購入する または契約更新する
購入する または契約更新する
Cisco Umbrella および Secure Access のリリースノートとアナウンスが利用可能になりました!詳細はこちら
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
303
閲覧回数
3
いいね!
0
コメント

FMC/FTD: Syslog messages の確認方法 [中上級者向け]

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2024-07-11 01:30 PM

 

はじめに

当ドキュメントはFMC/FTDのトラブルシューティングを深く行いたい方向け、つまり、中~上級者の方向けの内容となります。

当ドキュメントでは、Secure Firewall Management Center (FMC) 及び、Secure Firewall Threat Defense (FTD) の内部シスログ(messages)の確認方法を紹介します。messages を確認することでシステムやプロセスのエラー有無を確認できます。

なお、通常の運用では、ヘルスモニターや、アップグレード時のReadiness Check で主要なトラブル因子は確認が可能です。追加で当 Syslog messages を確認することで、そのトラブルの予兆や詳細原因を確認することができます。なお、messages内の出力はUTC表記となるため、日本と9時間の時差があります。

CRITICAL は機器の正常動作に影響を与える可能性が高く、ERROR も注意深く確認が必要です。

messages内の出力の詳細は非公開となりますが、検索エンジンで問題ログを検索することで対処方法やそのヒントを確認できるケースが多いです。確認できない場合は、TSファイルを取得のうえ、サポートに連絡をご検討ください。

TSファイルの取得方法やトラブルシューティング全般情報は、Cisco FTD How To の「保守・トラブルシューティング項」を参照ください。

 

 

FMCの Syslog messages の確認方法 (GUI)

System アイコン > Syslog から確認可能です。検索ボックスで「ERROR」や「CRITICAL」と検索し、特に注意すべきログを確認できます。

TaisukeNakamura_1-1720672152960.png

  

FMCの Syslog messages の確認方法 (CLI)

FMCにSSHなどでアクセスし、"expert"から"tail -n <number> /var/log/messages" コマンド実行で確認可能です。例えば以下は、直近1000行の messages 出力例です。

Cisco Firepower Extensible Operating System (FX-OS) v2.14.1 (build 131)
Cisco Secure Firewall Management Center for VMware v7.4.1 (build 172)

> expert
admin@FMC:~$ tail -n 1000 /var/log/messages
Jul 11 02:50:50 FMC vmsvc[2413]: [ warning] [guestinfo] RecordRoutingInfo: Unable to collect IPv4 routing table.
Jul 11 02:50:50 FMC vmsvc[2413]: [ warning] [guestinfo] RecordRoutingInfo: Unable to collect IPv6 routing table.
Jul 11 02:50:50 FMC vmsvc[2413]: [ warning] [guestinfo] Failed to get nic info.
Jul 11 02:51:20 FMC vmsvc[2413]: [ warning] [guestinfo] RecordRoutingInfo: Unable to collect IPv4 routing table.
Jul 11 02:51:20 FMC vmsvc[2413]: [ warning] [guestinfo] RecordRoutingInfo: Unable to collect IPv6 routing table.
Jul 11 02:51:20 FMC vmsvc[2413]: [ warning] [guestinfo] Failed to get nic info.
Jul 11 02:51:29 FMC syslog-ng[1103]: Log statistics; dropped='global(internal_source)=0', queued='global(internal_source)=0', processed='global(msg_clones)=0', processed='global(sdata_updates)=0', processed='source(msgs)=8920479', processed='destination(messages_destination)=2724930', queued='global(scratch_buffers_count)=1', processed='global(payload_reallocs)=6983079', connections='src.unix-stream(msgs,afsocket_sd.(stream,AF_UNIX(/dev/log)))=24', processed='center(queued)=8765505', processed='destination(d_process_stderr)=1806178', processed='destination(d_process_stdout)=4162376', processed='src.internal(msgs#2)=21123', stamp='src.internal(msgs#2)=1720665689', processed='center(received)=8920479', processed='destination(cron_destination)=72021', processed='global(internal_queue_length)=0', queued='global(scratch_buffers_bytes)=256'
Jul 11 02:51:50 FMC vmsvc[2413]: [ warning] [guestinfo] RecordRoutingInfo: Unable to collect IPv4 routing table.
Jul 11 02:51:50 FMC vmsvc[2413]: [ warning] [guestinfo] RecordRoutingInfo: Unable to collect IPv6 routing table.
Jul 11 02:51:50 FMC vmsvc[2413]: [ warning] [guestinfo] Failed to get nic info.
Jul 11 02:52:15 FMC SF-IMS[8143]: [8143] CloudAgent:CloudAgent [INFO] IPRep, time to check for updates
Jul 11 02:52:15 FMC SF-IMS[8143]: [8404] CloudAgent:IPReputation [INFO] The curl option for ip verify_peer=1 verifyhost=0
Jul 11 02:52:15 FMC SF-IMS[8143]: [8404] CloudAgent:IPReputation [INFO] The curl option for dns verifypeer=1 verifyhost=0
Jul 11 02:52:15 FMC SF-IMS[8143]: [8404] CloudAgent:IPReputation [INFO] The curl option for url verify_peer=1 verify_host=0

  


FTDの Syslog messages の確認方法 (CLI)

FTDにSSHなどでアクセスし、"expert"から"sudo su -", "tail -n <number> /ngfw/var/log/messages" コマンド実行で確認可能です。例えば以下は、直近1000行の messages 出力例です。

