• はじめに
• pigtail で取得できるログ
• FTD から取得する場合
• FMC から取得する場合
• all 以外のオプションについて
• 参考情報

はじめに

FMC(Firewall Management Center) や FTD(Firewall Threat Defense) のトラブルシューティングにおいて、調査に必要な種々のログを 1つのファイルに統合してくれる pigtail というツールがございます。pigtail は設定のデプロイや FMC の Web アクセスが失敗する等のトラブルシューティングに非常に有効なツールとなります。本 topic ではこの pigtail の利用方法についてご案内させて頂きます。

Note: 本 topic はバージョン 7.2.5 で動作確認を行っております。

pigtail で取得できるログ

pigtail では取得できるログに対しキーワードが割り当てており、以下のキーワード毎に以下のログが取得可能です。

FTD から取得する場合

1. CLISH から pigtail all を実行すれば基本的には大丈夫です。all を選択すると全てのキーワードが有効になります。all 以外の利用法については後述します。以下が実行例で、全てのオプションが有効になり、各ログ出力の先頭にキーワードが確認できます。

> pigtail all 

************************************************************************************************************************
Negative repeat count does nothing at /ngfw/usr/local/sf/bin/pigtail line 3086.
** Displaying logs: DMSG AUTD NGFW TAPP TCAT USMS CPAC ACTQ SYDB TCLG DEPL MOJO SERR DCSM SOUT MSGS CPER HMS PROM VMSS HEALTHPERL VMSB NGUI HTTP SSEC CPLG TLGF
************************************************************************************************************************

DEPL: 12-26 18:52:18 pid=3793 < main::__ANON__ end - Memory Check - executeTask (97.00M, 0.031(sec))
DEPL: 12-26 20:53:09 pid=3793 > main::__ANON__ start - Memory Check - executeTask (97.02M)
DEPL: 12-26 20:53:09 pid=3793 < main::__ANON__ end - Memory Check - executeTask (97.02M, 0.097(sec))
DEPL: 12-26 22:53:07 pid=3793 > main::__ANON__ start - Memory Check - executeTask (97.04M)
DEPL: 12-26 22:53:07 pid=3793 < main::__ANON__ end - Memory Check - executeTask (97.04M, 0.035(sec))
MSGS: 12-27 00:01:09 toishika-ftd sudo: admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/ngfw/usr/local/sf/bin/pigtail -timeout 3600 all
MSGS: 12-27 00:01:27 toishika-ftd sudo: admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/ngfw/usr/local/sf/bin/pigtail -h
MSGS: 12-27 00:02:07 toishika-ftd SF-IMS[3357]: [3357] pm:control [INFO] ControlHandler auditing message: ProcessHealthPurge, socket 32, user '', cmd '/usr/bin/perl /ngfw/usr/local/sf/bin/run_hm.pl --persistent', pid 3377 (uid 0, gid 0)
MSGS: 12-27 00:03:02 toishika-ftd SF-IMS[3797]: [4855] SFDataCorrelator:FileExtractCloud [ERROR] failed to register with sandbox cloud with error = 28
MSGS: 12-27 00:05:28 toishika-ftd sudo: admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/ngfw/usr/local/sf/bin/pigtail -timeout 3600 all
SERR: 12-27 00:02:08 toishika-ftd run_hm[3377]: Looking for events newer than 23:57:07 on Dec 26, 2023 (last 5 minutes).
SERR: 12-27 00:02:58 toishika-ftd SFDataCorrelator[3797]: * Trying 63.97.201.67...
SERR: 12-27 00:02:58 toishika-ftd SFDataCorrelator[3797]: * TCP_NODELAY set
SERR: 12-27 00:03:03 toishika-ftd SFDataCorrelator[3797]: * Connection timed out after 10000 milliseconds
SERR: 12-27 00:03:03 toishika-ftd SFDataCorrelator[3797]: * Closing connection 0
NGFW: 12-26 23:58:25 ccm[5342] CCM-192.168.45.1-Th-1: INFO com.cisco.sftunnel.TunnelClient- Remaining bytes to be transferred : 0
NGFW: 12-26 23:58:25 ccm[5342] CCM-192.168.45.1-Th-1: DEBUG com.cisco.sftunnel.TunnelClient- [peer b8395f7c-b7a0-11ec-90da-af8829f705b0] [svc 9009] [session 1626910808] waiting for response...
NGFW: 12-26 23:58:25 ccm[5342] TunnelReaderTh: DEBUG com.cisco.sftunnel.TunnelClient- [peer b8395f7c-b7a0-11ec-90da-af8829f705b0] [svc 9009] [session 1626910808] read: [header service=9009 length=8][inner header 00 01 60 F8 B0 58 07 D2] (session 1626910808 type ACK) [data 0 bytes] sent at 0
NGFW: 12-26 23:58:25 ccm[5342] CCM-192.168.45.1-Th-1: DEBUG com.cisco.sftunnel.TunnelClient- [peer b8395f7c-b7a0-11ec-90da-af8829f705b0] [svc 9009] [session 1626910808] ACK received
NGFW: 12-26 23:58:25 ccm[5342] CCM-192.168.45.1-Th-1: INFO com.cisco.ccm.ConfigCommunicationManager- message 2002 sent to manager b8395f7c-b7a0-11ec-90da-af8829f705b0

