Risoluzione dei problemi relativi all'invio dei log del firewall al server syslog configurato in precedenza (legacy)

Opzioni per il download

PDF (275.0 KB)
Visualizza con Adobe Reader su diversi dispositivi

Aggiornato:29 aprile 2026

ID documento:225827

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Problema

Il firewall invia messaggi syslog a un server syslog (legacy) configurato in precedenza all'indirizzo IP 198.51.100.100. Questo indirizzo IP non è presente nella configurazione del firewall.

Ambiente

Le piattaforme interessate sono in particolare Firepower 2100 con ASA in modalità piattaforma.

Risoluzione

Passaggio 1. Trovare l'indirizzo IP di origine dei messaggi syslog:

In base all'analisi dei messaggi ricevuti dal server syslog legacy, l'indirizzo IP dell'iniziatore corrisponde all'indirizzo IP di gestione dello chassis Firepower.

L'indirizzo IP configurato in Firepower eXtensible Operating System (FXOS) è 192.0.2.100:

2026-04-27 15:22:49    User.Error    192.0.2.100    Apr 27 09:22:49 firepower FPRM: <<%FPRM-3-NTP_CONFIG_FAILED>> [F1329][major][ntp-config-failed][sys/svc-ext/datetime-svc] Ntp Configuration failed, please check the error message in Ntp host
2026-04-27 15:22:54   User.Error     192.0.2.100    Apr 27 09:22:54 firepower FPRM: <<%FPRM-3-NTP_CONFIG_FAILED>> [F1329][cleared][ntp-config-failed][sys/svc-ext/datetime-svc] Ntp Configuration failed, please check the error message in Ntp host

Passaggio 2. Controllare e verificare la configurazione del syslog di FXOS:

La configurazione dell'interfaccia della riga di comando (CLI) di FXOS non contiene l'indirizzo del server syslog legacy:

device # scope monitoring
device /monitoring # show configuration | i 198.51.100.100
device /monitoring # show configuration all | i 198.51.100.100

Allo stesso tempo, l'output del comando show syslog nell'ambito di monitoraggio mostra l'indirizzo IP del server:

device # scope monitoring
device /monitoring # show syslog

console
    state: Disabled
    level: Critical

platform
    state: Enabled
    level: Information
    Name     Hostname             State    Level         Facility
    -------- -------------------- -------- ------------- --------
    Server 1 198.51.100.10        Enabled  Warnings      Local7
    Server 2 198.51.100.100       Enabled  Warnings      Local7 <---- legacy server
    Server 3 none                 Disabled Critical      Local7

sources
    faults: Enabled
    audits: Enabled
    events: Disabled

L'interfaccia utente di Firepower Chassis Manager (FCM) > Impostazioni piattaforma > Syslog non indica la configurazione del server syslog.

fcm_syslogs_configuration.png

Passaggio 3. Tentare di modificare o eliminare il server syslog:

device# scope monitoring

device /monitoring # delete  <---
  snmp-trap  SNMP trap hostname or IP address
  snmp-user  SNMPv3 User

device /monitoring # set syslog  <---
  console   Console
  file      File
  platform  Platform

device /monitoring # set syslog platform <---
  level  Level

La conclusione è che né FXOS CLI né FCM UI forniscono un modo per creare, modificare o eliminare qualsiasi server syslog, incluso 198.51.100.100.

Causa

Si considerino tre difetti del software:

ID bug Cisco CSCvn19025

Le versioni software con la correzione di questo difetto non consentono la configurazione del syslog remoto di FXOS nella CLI o nell'interfaccia utente di FCM.

ID bug Cisco CSCvt85766

La correzione di questo difetto rimuove la sezione "remote destination" (destinazioni remote) dall'output del comando FXOS show syslog.

Versioni senza correzione:

device# scope monitoring
device /monitoring # show syslog

console
    state: Enabled
    level: Critical

platform
    state: Enabled
    level: Information

file
    state: Enabled
    level: Critical
    name:  messages
    size:  4194304

remote destinations <----------------
    Name     Hostname             State    Level         Facility
    -------- -------------------- -------- ------------- --------
    Server 1 192.0.2.1            Enabled  Information   Local7
    Server 2 192.0.2.2            Enabled  Information   Local7
    Server 3 none                 Disabled Critical      Local7

sources
    faults: Enabled
    audits: Enabled
    events: Disabled

Le versioni con la correzione non contengono la sezione "destinazioni remote":

device # scope monitoring
device /monitoring # show syslog

console
    state: Enabled
    level: Critical

platform
    state: Enabled
    level: Information
    Name     Hostname             State    Level         Facility
    -------- -------------------- -------- ------------- --------
    Server 1 192.0.2.1            Enabled  Information   Local7
    Server 2 192.0.2.2            Enabled  Information   Local7
    Server 3 none                 Disabled Critical      Local7

sources
    faults: Enabled
    audits: Enabled
    events: Disabled

Nonostante non sia presente la sezione "destinazioni remote", i server syslog sono visibili nella sezione "piattaforma".

ID bug Cisco CSCwu12470

Dopo l'aggiornamento del software alla versione con la correzione dell'ID bug Cisco CSCvn19025, la gestione dei server syslog remoti, ossia la creazione, la modifica o l'eliminazione, non è consentita nella CLI di FXOS o nell'interfaccia utente di FCM. Questa limitazione è applicabile anche ai server configurati prima dell'aggiornamento. Nonostante questo, dopo l'aggiornamento del software, il software FXOS mostra i server syslog nella sezione "platform" dell'output del comando show syslog e invia i messaggi syslog a questi server. Gli utenti non sono in grado di amministrare la configurazione syslog remota di FXOS esistente, rilevata nell'ID bug Cisco CSCwu12470.