认证）、山东兆物、济宁派博、上海派博、昆明派博FTP、湖南部标、上海永平、西软，湖南中科新业；

支持的产品型号：

EG2000F、EG2000K/L、EG2000CE/SE、EG2000GE、EG2000XE/UE、EG3000CE/SE、EG3000GE/ME、EG3000UE/XE、EG2100-P、EG3210、EG3210 V2、EG3220/EG3230/EG3250、EG2000CE-CM、EG5200-P。

2、EG/NBR系列支持无线AC的产品，需要支持无线AC网监配置，对应的型号：

EG2000F、EG2000CE/SE/P，EG2100-P,EG3000GE/ME、EG3000SE/CE、EG3210/EG3220/EG3230/EG3250；EG3210V2、EG5200-P

注意：当前仅支持我司的AC产品，暂不支持其他友商AC。

1.2        EG单设备网监对接基本模型

以EG集成AC为例，原理图如下，网监模块根据网监模板库提供日志格式，将各种审计日志，整理，发送至网监服务器

网监对接方案

EG单设备网监对接涉及的组件有：AP、AC、EG、其中EG为核心的组件。其大致关系如下：

1、独立AC场景，AP将用户的无线终端信息主要包括STA上下线信息、AP MAC、STA IP等信息通过capwap隧道，上传到AC设备，然后AC通过SNMP trap主动将消息通告给EG。

2、当AC为集成AC的时候，通信流程类似，只不过SNMP TRAP通告的目的IP配置为设备自身IP。

3、EG将多种信息整合封装，按照特定的格式，发送到对应的有关部门监管平台；

EG单设备网监对接基本模型包含以下几种：

（1）      EG网关模式，AC独立场景

场景1说明：

1）  EG部署模式为网关。

2）  NAS可以是EG\ AC中的任意一个；

EG做NAS，认证方式支持内置WEB认证、外置web认证（ESS/SMP/SAM）、本地服务器认证（短信认证、微信认证、账户名密码认证）、营销认证（WMC/MCP/MACC）。

AC做NAS，认证方式支持外置web认证（SAM）、营销认证（WMC/MCP）

3）  AC为我司AC设备（部署在内网）。

4）  在这个场景中，认证服务器需要将认证信息同步给EG。AC需要将STA终端上下线信息通过TRAP的方式发送给EG，EG将信息汇总拼接后，发送给第三方网监平台。

（2）      EG网关模式，EG集成AC场景

场景2说明：

1）  EG部署模式为网关。

2）  NAS为EG，认证方式支持内置WEB认证、外置web认证（ESS/SMP/SAM）、本地服务器认证（短信认证、微信认证、账户名密码认证）、营销认证（WMC/MCP/MACC）。

3）  AC功能集成在EG中；

4）  在这个场景中，认证服务器需要将认证信息同步给EG。EG上的AC功能模块需要将STA终端上下线信息通过TRAP的方式发送给EG（对于EG来说，集成AC可以认为是一台虚拟的AC设备）。EG将信息汇总拼接后，发送给第三方网监平台。

场景3说明：

1）  EG为网关。

2）   NAS为EG，认证方式支持内置WEB认证、外置web认证（ESS/SMP/SAM）、本地服务器认证（短信认证、微信认证、账户名密码认证）、营销认证（WMC/MCP/MACC）。

3）   AC和AP是友商设备。

4）   在这个场景中，EG获取无线STA信息是通过SYSLOG报文提取。要求友商AP或AC上配置SYSLOG服务器地址（任意外网地址）

2     网监对接基本流程

EG网监对接的基本操作流程如下：

3 前置工作

2.1        版本升级

由于网监对接的特殊性和差异化，需指定版本才能支持相应的网监对接要求。本项目版本如下：

在下载版本之前，需仔细核对版本号是否正确。

1.        由于有关部门审计要求不断提升，EG的版本也在日渐更新，但新版本均会包含老版本的需求。因此在下载版本时，到该RTRID申请下载所需版本类型即可；

2.        无线的版本目前分为两种：通用版本和有嗅探需求版本。请仔细查看版本号，避免下载错误；

2.2        网监对接参数获取

对于不同的监管平台厂商平台，日志上传的协议、参数均不一样。要正确地实现对接，需要提前向有关部门(或监管平台厂商)获取对接参数信息。截止目前支持的11家监管平台厂商需要的对接参数如下：

