はじめに
本ドキュメントでは、FTD Upgradeにおいて、CLIによりReadiness Checkを行う際に、その結果の確認方法を紹介します。
本ドキュメントで、FTDv(バージョン6.6)およびFirepower2130(バージョン6.6)を用いて確認、作成しております。
FTD HA構成でFMC GUIからReadiness Checkができない
バージョン6.7までのFTD HA構成はFMC GUI から Readiness Check が実行できないのは実装上期待された動作となります。
(FTD 7.0以降では、FTD HAの GUIからの Readiness Checkが可能です。)
そのため、FTD HAにおいて、Readiness CheckはCLIより実行する必要があります。以下の資料をご確認ください。
事象: FTD HA 構成で FMC GUI から Readiness Check ができない
CLIでReadiness Checkの実行
下記の資料に基づいて、CLIでReadiness Checkの実行が可能です。
Run the Readiness Check from the Shell
実行例:
firepower:~# install_update.pl --detach --readiness-check /var/sf/updates/Cisco_FTD_Upgrade-6.6.0-90.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = --readiness-check
ARGV[2] = /var/sf/updates/Cisco_FTD_Upgrade-6.6.0-90.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_FTD_Upgrade-6.6.0-90.sh.REL.tar
Skipping File System Integrity Check
main_upgrade_script.logとその格納場所
CLIよりReadiness Checkを行う場合、基本的に特にエラーが出力されなかったら、 Readiness_check が問題なく実行完了との認識です。Readiness Checkの実行結果など詳しいログはmain_upgrade_script.logにて確認可能です。
main_upgrade_script.logの出力例:
root@firepower:upgrade_readiness# cat main_upgrade_script.log
[221201 06:12:42:426] MAIN_UPGRADE_SCRIPT_START
[221201 06:12:42:459] Readiness check for :Cisco_FTD_Upgrade-6.6.0-90.sh.REL.tar
[221201 06:12:42:459] #####################################
…抜粋
[221201 06:13:04:059] Success, removed upgrade lock
[221201 06:13:04:060]
[221201 06:13:04:061] #######################################################
[221201 06:13:04:062] # UPGRADE READINESS CHECK COMPLETE status : PASS #
[221201 06:13:04:062] #######################################################
main_upgrade_script.logは、基本的に、下記の場所に格納されているため、ご確認いただければ幸いです。
ngfw/var/log/sf/ [Upgradeファイルのフォルダー]/ upgrade_readiness/main_upgrade_script.log
参考情報
事象: FTD HA 構成で FMC GUI から Readiness Check ができない
https://community.cisco.com/t5/-/-/ta-p/3713198
Firepower Software Readiness Checks
https://www.cisco.com/c/en/us/td/docs/security/firepower/upgrade/fpmc-upgrade-guide/planning.html#id_59541