2. 終了する場合は、Ctrl + C を実行します。以下のようにログの生成が完了したメッセージが表示されます。

Collated log written to pigtail-all-1703635528.log 

3. 生成されたログは expert mode 上の /home/admin 配下に保存されます。

> expert
admin@toishika-ftd:~$ pwd
/home/admin
admin@toishika-ftd:~$ ls -l | grep pigtail-all-1703635528.log
-rw-r--r-- 1 root root 6033 Dec 27 00:05 pigtail-all-1703635528.log 

4. 外部に転送したい場合は scp で転送させます。

admin@toishika-ftd:~$ scp pigtail-all-1703635528.log toishika@192.168.1.1:
toishika@192.168.1.1's password:
pigtail-all-1703635528.log                                                                 100% 6033 110.9KB/s 00:00

もしくは FMC の File Download 機能でダウンロードさせることも可能です。詳細は FMC: File Download の機能について を確認してください。

FMC から取得する場合

1. expert mode 上で sudo pigtail all を実行します。

> expert
admin@toishika-fmc:~$ sudo pigtail all

2. 終了する場合は、Ctrl + C を実行します。以下のようにログの生成が完了したメッセージが表示されます。

Collated log written to pigtail-all-1483795888.log 

3. 生成されたログは /Volume/home/admin 配下に保存されます。

admin@toishika-fmc:~$ pwd 
/Volume/home/admin 
admin@toishika-fmc:~$ ls -l | grep pigtail-all-1703636272.log
-rw-r--r-- 1 root root 13203 Dec 27 00:17 pigtail-all-1703636272.log

4. 外部に転送したい場合は scp で転送させます。

admin@toishika-fmc:~$ scp pigtail-all-1703636272.log toishika@1.150.0.30:
toishika@1.150.0.30's password: 
pigtail-all-1703636272.log                                                                 100% 13KB 252.1KB/s 00:00

もしくは FMC の File Download 機能でダウンロードさせることも可能です。詳細は FMC: File Download の機能について を確認してください。

all 以外のオプションについて

all 以外にもトラブル毎に用途を絞ったオプションも用意されています。all だとログ出力が多すぎる場合にご活用ください。

これら以外にも様々なオプションが用意されています。詳細は expert mode 上で sudo pigtail -h を実行することで確認可能なのでこちらも合わせてご利用ください。

参考情報

• FMC: File Download の機能について 
• Firepower System and FTDトラブルシューティング 
• ファイアウォール トラブルシューティング