类型一：采用FTP协议的监管平台厂商（“＊”号为必须获取的参数）

类型二：采用TCP&UDP协议的监管平台厂商（“＊”号为必须获取的参数）

类型三：采用HTTP协议的监管平台厂商（“＊”号为必须获取的参数）

2.3        场所信息搜集

网监对接需要提前搜集场所信息：

1?      搜集场所基本信息

上网服务场所编码、场所名称、地址、物理位置经纬度等，详见第3.3.3章节部分需求；

2?      搜集AP设备MAC地址（暂不支持友商无线AP）

需要将该场所下的AP的MAC绑定在该场所下，AP的MAC地址获取方式与AP注册时的MAC一致。获取方式有：

?   查看面板粘贴的贴纸

?   早期的设备信息登记表中有记录

?   show ap-config summary获取

3?      搜集EG设备MAC地址[jh1] 

该场所下的EG设备的MAC地址也需要绑定在该所场下，而EG设备的MAC地址在项目初期并未要求统一搜集；其获取方式有

?   远程登录设备show member

4?      搜集AC的MAC地址(暂不支持友商AC)[jh2] 

AC的MAC获取方式，建议使用show ac-c命令来查看

4 设备配置

2.4        网关EG第三方日志配置

2.4.1 开启行为审计功能

进入“行为管理->行为策略->简易配置”页面，开启默认审计功能：

底层下发命令如下：

content-policy _AUDIT_DEFAULT

 vid-rule audit-default-enable

 mail-rule audit-default-enable

 im-rule audit-default-enable

 telnet-rule audit-default-enable

 ftp-rule audit-default-enable

 web-bbs-rule audit-default-enable

 web-search-rule audit-default-enable

 web-mail-rule audit-default-enable

 url-rule audit-default-enable

content-policy _TOP_PRIORITY

 url-rule 1000 url-object illegal time-range any action deny audit comment 网站黑名单策略

 url-rule 997 url-object un_audit_object time-range any action permit comment 不审计的网址

!

content-policy-relate relate auth-subscriber any policy _TOP_PRIORITY

content-policy-relate relate subscriber any policy _TOP_PRIORITY

content-policy-relate relate subscriber any policy _AUDIT_DEFAULT

!

2.4.2 开启网监日志

开启网监日志前，要先开启网监功能才能进行相关配置，详见第3.3.1章节配置；

进入“高级->第三方日志->第三方日志配置”页面，开启相关日志：

底层下发命令如下：

nat-log police

content-audit write-plog url

content-audit write-plog web-search

content-audit write-plog web-bbs

content-audit write-plog web-mail

content-audit write-plog mail

content-audit write-plog im

content-audit write-plog vid

2.5        无线终端信息采集

无线终端信息收集有2种方式：

1、SNMP Trap：

适用于锐捷的无线设备，SNMP Trap可以配置在硬AC，或集成AC上。

2、SYSLOG：

适用于无法配置SNMP Trap的场景，如锐捷的总分场景、锐捷的MACC管理AP、和友商的无线设备。

2.5.1    SNMP TRAP配置

?  如果AC为独立AC（11.9(1)B13只支持锐捷AC)，无线AC的网监配置只需要配置snmp trap，如下：

config模式下：

snmp-server host [ip] informs version 2c [public]   //ip替换为snmp server的ip地址，public替换为TRAP口令

snmp-server enable traps

snmp-server community [public] rw  //public替换为TRAP口令

ip dhcp snooping

ac-controller模式下

acctrl-trap acsta-oper-ctrl           //开启STA动作trap

?  当AC为集成AC的时候，SNMP TRAP通告的目的IP配置为设备自身IP即可。

进入“高级->第三方日志->第三方服务器配置”页面，点击SNMP配置，进行相关配置：

注意：如果snmp trap 口令不是默认的 public，EG上要增加配置如下：

config模式下

police-log set snmp community [口令]

