firepower脅威対策ポリシーの導入に関するトラブルシューティング

概要

このドキュメントでは、FTDでのポリシー導入プロセスの概要と基本的なトラブルシューティングテクニックについて説明します。 

背景説明

さらにトラブルシューティングを行うために、 Cisco Firepower Threat Defense (FTD)、従来のステートフルファイアウォール機能は、 Adaptive Security Appliances (ASA)および Next-Gen ファイアウォール機能(powered by Snort)が1つの製品に統合されました。

この変更により、 Policy Deployment Infrastructure FTDでは、ASAコード（LINAとも呼ばれる）と Snort 1つのバンドルで提供されます 

前提条件

次の製品に関する知識があることが推奨されます。

• Firepower Management Center (FMC)
• Firepower Threat Defense (FTD)

使用するコンポーネント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

ポリシー導入の概要

Cisco FTDは、 Policy Deployments に登録されているデバイスの設定を管理およびプッシュアウトするため Firepower Management Center (FMC)自体に適用されます。

導入環境内には、一連の手順が「フェーズ」に分かれています。

FMCの各フェーズの概要を次に示します。

フェーズ 0	導入の初期化
フェーズ 1	Databaseオブジェクトのコレクション
フェーズ 2	ポリシーとオブジェクトの収集
フェーズ 3	NGFWコマンドライン設定の生成
フェーズ 4	デバイス導入パッケージの生成
フェーズ 5	展開パッケージの送受信
フェーズ 6	保留中の展開、展開アクション、展開の成功メッセージ

プロセスの各フェーズおよび障害発生場所に関する知識は、次のような障害のトラブルシューティングに役立ちます。 Firepower システム面。

状況によっては、以前の設定が原因で競合が発生したり、 Advanced Flex Configuration キーワードがないため、デバイスレポートで対処できない障害を引き起こす可能性があります。

例の概要

ステップ 1：クリック Deploymentを選択します。選択するデバイスを指定します。

ステップ 2：デバイスの導入がコミットされると、FMCはそのデバイスに関連するすべての設定の収集を開始します。 

ステップ 3：設定が収集されると、FMCはパッケージを作成し、SFTunnelと呼ばれる通信メカニズム経由でセンサーに送信します。

ステップ 4：FMCは、個別の応答をリッスンする間、指定されたポリシーで展開プロセスを開始するようにセンサーに通知します。

ステップ 5：管理対象デバイスがアーカイブを解凍し、個々の構成とパッケージの適用を開始します。

A.導入の前半は、 Snort この設定では、 Snort 設定は、有効性を確認するためにローカルでテストされます。

有効であることが確認されると、新しい設定は実稼働ディレクトリに移動され、 Snortを参照。検証が失敗した場合、このステップでポリシーの導入は失敗します。

B.展開パッケージのロードの後半はLINA設定に関するもので、ngfwManagerプロセスによってLINAプロセスに直接適用されます。

障害が発生すると、変更がロールバックされ、ポリシーの展開が失敗します。

手順 6：両方とも Snort LINAパッケージが正常に動作し、管理対象デバイスが信号を送信します。 Snort をクリックして再起動またはリロードし、新しい設定をロードして現在の設定をすべて保存します。

手順 7：すべてのメッセージが正常に送信されると、センサーは成功メッセージを送信し、Management Centerがそのメッセージに対して確認応答するまで待機します。

ステップ 8：受信すると、FMCはタスクを成功としてマークし、ポリシーバンドルの終了を許可します。

（「トラブルシューティング」）

次の期間に発生した問題： Policy Deployment 次の原因が考えられますが、これらに限定されるものではありません。

1. 誤設定
2. FMCとFTD間の通信
3. データベースとシステムの状態
4. ソフトウェアの不具合と警告
5. その他の特殊な状況

これらの問題の中には簡単に解決できるものもあれば、シスコの支援が必要なものもあります Technical Assistance Center (TAC)を参照。

このセクションの目標は、問題を切り分けたり、根本原因を特定したりする手法を提供することです。 

FMCグラフィカルユーザインターフェイス(GUI) 

シスコでは、各トラブルシューティングセッションを開始して、FMCアプライアンスで展開の失敗を確認することをお勧めします。

障害通知ウィンドウでは、6.2.3以降のすべてのバージョンで、他の可能性のある障害に役立つ追加のツールがあります。 

導入トランスクリプトの利用

ステップ 1：次を引き上げる： Deployments FMC Web UIにリストされます。

ステップ 2：その間、 Deployments タブが選択されている場合は、 Show Historyを参照。

ステップ 3：内部 Deployment History ボックスをクリックすると、FMCからのすべての以前の展開を確認できます。より多くのデータを表示する展開を選択します。

ステップ 4：配置要素を選択すると、 Deployment Details 選択すると、ネットワーク内のすべてのデバイスの Transactionを参照。これらのエントリは、次の列に分かれています。 Device Number, Device Name, Status,と Transcriptを参照。

