只有dc_log日志，没有user_activity日志，WatchAD无告警

[Dx0123]

之前ES数据满了，清理后发现ES索引里只有dc_log，没有user_activity日志了，已尝试重启检测引擎、ES、logstash服务均没用，对应也有好几天没有任何告警生成了。

大佬能提供些解决思路吗？

[Qianlitp]

你看下分析用户活动的代码，要么对应的事件日志没有开启产生，要么分析过程报错了，原因多半是域控系统版本过高导致的字段不兼容，改下就好了。

[Dx0123]

感谢大佬回复，应该不是字段解析的问题，因为才搭好是有user_activity日志的。直到后面清理了下ES数据，删除重启docker后，就发现只有dc_log了。

方便详细说说如何排查用户活动代码和事件日志开启产生吗？感谢感谢，新年快乐~

[Qianlitp]

首先排查WatchAD的错误日志，这种情况应该会有报错的，还有你是不是把索引模板删除了？

[Dx0123]

有可能删除了索引模板，但是我重新执行WatchAD.py的时候，好像有创建索引的操作吧？另外目前重启引擎、页面查询都没报错，就很难...

[Qianlitp]

页面查询肯定不报错，但分析引擎的日志看了吗，记录活动的文件主要看这个 WatchAD/modules/record_handle/AccountActivity.py ，建议手动debug看下问题，增加日志打印

[Dx0123]

好的，谢谢大佬