注意：当通告的目的IP为设备IP时，如果有大量的通告信息，会被设备的防攻击误认为是攻击报文，超过限速，会把报文丢弃，因此需要把相关的IP设置为白名单，这样就不会限速（安全-本地防攻击-开启防流量攻击，将SNMP trap源加入到管理员ip）。

2.5.2    SYSLOG配置

?  如果是锐捷的AP

config模式下：

logging server [ip]

建议使用AC或MACC集中下发批量配置。

?  如果是友商的AP(以h3c举例)

H3C AP的配置：

sys

info-center enable

info-center loghost x.x.x.x

x.x.x.x 为syslog服务器地址，可以配置任意外网IP，不要求可达，只是为了让EG获取报文提取无线信息

注意：

?  要求在AP（或AC）上配置SYSLOG服务器地址，使得AP的syslog报文会经过设备；如果有开启认证的话需要方通AP的ip或syslog服务器地址，否则AP发出的syslog会被认证阻断导致无法获取STA信息。

?  SYSLOG方案只适用于二层网络。因为通常syslog报文中没有终端的ip信息，只能用mac去匹配日志；（如果要支持跨三层网络，syslog里面要有ap和用户的ip）。

?  SYSLOG报文中要求至少包含AP的MAC、STA的MAC，如果没有这两个信息，就无法组合出无线的上网日志。Syslog中如ssid、rssi、channel等信息不全，网监平台如果要求必填，也可能会有问题。

?  目前只收集到H3C AP发送的SYSLOG报文，其它厂商是否支持，需要根据报文格式分析后更新内容审计特征库和网监日志库。

2.6        EG网监配置

本案例EG为网监对接中最重要的组件，主要的配置都由EG完成。具体配置如下：

2.6.1 网监开关

登录“高级-第三方日志”页面，开启 “第三方服务器”功能：

注：小于或等于1G内存设备（EG2000F/K/L、EG2100-P、NBR800G/950G/1000G-E/1300G-E)默认出厂起机时候关闭了第三方日志功能,如需配置第三方日志功能，可到首页-功能管理菜单开启第三方日志类型

并选择第三方日志服务器，页面会自动加载第三方日志服务器列表，

添加相应网监平台，并配置服务器参数、数据采集参数等信息，

点保存后，会自动加载网监平台配置界面

在使用网监之前，必须配置相关信息，包括了：场所基本信息，设备基本信息、FTP信息、数据采集信息、第三方日志配置。配置后EG将AC，AP的相关日志并转发到监管平台厂商的相关接口。具体配置如下文所述。

2.6.2 场所管理

场所管理由菜单 “高级->第三方日志->场所基本信息” 进入：

配置完第三方服务器（网监）后，第二步必须配置场所，并且把场所关联到对应监管平台厂商上。系统才能将网监对应的场所数据正确上传。

添加场所基本信息

进入“高级->第三方日志->场所基本信息”页面，，左侧 “添加” 按钮实现，点击添加会弹出场所信息添加面板

示例：

示例：

添加场所信息面板 主要分两部分：

一部份是场所基本信息，这部分信息以红色*标识表示，为必填项，否则不能完成场所添加。

另一部分是场所其他信息，这部分信息是选填的，可以不填写，如果填写，则必须按正确的格式填写。建议填写上场所的经纬度，这部分信息有些网监会做要求。具体可看日志上传后，网监反馈是否缺失经纬度。

?  必填项(红色*标识)各字段说明如下：

1、  上网服务场所编码：

场所编码由14位阿拉伯数字或字母组成，代码从左至右的含义是：

a)第1至第6位表示上网营业场所所在省(自治区、直辖市)、市(地区、盟)、区(县、旗)，按GB/T 2260规定的行政区划代码生成，作为标识代码使用，该标识代码生成后不随当地行政区划代码变更而改变；