ステップ 5：問題のデバイスを選択してトランスクリプトオプションをクリックすると、個々の導入トランスクリプトが表示され、管理対象デバイスに適用されている構成に加えて障害を通知できます。

手順 6：このトランスクリプトは、特定の障害状態を指定し、次のステップで非常に重要な番号を示すことができます。 Transaction IDを参照。

手順 7：次の Firepower Deployment,ページ Transaction ID は、ポリシー導入の各セクションを追跡するために使用できる機能です。これにより、デバイスのコマンドラインで、修復と分析のためにこのデータのより詳細なバージョンを取得できます。

ヒント：トランザクションIDが見つからない場合や、印刷される前のバージョンを使用している場合は、このログを使用して個々の障害メッセージを特定できます。

FMCログを使用したトラブルシューティング

Cisco TACにログの分析を依頼することは適切ですが、ログを検索すると、最初の問題の切り分けと迅速な解決に役立つ場合があります。FMCには、ポリシー導入プロセスの詳細を示すログファイルが複数あります。

最も一般的に参照される2つのログは次のとおりです policy_deployment.log と usmsharedsvcs.logを参照。

このドキュメントで説明したすべてのファイルは、次のような複数のLinuxコマンドで表示できます more、 less と viを参照。ただし、IPv6アドレスが10.10.10.10.10.10.10.100の read アクションが実行されます。すべてのファイルを表示するには、ルートアクセスが必要です。

/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

このログには、FMCでのポリシー展開タスクの開始と各フェーズの完了が明確に記録されます。これにより、展開で障害が発生したフェーズと障害コードを特定できます。

「 transactionID ログのJSON部分に含まれる値を使用して、特定のデプロイ試行に関連するログエントリを検索できます。

22-Nov-2019 01:28:52.844,[INFO],(DefenseCenterServiceImpl.java:1372)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-4
** REST Request [ CSM ]
** ID : e1c84364-0966-42eb-9356-d2914be2b4a3
** URL: Broadcast message.send.deployment
{
  "body" : {
    "property" : "deployment:deployment_initiated_for_the_device",
    "argumentList" : [ {
      "key" : "PHASE",
      "value" : "Phase-0"
    } ]
  },
  "user" : "68d03c42-d9bd-11dc-89f2-b7961d42c462",
  "type" : "deployment",
  "status" : "running",
  "progress" : 5,
  "silent" : true,
  "restart" : true,
  "transactionId" : 12884916552,
  "devices" : [ "93a2089a-fa82-11e9-8219-e1abeec81dc9" ]
}

/var/log/sf/policy_deployment.log

このログファイルは6.4以降の6.xリリース全体に存在していましたが、そのカバレッジが拡大されました。

ここでは、導入パッケージを構築するためにFMCで実行される詳細な手順について説明します。したがって、フェーズ1 ～ 4の障害の分析に使用するのが最適です。

各フェーズの開始は、「INFO start.. ":

Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO starting populateGlobalSnapshot - sqlite = /var/cisco/umpd/8589938337/DC_policy_deployment.db, transaction = 8589938337, time = 1563470402, running as (memory = 56.35 MB) (Framework 3950<196 <- CSMTasks 223<10 <- SF::ActionQueue 2457)
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO deployment threading: disabled (Framework 198 <- CSMTasks 223<10 <- SF::ActionQueue 2457)
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO -> calling SF::UMPD::Plugins::Correlation::Manager::getPluginDependencies (Plugin 298<90 <- Framework 3579<3566<216 <- CSMTasks 223)
...

管理対象デバイスのトラブルシューティング

追加のフェーズとセクションは、デバイスパッケージ、ハイアベイラビリティ設定、および各管理対象デバイスの前のフェーズの結果によって異なります。

導入の問題が管理対象デバイスの障害に切り分けられた場合は、デバイスにpolicy_deployment.logとngfwManager.logの2つのログを記録して、さらにトラブルシューティングを実行できます。

/ngfw/var/log/ngfwManager.log

このログファイルには、次の作業に関する詳細な手順が記載されています。 Config Communication Manager と Config Dispatcher FMCと通信するには、導入パッケージを使用して、SnortおよびLINA設定の検証と適用を調整します。

次に、主要なフェーズの開始を表すngfwManager.logの例をいくつか示します。

FTD receives FMC's request for running configuration:

May 30 16:37:10 ccm[4293] Thread-10: INFO  com.cisco.ccm.ConfigCommunicationManager- Passing CD-Message-Request to Config Dispatcher...
May 30 16:37:10 ccm[4293] Thread-10: DEBUG com.cisco.ccm.ConfigCommunicationManager- <?xml version="1.0" encoding="UTF-8"?><cdMessagesList><timeStamp>1559234230012</timeStamp><cdMessage><name>LinaShowCommand</name><messageId>-753133537443151390</messageId><contentType>XML</contentType><msgContent><![CDATA[<?xml version="1.0" encoding="UTF-8"?><message><name>LinaShowCommand</name>...



