- FXOSの役割と障害管理の仕組み
- Faultメッセージの確認方法
- モデルと動作モードの場合分け
- FPR4100/9300シリーズの場合
- FPR1000/2100/3100/4200シリーズでASA/FTDを利用の場合
- FPR1000/2100/3100/4200シリーズでFTDとFMC管理を利用の場合
- よくある質問
- show faultコマンドの出力で たまに見かけるFSMとは何ですか
- フォルトメッセージの FXOS SNMP Trap通知をうけることは可能ですか
- FXOSのshow logや show event、show sel 1/1 コマンドも障害管理に利用すべきですか
- ASAやFTD側で全てハードウェアの障害管理ができるようになる計画はありますか
- 参考情報
FXOSの役割と障害管理の仕組み
FPR1000/2100/3100/4100/4200/9300シリーズでは、ASAもしくはFTDの下にFXOSソフトウェアが動作しており、FXOSがシャーシやモジュール、インターフェイス、電源やFANなどのハードウェアの管理をしています。
FXOSの障害管理は show faultコマンドで行います。当コマンドの出力は FXOSの管理GUIである Firepower Chassis Manager (FCM)の"概要"からも確認可能です。 show faultから、インターフェイスDown/Up時や、電源モジュールやファン、ディスクのハードウェア障害時、ディスクの空き容量不足時、温度異常時など、様々なハードウェア問題の検知と出力に対応します。
FXOSのフォルトメッセージについて より詳しくは、以下ドキュメントを参照できます。利用のFXOSバージョンに応じたドキュメントを参照してください。
https://www.cisco.com/c/en/us/support/security/firepower-9000-series/products-system-message-guides-list.html
例えば以下は、FXOSバージョン 2.4(1)の フォルトメッセージ 一覧となります。
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos241/faults/FXOSFaultsErrorsRef/FXOS_SEMs.html
FXOS Faultsから Fault Codeを検索することで、出力されたフォルトメッセージの意味と推奨アクションなどの各種情報を確認できます。例えば以下は、電源モジュールの片側障害時のフォルトコード「F0408」の出力例です。
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos241/faults/FXOSFaultsErrorsRef/FXOS_SEMs.html#pgfId-2111215
 |
フォルトメッセージのSNMPトラップも可能です。設定や確認方法について詳しくは以下ドキュメントを参照してください。
https://community.cisco.com/t5/-/-/ta-p/3389878
以下はフォルトメッセージの重大度の説明です。
| 重大度 (Severity) | 説明 |
|
Critical |
サービスに影響する状態であり、すぐに修正処理が必要。たとえばこの重大度は、管理対象オブジェクトがアウト オブ サービスであり、機能を回復させる必要があることを示している場合がある。 |
|
Major |
サービスに影響する状態であり、緊急の修正処理が必要。たとえばこの重大度は、管理対象オブジェクトの機能が著しく低下しており、機能を完全に回復させる必要があることを示している場合がある。 |
| Warning | 潜在的に(あるいは近い将来に発生する可能性のある)サービスに影響する障害であり、現在はシステムに大きな影響を与えていない。必要に応じて、さらに詳しく診断して問題を修正し、サービスに影響を与えるより深刻な障害が発生するのを防ぐ必要がある。 |
| Minor | サービスには影響しない障害の状態であり、より深刻な障害が発生するのを防ぐために修正処理が必要。たとえばこの重大度は、検出されたアラーム条件が、現在管理対象オブジェクトの能力を低下させていないことを示している場合があります。 |
| Info | 他と関係しない、重要性の低い基本的な通知または情報メッセージ。 |
| Cleared | 障害の原因となった状態が解決され、障害がクリアされたことを知らせる通知 |
Faultメッセージの確認方法
シリーズと動作モード毎に確認方法が異なります。各シリーズの細かな違いについては、以下ドキュメントを参照してください。
Firepower 2100/4100 の ASA/FTD 利用時の比較と保守方法 ※閲覧には有効な保守契約が必要
https://community.cisco.com/t5/-/-/ba-p/3321473
モデルと動作モードの場合分け
| モデル | 動作モード | 特徴 |
|
FPR2100-ASA *ASA9.12以前 |
プラットフォームモード | FXOSと ASA/FTDが分離されており、 ハードウェア障害管理は FXOSの確認・監視が必要 |
| FPR1000 FPR2100 FPR3100 FPR4200 |
アプライアンスモード | FXOSとASA/FTDが統合されており、 ハードウェア障害管理は ASA/FTD側で確認・監視が可能 |
FPR4100/9300シリーズの場合
FXOSと ASA/FTDはソフトウェア/ハードウェア的に分離されているため、ハードウェアの障害確認には、個別にFXOSにCLIアクセスしての show faultコマンドでの確認、もしくは FCMのGUIからの確認が必要です。
[FPR4100シリーズ CLI確認例]