b)网监营性上网服务场所，第7固定为2，表示属于互联网公共上网服务场所；WIFI无线采集前端，第7固定为3，表示属于WIFI无线采集前端。

第8位表示上网服务场所类型，代码见下表；（不同厂家服务器对应场所类型编码可能不一样，具体参考厂商标准）

c)最后6位用阿拉伯数字表示序列号，该序列号由场所管辖地公安机关网安部门定义，如网安无定义，便可由一线人员自行定义。

2、场所名称：按网安要求进行命名，如无要求，可由一线人员自行定义。

3、经营法人：根据要求填写场所负责人

4、经营法人有效证件号码：根据选择证件类型下拉框内容自行选择，然后填写场所负责人有效证件号码

5、场所详细地址：选择场所对应的省市区，该选择会改变“场所编码”的第1到6位。然后再输入场所所在街道的详细地址。

6、场所经纬度：打开“百度地图”，点击页面最底下“地图开放平台”，在新开的页面找到“工具支持”-》“坐标拾取器”，搜索相应的地址就会显示对应的经纬度。

如下图所示，经度为119.243963，纬度为26.058545。

?  选填项各字段说明如下：

1、场所服务类型：根据下拉框内容自行选择。该选择会改变“场所编码”的第7到8位

2、场所经营性质：根据下拉框内容自行选择

场所其他信息，尽量填写全面，否则网监系统可能会提示字段不全，或缺少字段等。

添加成功时，会有添加成功提示，并且重新刷新场所列表页面。添加失败时，添加面板会有相应的错误报出。

修订场所基本信息

修订场所，由每条场所信息的操作列的 “编辑” 进入：

点击 “编辑” 场所信息时，会弹出如添加场所时一样的界面，编辑页输入项会填充系统当前配置的场所信息以便修改。

编辑场所需要注意的，“场所编码”不能被修订。如需修订，则需要将场所删除后再重新添加。

修订成功时，会重新刷新场所列表页面，修订场所失败时，修订面板会有相应的错误报出。

删除场所基本信息

删除场所，由场所列表页面的 删除 完成：

删除场所时，首选需要选中场所，可以选中一个场所进行删除，也可以选中多个场所进行一次性删除。点击删除时，会弹出确认删除。

删除成功时，会提示删除成功，并且会重新刷新场所列表页面。删除失败会有相应的错误报出。

批量导入场所基本信息

当需要同时录入多个场所时，可以采用批量导入的方式。

下载导入场所需要的模板

注：导出场所信息模板前，需要先添加至少一条的场所基本信息，否则会提示数据为空。保存的时候，要将所有字段都改成文本格式

打开模板后，可见场所导入的必填项（*表示），这些项目必须填写正确才能正常导入，详见“添加场所基本信息”章节

若对批量导入场所仍不熟悉，也可以先在页面上添加一个场所，再通过场所导出功能导出Excel文件，看一下导出的格式来作为例子。

批量导出场所基本信息

将所有场所导出成Excel文件格式

查询场所[jh3] 

可按“场所名称”模糊查询、按“监管平台厂商类型”精确查询 匹配到的场所信息。

2.6.3 设备管理

添加AP基本信息

添加AP基本信息菜单 “高级->第三方日志->设备基本信息” 进入：左侧 “添加“” 按钮实现，点击添加会弹出添加面板

点击选择场所编码，选择已建好的场所编码

保存后会自动加载AP基本信息

各参数含义如下，红色*标识为必填项：

1、  AP名称：由一线人员自行定义。

2、  设备MAC：按“xx-xx-xx-xx-xx-xx”格式进行填写，每4个字符间按“.”进行分隔。

3、  上网服务所属场所：为“场所管理”中添加的服务场所编码。

4、  设备详细地址：由一线人员自行定义。

按页面提示填写设备相关信息，点击保存。

添加成功时，会有添加成功提示，并且重新刷新设备列表页面。添加失败时，添加面板会有相应的错误报出。

示例：

注： AC和AP若非我司设备，EG无法获取SNMP TRAP通告的终端和AP的MAC信息。发送给网监平台的有些日志，终端和AP的MAC会填充默认值（终端的MAC：00-00-00-00-00-00；AP的MAC:88-88-88-88-88-88）

配置差异：

1)     添加日志服务器类型选择“XXX（无AC）”。如，对接山东兆物，则选择“山东兆物（无AC）”