FTD receives FMC's request to download the deployment package:

May 30 16:37:18 ccm[4293] Thread-9: INFO  com.cisco.ccm.ConfigCommunicationManager- Downloading database (transaction 8589938211, version 1559234236)
May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- handle record: 8589938211, status = PENDING
May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- begin downloading database



FTD begins the deployment of policy changes:

May 30 16:37:21 ccm[4293] Thread-9: INFO  com.cisco.ccm.ConfigCommunicationManager- Starting deployment
May 30 16:37:21 ccm[4293] Thread-11: INFO  com.cisco.ccm.ConfigCommunicationManager- Sending message: DEPLOYMENT_STATUS_CCM to Manager



FTD begins LINA deployment:

May 30 16:37:42 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Trying to send Start-Config-Sequencerequest to lina



FTD begins finalizing the deployment:

May 30 16:38:48 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Clustering Message sent out of ConfigDispatcher:
Name:Cluster-App-Conf-Finalize-Request

/ngfw/var/log/sf/policy_deployment.log

このログには、 Snortを参照。ログの内容はほとんど高度なものであり、TACによる分析が必要ですが、いくつかの重要なエントリを使用してプロセスをトレースすることは可能です。

Config Dispatcher begins extracting the packaged policies for validation:

Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO  -> calling SF::UMPD::Plugins::NGFWPolicy::Device::exportDeviceSnapshotToSandbox  (Plugin 230 <- Framework 611 <- Transaction 1085)
Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO  found NGFWPolicy =>   (NGFWPolicy::Util 32 <- NGFWPolicy::Device 43 <- Plugin 235)
...
Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO export FTD platform settings... (PlatformSettings::FTD::Device 29 <- Plugin 235<339 <- PlatformSettings::Device 13)



Config validation begins:

Jul 18 17:21:37 firepower policy_apply.pl[25122]: INFO  starting validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files (memory = 229.99 MB)  (Framework 3950<687 <- Transaction 1101 <- main 194)



Validation has completed successfully:

Jul 18 17:21:49 firepower policy_apply.pl[25122]: INFO validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files took 12 (memory = 238.50 MB, change = 8.51 MB) (Framework 3976<724 <- Transaction 1101 <- main 194) 



Config Dispatcher begins moving the validated configuration to the Snort directories in production:

Jul 18 17:21:54 firepower policy_apply.pl[26571]: INFO  -> calling SF::UMPD::Plugins::NGFWPolicy::Device::publishExportedFiles  (Plugin 230 <- Framework 822 <- Transaction 1662)



Snort processes will reload to apply the new configurations:

Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO  Reconfiguring DE a3bcd340-992f-11e9-a1f1-ac829f31a4f9...  (Snort::SnortNotifications 292<154 <- Snort::Device 343 <- Plugin 235)
Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO  sending SnortReload to a3bcd340-992f-11e9-a1f1-ac829f31a4f9  (Snort::SnortNotifications 298<154 <- Snort::Device 343 <- Plugin 235)



Snort reload has completed successfully:

Jul 18 17:22:14 firepower policy_apply.pl[26571]: INFO notifyProcesses - sandbox = /var/cisco/deploy/sandbox/exported-files took 16 (memory = 169.52 MB, change = 16.95 MB) (Framework 3976<964 <- Transaction 1680 <- main 200)



After LINA config apply finishes, Snort deployment is finalized:

Jul 18 17:23:32 firepower policy_apply.pl[26913]: INFO  starting finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox (memory = 101.14 MB)  (Framework 3950<980 <- Transaction 1740 <- main 206)

例

ステップ 1：導入が失敗する

ステップ 2：次の情報を取得します Deploy Transcript と Transaction IDを参照。

ステップ 3：SSHで Management Center Linuxユーティリティを利用する less fmcに表示されるファイルを読み取るには、次の手順を実行します。

例："sudo less /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log" （sudo passwordはsshのユーザパスワードです）

ステップ 4：次の場所にいるとき lessスラッシュを使用し、メッセージIDを入力して、展開transactionIDに関連するログを検索します。 

例："/60129547881" (While in lessnを使用して次の結果に移動します)

実行メッセージの例：

エラーメッセージの例：

5)適切な障害を、添付の「一般的な障害メッセージ」の表と比較します。

 つまり、failed_to_retrieve_running_configurationは、2台のデバイス間の通信エラー時に発生します。 

一般的なエラーメッセージ

一般的な障害メッセージは次のとおりです。これらはルータのフロントエンドに表示されます Management Center Task バックエンドに表示されるエラーコードも確認できます。

これらのメッセージは、分析して、考えられる解決策の一般的な理由と比較できます。

これらの情報が表示されない場合、または状況が解決しない場合は、TACにお問い合わせください。 

----------------------------------------------------------------------------------------

TACに連絡してサポートを依頼

前述の情報ではポリシーの展開を続行できない場合、または問題が以前に文書化された動作に関連していない可能性がある場合は、次のリンクで提供される手順を使用してトラブルシューティングファイルを生成し、TACに連絡して分析とバグの作成を依頼してください。

https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html