Cisco Firepower Extensible Operating System (FX-OS) v2.14.1 (build 131)
Cisco Firepower 1010 Threat Defense v7.4.1 (build 172)

> expert
admin@firepower:~$ sudo su -

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Password:
root@firepower:~# tail -n 1000 /ngfw/var/log/messages
Jul 11 02:17:42 firepower SF-IMS[16891]: [16891] sftunneld:stream_file [INFO] timeout=600
Jul 11 02:17:42 firepower SF-IMS[16891]: [16891] sftunneld:stream_file [INFO] uuid_src=7a61c1ee-625f-11ec-bcb9-01bcb6ddf757
Jul 11 02:17:42 firepower SF-IMS[16891]: [16891] sftunneld:stream_file [INFO] uuid_dest=fc84f44c-5630-11ec-80ae-e18c312eea15
Jul 11 02:17:42 firepower SF-IMS[16891]: [16891] sftunneld:stream_file [INFO] stream_src=/var/sf/sidns_download/484b170a-6264-11ec-a349-a3cfb6ddf757
Jul 11 02:17:42 firepower SF-IMS[16891]: [16891] sftunneld:stream_file [INFO] stream_dest=/var/tmp/DSClient_2cL_/484b170a-6264-11ec-a349-a3cfb6ddf757.lf
Jul 11 02:17:42 firepower SF-IMS[16891]: [16891] sftunneld:stream_file [INFO] Initiated fstream task pulling /var/sf/sidns_download/484b170a-6264-11ec-a349-a3cfb6ddf757 from 7a61c1ee-625f-11ec-bcb9-01bcb6ddf757, task_id 69516

  

 
TSファイルからの確認方法

FMC/FTDともに、TSファイルを解凍すると、dir-achives の var-log フォルダ内に「messages」ファイルを確認できます。

TaisukeNakamura_0-1720672092421.png

 

 
messages の ERROR ログ例


1. FMCとFTD間でコネクションを結べない#1

firepower SF-IMS[16504]: [16516] sftunneld:sf_ssl [WARN] VerifyConnect:Failed to authenticate or to be authenticated by peer '10.0.0.4'
firepower SF-IMS[16504]: [18032] sftunneld:sf_ssl [ERROR] Peer 10.0.0.4 send bad sting.
firepower SF-IMS[16504]: [18032] sftunneld:sf_ssl [INFO] Peer 10.0.0.4 supports
firepower SF-IMS[16504]: [18032] sftunneld:sf_ssl [INFO] Peer 10.0.0.4 supports connection
firepower SF-IMS[16504]: [18032] sftunneld:sf_ssl [INFO] Peer 10.0.0.4 complete remotely
firepower SF-IMS[16504]: [18032] sftunneld:sf_ssl [WARN] Accept: Failed to authenticate peer '10.0.0.4'

分析と対処例:認証に失敗しており、証明書破損が疑われる。FTDの再登録などで復旧可能

 
2. FMCとFTD間でコネクションを結べない#2

SF-IMS[9077]: [2089] sftunneld:sf_ssl [INFO] Wait to connect to 8305 (IPv6): 10.0.0.1
SF-IMS[9077]: [2089] sftunneld:sf_ssl [INFO] Connected to 10.0.0.1:8305 (IPv4)
SF-IMS[9077]: [2089] sftunneld:sf_ssl [ERROR] SSL_renegotiate error: 1: error:00000001:lib(0):func(0):reason(1)
SF-IMS[9077]: [2089] sftunneld:sf_ssl [ERROR] Connect:SSL handshake failed

分析と対処例: 証明書問題でコネクション不可。FTDの再登録などで復旧可能

 

3. FMCとFTD間でコネクションが不安定

SF-IMS[12113]: [16516] sftunneld:sf_ch_util [WARN] STALE CONNECTION for connection check reply on channel EVENT from 10.0.0.4 for 92 seconds.
SF-IMS[12113]: [18032] sftunneld:sf_ssl [ERROR] Unable to connect to port 8305 (IPv4): Operation now in progress

分析と対処例:FMCとFTD間の通信が何等か理由で不安定の疑い。通信環境の確認のうえ、再実施を

 

4. メモリ枯渇でデータベース異常終了

kernel: [13813023.492559] mariadbd invoked oom-killer: gfp_mask=0x6200ca(GFP_HIGHUSER_MOVABLE), nodemask=(null), order=0, oom_score_adj=-800
kernel: [13813023.527581] Memory cgroup out of memory: Kill process 2602 (mariadbd) score 194 or sacrifice child
-- 略 --
SF-IMS[3024]: [16268] SFDataCorrelator:PutIntoTable [WARN] Trying to reconnect to database server after error 2013: Lost connection to MySQL server during query
SF-IMS[4807]: [4807] pm:process [WARN] Process mysqld (2602) exited unexpectedly: 9 (0x00000009)
-- 略 --
SF-IMS[3024]: [23800] SFDataCorrelator:MySQLEvent [ERROR] - Can't connect to local MySQL server through socket '/var/run/SERT ...

分析と対処例: メモリ枯渇によるプロセス異常終了(oom-killer)によるMySQLサーバーの接続不可。自然復旧するか、もしくは、対象機器の再起動でメモリ解放とプロセス起動が可能。通常は不具合のため、バージョンアップで恒久対応が可能

 

参考情報

Cisco Secure Firewall (FTD) How To
https://community.cisco.com/t5/-/-/ta-p/5024782

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents