أستكشاف أخطاء جدار الحماية وإصلاحها عند إرسال السجلات إلى خادم syslog الذي تم تكوينه مسبقا (القديم)

مسألة

يرسل جدار الحماية رسائل syslog إلى خادم syslog (قديم) تم تكوينه مسبقا على عنوان IP 198.51.100.100. لا يوجد عنوان IP هذا في تكوين جدار الحماية.

البيئة

الأنظمة الأساسية المتأثرة هي FirePOWER 2100 التي تشغل ASA في وضع النظام الأساسي.

قرار

الخطوة 1. العثور على عنوان IP المصدر لرسائل syslog:

استنادا إلى تحليل الرسائل التي يتم استقبالها بواسطة خادم syslog القديم، يكون عنوان IP للمنشئ هو عنوان IP الخاص بإدارة هيكل Firepower.

عنوان IP الذي تم تكوينه في نظام التشغيل Firepower Xsible (FXOS) هو 192.0.2.100:

2026-04-27 15:22:49    User.Error    192.0.2.100    Apr 27 09:22:49 firepower FPRM: <<%FPRM-3-NTP_CONFIG_FAILED>> [F1329][major][ntp-config-failed][sys/svc-ext/datetime-svc] Ntp Configuration failed, please check the error message in Ntp host
2026-04-27 15:22:54   User.Error     192.0.2.100    Apr 27 09:22:54 firepower FPRM: <<%FPRM-3-NTP_CONFIG_FAILED>> [F1329][cleared][ntp-config-failed][sys/svc-ext/datetime-svc] Ntp Configuration failed, please check the error message in Ntp host

الخطوة 2. التحقق من تكوين syslog ل FXOS والتحقق منه:

• لا يحتوي تكوين واجهة سطر الأوامر (CLI) ل FXOS على عنوان خادم syslog القديم: 

device # scope monitoring
device /monitoring # show configuration | i 198.51.100.100
device /monitoring # show configuration all | i 198.51.100.100

• في الوقت نفسه، يعرض إخراج الأمر show syslog في نطاق المراقبة عنوان IP الخاص بالخادم:

device # scope monitoring
device /monitoring # show syslog

console
    state: Disabled
    level: Critical

platform
    state: Enabled
    level: Information
    Name     Hostname             State    Level         Facility
    -------- -------------------- -------- ------------- --------
    Server 1 198.51.100.10        Enabled  Warnings      Local7
    Server 2 198.51.100.100       Enabled  Warnings      Local7 <---- legacy server
    Server 3 none                 Disabled Critical      Local7

sources
    faults: Enabled
    audits: Enabled
    events: Disabled

• لا تشير واجهة مستخدم Firepower Chassis Manager (FCM) > إعدادات النظام الأساسي > Syslog إلى تكوين خادم syslog.

fcm_syslogs_configuration.png

الخطوة 3. حاول تعديل خادم syslog أو حذفه:

device# scope monitoring

device /monitoring # delete  <---
  snmp-trap  SNMP trap hostname or IP address
  snmp-user  SNMPv3 User

device /monitoring # set syslog  <---
  console   Console
  file      File
  platform  Platform

device /monitoring # set syslog platform <---
  level  Level

الخلاصة هي أنه لا FXOS CLI ولا واجهة مستخدم FCM توفران طريقة لإنشاء أي خادم syslog أو تعديله أو حذفه، بما في ذلك 198.51.100.100.

السبب

ولنتأمل ثلاثة عيوب برمجية:

معرف تصحيح الأخطاء من Cisco CSCvn19025

لا تسمح إصدارات البرامج التي تحتوي على إصلاح هذا الخلل بتكوين FXOS البعيد syslog في واجهة سطر الأوامر (CLI) أو واجهة مستخدم FCM.

Cisco Bug ID CSCvt85766

يزيل إصلاح هذا الخلل قسم "الوجهات البعيدة" من إخراج الأمر fxos show syslog.

الإصدارات بدون الإصلاح:

device# scope monitoring
device /monitoring # show syslog

console
    state: Enabled
    level: Critical

platform
    state: Enabled
    level: Information

file
    state: Enabled
    level: Critical
    name:  messages
    size:  4194304

remote destinations <----------------
    Name     Hostname             State    Level         Facility
    -------- -------------------- -------- ------------- --------
    Server 1 192.0.2.1            Enabled  Information   Local7
    Server 2 192.0.2.2            Enabled  Information   Local7
    Server 3 none                 Disabled Critical      Local7

sources
    faults: Enabled
    audits: Enabled
    events: Disabled

تفتقر الإصدارات ذات الإصلاح إلى قسم "الوجهات البعيدة":

device # scope monitoring
device /monitoring # show syslog

console
    state: Enabled
    level: Critical

platform
    state: Enabled
    level: Information
    Name     Hostname             State    Level         Facility
    -------- -------------------- -------- ------------- --------
    Server 1 192.0.2.1            Enabled  Information   Local7
    Server 2 192.0.2.2            Enabled  Information   Local7
    Server 3 none                 Disabled Critical      Local7

sources
    faults: Enabled
    audits: Enabled
    events: Disabled

على الرغم من عدم وجود قسم "الوجهات البعيدة"، إلا أن خوادم syslog مرئية في قسم "النظام الأساسي".

معرف تصحيح الأخطاء من Cisco CSCwu12470

بعد ترقية البرنامج إلى الإصدار باستخدام إصلاح معرف تصحيح الأخطاء من Cisco CSCvn19025، لا يسمح بإدارة خوادم syslog البعيدة، أي الإنشاء أو التعديل أو الحذف، في واجهة سطر الأوامر (CLI) أو واجهة مستخدم FCM. وينطبق هذا القيد أيضا على الخوادم التي تم تكوينها قبل الترقية. وعلى الرغم من ذلك، بعد ترقية البرنامج، يعرض برنامج FXOS خوادم syslog في قسم "النظام الأساسي" من إخراج الأمر show syslog ويرسل رسائل syslog إلى هذه الخوادم. يتعذر على المستخدمين إدارة تكوين syslog البعيد الموجود ل FXOS، والذي يتم تتبعه في معرف تصحيح الأخطاء من Cisco CSCwu12470.

المحتوى ذي الصلة

• معرف تصحيح الأخطاء من Cisco CSCvn19025

• معرف تصحيح الأخطاء من Cisco CSCvt85766

• معرف تصحيح الأخطاء من Cisco CSCwu12470

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	29-Apr-2026	الإصدار الأولي