يفشل البحث في الأحداث الموحدة ل FMC مع أسماء كائنات الشبكة في FirePOWER 7.7
مسألة
عند إستخدام مركز إدارة جدار الحماية الآمن (FMC) من Cisco الإصدار 7.7.10.1، لا يمكن إستخدام كائنات الشبكة ومجموعات الكائنات كمعايير بحث في صفحة الأحداث الموحدة. عند محاولة البحث عن أحداث باستخدام أسماء كائن أو مجموعة معينة تحت عنوان IP المصدر في البحث عن حدث موحد، إما أن تقوم وحدة التحكم في إدارة اللوحة الأساسية (FMC) بإرجاع لا نتائج أو عرض رسالة خطأ:
The query contains an invalid constraint on the provided field: "Source IP" with value "${000_ALL-USER_GRP}"تكون الكائنات مرئية وقابلة للاستخدام تحت إدارة الكائن، ويعمل البحث حسب عنوان IP الخام كما هو متوقع. يؤثر هذا السلوك على كل من كائنات الشبكة الموجودة والتي تم إنشاؤها حديثا، مما يجعل من الصعب البحث عن أحداث باستخدام أسماء الكائنات أو أسماء المجموعات في واجهة الأحداث الموحدة.
البيئة
مركز إدارة جدار الحماية الآمن من Cisco ل VMware (FMCv)
إصدار البرامج: 7.7.10.1
التقنية: Cisco Secure Firewall Firepower - 7.7
التقنية الفرعية: Cisco Secure Firewall - المراقبة / التمهيد / التسجيل - 7.7
النشر: تكوين FMC المستقل
تحتوي FMC على أكثر من 1000 كائن شبكة
تتضمن البيئة محفوظات الترحيل من وحدة التحكم في إدارة اللوحة الأساسية (FMC) المحلية إلى وحدة التحكم في إدارة اللوحة الأساسية (CD)FMC ومن ثم العودة إلى الإعدادات المحلية
قرار
يحدث هذا الأمر بسبب خطأ معروف في البرنامج ولا يمكن حله بالكامل من خلال تغييرات التكوين في إصدار البرنامج الحالي. ويوصى بتنفيذ نهج القرار هذا.
حل بديل فوري
أستخدم حقول عنوان IP في عمليات البحث عن "الحدث الموحد" بدلا من أسماء الكائنات أو المجموعات كحل بديل مؤقت. عند التحقيق في الأحداث المتعلقة بالكائنات أو المجموعات المتأثرة:
انتقل إلى تحليل > أحداث موحدة.
في معايير البحث، أستخدم عناوين IP الفعلية بدلا من أسماء الكائنات.
أدخل عنوان IP المحدد أو نطاق IP في حقول IP المصدر أو الوجهة.
قم بتنفيذ البحث لاسترداد الأحداث المطلوبة.
حل طويل الأجل
يتطلب الإصلاح الدائم الترقية إلى إصدار برنامج FMC مستقبلي يتضمن حل معرف الأخطاء من Cisco CSCws52418. اتخذ الخطوات التالية:
الاشتراك في تعطيل إعلامات CSCws52418 لتلقي التنبيهات عند توفر إصدارات FMC الثابتة.
مراقبة حالة الخطأ للتحديثات على توفر الإصلاح، مجدولة مبدئيا في مايو 2026.
خطط نافذة صيانة لترقية FMC والأجهزة المدارة إلى إصدار يتضمن إصلاح CSCws52418 بمجرد نشره.
ألف - الوقاية والتوصيات
حتى اكتمال ترقية البرنامج:
أستخدم معايير البحث المستندة إلى IP في Unified Events (IP للمصدر/الوجهة) عند التحقيق في الأحداث المتعلقة بالكائنات أو المجموعات المتأثرة.
عند إنشاء عمليات سير عمل عملياتية جديدة، تجنب الاعتماد فقط على عمليات البحث عن اسم الكائن في Unified Events للعمليات التشغيلية أو عمليات التدقيق في هذا الإصدار.
توثيق أسماء الكائنات المتأثرة وعناوين IP المقابلة لها للرجوع إليها أثناء أستكشاف الأخطاء وإصلاحها.
السبب
يحدث هذا السلوك بسبب CSCws52418 لمعرف تصحيح الأخطاء من Cisco، حيث يتم تقييد المعالجة الداخلية لعمليات بحث الكائنات لبحوث الأحداث بحد داخلي يبلغ تقريبا 1000 إدخال كائن. الكائنات التي تقع خارج هذا الحد غير مفهرسة بشكل صحيح أو تم إرجاعها في عمليات البحث عن "حدث موحد" بالاسم، مما يؤدي إلى نتائج مفقودة أو أخطاء "قيد غير صالح". إعادة بناء قاعدة بيانات أحداث MoneyDB لا تحل هذا السلوك لأنه مشفر، تقييد برمجي بدلا من مشكلة فساد في قاعدة البيانات.
المحتوى ذي الصلة
- معرف تصحيح الأخطاء من Cisco CSCws52418 - بعض الكائنات غير متوفرة للتحديد في عوامل تصفية البحث عن الحدث
- معرف تصحيح الأخطاء من Cisco CSCwt05296 - يتعذر إستخدام الكائن الذي تم إنشاؤه حديثا أو المحدد بواسطة النظام IPv4-private-all-RFC1918 كعامل تصفية في الأحداث
- الدعم الفني والتنزيلات من Cisco
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
30-Mar-2026
|
الإصدار الأولي |
التعليقات