2)     添加AP时，需要配置一个AP的MAC地址为：8888.8888.8888

修订AP基本信息

修订设备，由每条设备信息的操作列的 编辑 进入：

点击 编辑 设备信息时，会弹出如添加设备时一样的界面，编辑页输入项会填充系统当前配置的设备信息以便修改。

修订成功时，会重新刷新设备列表页面，修订设备失败时，修订面板会有相应的错误报出。

删除AP基本信息

删除设备，由设备列表页面的 删除 完成：

删除设备时，首选需要选中设备，可以选中一个设备进行删除，也可以选中多个设备进行一次性删除。点击删除时，会弹出确认删除。

删除成功时，会提示删除成功，并且会重新刷新设备列表页面。删除失败会有相应的错误报出。

批量导入AP基本信息

当需要同时录入多个设备时，可以采用批量导入的方式。

下载导入设备需要的模板

打开模板后，可见设备导入的必填项，这些项目必须填写正确才能正常导入，其中：

1、  所属服务场所编码名称：填入该设备所属场所对应的14位场所编码，该编码可从场所管理中对应的场所获得。

2、  AP MAC地址：按“xx-xx-xx-xx-xx-xx”格式进行填写，每两个字符间按“-”进行分隔。

3、  AP名称：填写AP设备名称，由一线人员根据实际情况自行定义。

设备详细地址：输入AP所在位置的详细地址。

若对批量导入设备仍不熟悉，也可以先在页面上添加一个设备，再通过设备导出功能导出Excel文件，看一下导出的格式来作为例子。同时注意保存的时候，要将所有字段都改成文本格式

批量导出AP基本信息

将所有设备导出成Excel文件格式

查询AP设备[jh4] 

可按“所属场所名称”模糊查询、按“设备名称”模糊查询、“设备MAC”模糊查询 匹配到的场所信息。

2.6.4  FTP信息配置

进入“高级->第三方服务器配置”页面，进行相关配置，

参数说明：

FTP地址：网监提供的FTP服务器地址。

FTP端口：网监提供的FTP服务器端口。

FTP用户名：网监提供的FTP服务器用户名。

FTP密码：网监提供的FTP服务器密码。

2.6.5  数据采集信息

进入“高级->第三方服务器配置”页面，进行相关配置，

参数说明：

厂商名称：安全厂商名称，按实际情况填写。

厂商地址：厂商地址。按实际情况填写。

厂商联系人：厂商联系人。按实际情况填写。

厂商联系人电话：厂商联系人电话，按实际情况填写。

    厂商联系人邮件：厂商联系人邮件地址，按实际情况填写。

厂商组织机构代码：九位数字，可网上查询，如锐捷厂商组织机构代码为754961764

    数据产生源标识：上网服务场所编码前六位数字，输此文件的系统所属机构的标识（如某省厅，某地市等），每个节点标识由公安机关机构（GA/T 380-2011）代码前六位统一确定。例如：320000表示江苏省厅；320100表示南京市局。

数据传输目的标识：六位数字，跟源标识可一致。

2.6.6    网监日志无法发送故障排查

2.6.7 数据通路检查（故障排查）

配置好EG网监功能后，EG会将相关的数据做合并发送到监管平台厂商，可按如下步骤检查AP，AC、EG-->网监的数据通路是否正常。

检查配置

首先参照相应章节检查设备对应的场所，场所对应的网监有没有问题。如果发现配置问题，请先编辑或者重新删除再添加。系统会自动加载新的配置。

备注：EG和AC设备由于可以多个场所共享，只要挂在其中一个场所即可；AP则不允许多个场所共享，每个AP只能挂在一个场所下面。即每个场所下至少要挂一个AP，且该AP的MAC地址不能和其他场所的AP MAC地址相重复。

排查AP数据有没有收到

Show police-config stamng ip xxx

查看ip为xxx的终端无线信息是否有收到

举例：

Ruijie#sh police-config stamng ip 10.10.20.20

{ "code": 0, "msg": 1, "list": [ { "stamac": "52-54-00-AA-BB-CC", "apmac": "00-11-44-77-22-55", "ip": "10.10.20.20", "account": "", "flag": 2, "time1": "2018-09-10 11:06:21\n", "time2": "2018-09-10 11:09:54\n" } ] }