FPR4100-FXOS# show fault
Severity Code Last Transition Time ID Description
--------- -------- ------------------------ -------- -----------
Info F16576 2019-10-02T11:47:24.064 194961 [FSM:STAGE:RETRY:]: communication service configuration to primary(FSM-STAGE:sam:dme:CommSvcEpUpdateSvcEp:SetEpLocal)
Info F78016 2019-10-02T11:47:24.064 194925 [FSM:STAGE:REMOTE-ERROR]: Result: end-point-unavailable Code: ERR-NTP-get-error Message: Device Name:[0x3FF] Instance:[63] Error Type:[(null)] code:[255](sam:dme:CommSvcEpUpdateSvcEp:SetEpLocal)
Major F0276 2019-09-20T10:42:01.528 261585 ether port 1/3 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
Info F999616 2019-08-29T02:01:44.460 195530 [FSM:FAILED]: communication service configuration(FSM:sam:dme:CommSvcEpUpdateSvcEp)
Major F1661 2019-08-29T02:00:29.458 195474 Ntp Configuration failed, please check the error message in Ntp host
Info F0279 2019-08-29T01:38:44.722 194615 ether port 1/5 on fabric interconnect A oper state: sfp-not-present
Info F0279 2019-08-29T01:38:44.722 194614 ether port 1/6 on fabric interconnect A oper state: sfp-not-present
Info F0279 2019-08-29T01:38:44.721 194613 ether port 1/7 on fabric interconnect A oper state: sfp-not-present
Info F0279 2019-08-29T01:38:44.721 194612 ether port 1/8 on fabric interconnect A oper state: sfp-not-present
Info F0279 2019-07-11T04:38:08.319 175503 ether port 1/4 on fabric interconnect A oper state: sfp-not-present
Major F0276 2019-06-01T00:04:08.473 142373 ether port 1/2 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
Warning F0528 2018-02-23T07:27:36.063 35874 Power supply 2 in chassis 1 power: off
Major F0408 2018-02-23T07:27:36.062 35873 Power state on chassis 1 is redundancy-failed
※show fault detailコマンドで 各フォルトIDのより細かい情報を確認可能
[FPR4100シリーズ GUI出力例]
 |
※フォルトメッセージをクリックすることで フォルトIDや詳細を確認可能
FPR1000/2100/3100/4200シリーズでASA/FTDを利用の場合
FPR4100/9300シリーズと同様に FXOSのCLIやGUIからの確認が可能です。
また、FPR1000/2100(*)/3100/4200はASA/FTDとFXOSが統合されており、show faultで出力されるフォルトメッセージは ASA(LINA)側 Syslogで確認することが可能です。 (*FPR2100でASA利用時は ASA ver 9.13 以降)
ASA利用時は、ASA-1-199013(Alert syslog)~ASA-7-199019(Debug syslog) の範囲で出力されます。つまり、FXOSにアクセスしなくても、ASA(LINA)のシスログからハードウェアの状態確認が可能です。特に Alert ~ Warning レベルのSyslogは、FXOSやハードウェアのトラブル関連のログの可能性が高いため、シスログID 199013~199016 は定期監視をお勧めします。
[FXOS側 出力例 - Port 1/1 と チャネルダウン時]
firepower# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F1043 2019-10-02T12:58:46.500 41291 lan Member 1/1 of Port-Channel 20 on fabric interconnect A is down, membership: down Minor F1150 2019-10-02T12:58:44.454 41287 ether port 1/1 on fabric interconnect A oper state: link-down, reason: Down
