问题：sophos的防火墙设备已经配置了日志转发，ELA的日志收集器显示已经收到了日志，但是报表和搜索中都无法搜到对应的日志。

解决方案：经过排查，是ELA的服务器开启了防火墙，关闭防火墙后日志可以正常显示。如需要继续开启防火墙，可以打开对应的端口：UDP 513, 514或者TCP 514，这个端口是基于Sophos中配置的端口的，然后对应开启ELA服务器的入站UDP513或514或TCP 514即可。