List字段不为空，则表示收到该终端无线信息。

Msg字段表示收到终端信息的总数。

确认收到的数据是否保存到了数据库

两种方式：

1、进入shell查看tmp/log目录下对应平台的日志文件是否有生成。

举例：

EG3000ME#run-system-shell

~ # ls tmp/log/myp/

_145-350212-1536331228-00004-WA_SOURCE_FJ_0002-0.bcp

备注：任子行日志目录/tmp/log/surfilter/

有日志文件说明日志生成正常。注意日志生成后文件大小为0，发送的时候才会写文件。

2、使用WEB查看（推荐）

确认数据是否发送到网监平台

1、  抓包并过滤对应平台的发送协议，看报文是否有正常发送。注意，数据发送间隔可能比较长，比如5分钟，需要持续抓包一段时间。

2、  找网监平台接口人确认。

2.6.8  常见问题

1、有线网络网络是否支持非经对接？（举例）

非经对接指的是非经营厂商无线网络，有线目前不在标准方案中

2.7        典型故障排查

2.7.1    网监日志无法发送故障排查

1、  故障现象

第三方日志配置完成后，查看状态信息，日志统计信息为0。

2、  日志说明

n  场所和设备基础信息、心跳：定时发送，不需要特殊配置；

n  特征采集日志：是STA关联AP上下线信息，STA连接/断开WIFI时产生；

n  虚拟身份、上网等日志，由内容审计或nat日志模块产生信息，需要依赖特征采集信息，才能发送；

n  终端上下线日志（认证日志），需要开启认证功能，有认证动作才会产生。需要依赖特征采集信息，才能发送。

3、  配置步骤说明

详细配置步骤可参考本文档。

步骤1：（必配）配置获取无线信息方式.

以下配置三选一，必须且只能配一个。

1)集成AC管理AP的情况：在eg上配置snmp trap，目的ip为eg的ip。如果snmp 口令不是public，eg上配置 police-log set snmp community [口令]（参考本文档2.5.1章节）；

2)锐捷硬AC管理AP,硬AC在内网的情况：在硬AC上配置snmp trap，目的ip为eg的ip（参考本文档2.5.1章节）；

3)硬AC在总部管理AP，或者使用其他厂商AP：在AP上配置syslog服务器ip，目的ip地址为外网任意ip。 如果开启认证，需要放行AP的ip及syslog目的ip。（参考本文档2.5.2章节）

步骤2：（必配）选择网监平台，配置服务器信息

步骤3：（必配）配置场所信息

步骤4：（必配）配置AP设备信息

2.7.2    无行为审计日志故障排查

1、故障现象

第三方日志配置完成后，查看状态信息，行为审计日志计数为0

2、  排查步骤

如果是行为审计日志计数为0：

1）特征采集日志计数是否为0。如果为0，参考无特征采集日志的排查步骤；

2）查看第三方日志配置是否开启日志（系统->第三方日志->第三方日志配置）；

3）查看内容审计模块是否开启审计（行为管理->行为策略->简易配置）；

2.7.3    无特征采集日志故障排查

1、故障现象

特征采集日志记录的是STA信息，认证和行为审计日志需要依赖STA信息。

2、排查步骤

1）手机连接/断开WIFI产生STA信息，查看设备是否收到STA信息

show plog config stamng ip | mac

2）如果没有收到STA信息：

n   Snmp tracp方式的排查方法：

1）查看snmp口令是否为public。 如果不是，将snmp口令改为public。

或者 eg上配置 police-log set snmp community [口令]

2）设备基本信息中的AP mac 是否配置正确。

n   Syslog方式的排查方法

如果开启认证，要在认证模块放行AP的ip或syslog服务器目的IP。

如果已放行，可按下面步骤排查，

syslog报文为 UDP 514端口，手机连接/断开WIFI产生STA信息。

       1）show ip f f | in 514，确认AP有发出SYSLOG报文（也可以抓包查看）

       2）应用识别是否识别到Syslog应用，show id p flow p s 11-20-0-0

       3）打开syslog审计调试，查看是否审计到： debug ca-syslog audit

如果没审计到，查看syslog审计功能是否开启：show content-policy

3)     查看内容审计特征库有没有含SYSLOG审计的规则。如果没有需要升级内容升级特征库。 

show srule ef-rule | in SYSLOG

2.7.4    总结关键命令