[ASA(LINA)側 出力例 - Port 1/1 と チャネルダウン時]
firepower# show log --- 略 --- %ASA-4-199016: Oct 2 12:58:44 firepower FPRM: <<%%FPRM-4-LINK_DOWN>> [F1150][minor][link-down][sys/switch-A/slot-1/switch-ether/port-1] ether port 1/1 on fabric interconnect A oper state: link-down, reason: Down %ASA-3-199015: Oct 2 12:58:46 firepower FPRM: <<%%FPRM-3-MEMBERSHIP_DOWN>> [F1043][major][membership-down][fabric/lan/A/pc-20/ep-slot-1-port-1] lan Member 1/1 of Port-Channel 20 on fabric interconnect A is down, membership: down
FTD利用時で ASA(Lina)シスログ出力させたい場合は、Devices > Platform Settings > Syslog から、「Logging Destinations」で internal buffer や 任意Syslogサーバーにシスログ出力設定が可能です。内部のL2-L4処理エンジンである ASA(LINA)に system support diagコマンドでアクセスし、「show log」コマンドを実行することで「internal buffer」は確認可能です。なお、FTD利用時は下記の「Health Monitor」機能を活用した統合監視を利用いただいたほうが便利です。
FPR1000/2100/3100/4200シリーズでFTDとFMC管理を利用の場合
上記確認方法に加え、FMCでFPR2100-FTDを管理時は、Health Monitor機能のPlatform Faultsで Faultsメッセージの確認や、SyslogやSNMPトラップ出力が可能です。Health Monitor機能の設定例は Firepower System: Health Monitor: CPUやメモリの 定常監視方法 などを参照してください。
[FMC Health 出力例 - Port 1/1 と チャネルダウン時]
[FMC Health Monitor 出力例 - Port 1/1 と チャネルダウン時]
よくある質問
show faultコマンドの出力で たまに見かけるFSMとは何ですか
FPR2100/4100/9300シリーズのシャーシやモジュール、マザーボードなど管理のために、様々なコンポーネントが内部で連携し動作しており、これらを統合的に設定や管理、ステート更新、エラー処理、フォルト判断などするためのコアフレームです。 FSMが異常を検知した場合に、フォルトメッセージが出力されます。
フォルトメッセージの FXOS SNMP Trap通知をうけることは可能ですか
はい、可能です。出力例や SNMP OID、MIBなどの情報は以下ドキュメントを参照してください。
https://community.cisco.com/t5/-/-/ta-p/3389878
FXOSのshow logや show event、show sel 1/1 コマンドも障害管理に利用すべきですか
いいえ、これらコマンドは TACの詳細解析で利用するコマンドとなり、特に取得指示がない場合の取得や利用は不要です。細かな情報の公開もしてません。これらコマンドは、FXOS内部のより深い部分で動作するコンポーネントのログのため、動作上問題のない雑多かつ未加工な出力を多数含みます。何らかの確認やアクションが必要となる障害は、show faultで確認できるよう最適化されているため、運用ではshow faultを用いて障害管理を行ってください。
ASAやFTD側で全てハードウェアの障害管理ができるようになる計画はありますか
はい、運用で必要な情報はASAやFTDアプリケーション側で管理可能になるよう、FXOSは 更にASAやFTDに統合されていく予定です。なお、FXOSと ASA/FTDの統合は まずはFPR1000やFPR2100シリーズで進む予定です。例えば、2019年秋リリースのASA 9.13以降をFPR1000/2100で利用時は、ASAとFXOSの統合がさらに進み(=アプライアンスモード)、FXOSの管理は殆ど不要となりました。
2023年現在、FPR1000/2100/3100/4200で、ASA バージョン 9.13以降、もしくは FTDを利用時は、デフォルトでアプライアンスモード(ASA/FTDとFXOSが統合されたモード)となり、ASA/FTD側からハードウェアの管理や確認が可能に変わっております。
参考情報
Cisco Firepower 2100 の障害の概要
https://www.cisco.com/c/ja_jp/td/docs/security/firepower/2100/faults/asa_982/FirepowerFaultsErrors_2100_ASA_982/FaultsIntroduction.pdf
ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
Cisco Secure Firewall (FTD) - how to ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
