Beveiligde firewall FTD-gebeurtenisregistratie naar CDO/cdFMC mislukt vanwege DNS-resolutie

Downloadopties

  • PDF     (684.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (530.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (325.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:21 april 2026
Document-id:225776

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

uitgeven

Logboekregistratie van verbindingsgebeurtenissen is niet meer weergegeven in de gebeurtenislogboekregistratie van Cisco Defense Orchestrator (CDO) en de door de cloud geleverde pagina's van het Firewall Management Center (cdFMC) voor gebeurtenissen voor één Firewall Threat Defense (FTD). Het getroffen apparaat kon geen logboeken van verbindingsgebeurtenissen naar het cloudbeheerplatform verzenden, waardoor de zichtbaarheid van de productie en de mogelijkheden voor probleemoplossing werden beïnvloed. Analyse toonde aan dat de FTD herhaaldelijk problemen ondervond om verbinding te maken met Cisco-eventingservices vanwege tijdelijke naamoplossingsfouten, waarbij de tijdstempel van DNS-resolutiefouten precies correleerde met wanneer verbindingsgebeurtenissen niet meer op eventingpagina's verschenen.

milieu

  • Cisco Secure Firewall FTD beheerd door CDO met cdFMC

  • DNS-server geconfigureerd via FTD-beheerinterface

  • Productieomgeving die zichtbaarheid van verbindingsgebeurtenissen vereist voor probleemoplossing

resolutie

1: Controleer de pagina's CDO Event Logging en cdFMC Unified/Connection Event om het tijdstip van gebeurtenisverlies te bepalen.

Event Logging Overviewinline_image_0.png

inline_image_0.png

Events and Logsinline_image_1.png

inline_image_1.png

2: Zorg ervoor dat de nodige FTD-processen worden uitgevoerd om het genereren en verzenden van gebeurtenissen mogelijk te maken:

root@ftd-device:/ngfw/var/log# pmtool status | grep Event
Required by: SFDataCorrelator,expire-session,TSS_Daemon,snapshot_manager,fpcollect,Syncd,Pruner,ActionQueueScrape,rotate_stats,sfestreamer,tomcat,EventHandler
EventHandler (normal) - Running 17453
Command: /ngfw/usr/local/sf/bin/EventHandler
    LD_LIBRARY_PATH=/ngfw/usr/local/sf/lib64/EventHandlerModules
PID File: /ngfw/var/sf/run/EventHandler.pid
Enable File: /ngfw/etc/sf/EventHandler.run
--
root@ftd-device:/ngfw/var/log# pmtool status | grep SSE
SSEConnector (system) - Running 20697
Required by: ngfwManager,ASAConfig,tomcat,SSEConnector,rsyncd,hmdaemon,srt,UUID

3: Controleer de FTD om de correlerende loggegevens van EventHandler en Connector te vinden die de oorzaak aangeven:

/ngfw/var/log/EventHandlerStat.* | grep -E "TotalEvents|SSEConnector"
{"Time": "2026-03-10T16:00:25Z", "TotalEvents": 104659, "PerSec": 348, "UserCPUSec": 9.242, "SysCPUSec": 1.497, "%CPU": 3.6, "MemoryKB": 78984}
{"Time": "2026-03-10T16:00:25Z", "Consumer": "SSEConnector", "Events": 104649, "PerSec": 348, "CPUSec": 9.924, "%CPU": 3.3}
{"Time": "2026-03-10T16:00:25Z", "ConsumerEvent": "SSEConnector-ConnectionEvent", "InTransforms": 104649, "OutTransforms": 104649}
{"Time": "2026-03-10T16:05:25Z", "TotalEvents": 57651, "PerSec": 192, "UserCPUSec": 5.382, "SysCPUSec": 1.329, "%CPU": 2.2, "MemoryKB": 78984}
{"Time": "2026-03-10T16:05:25Z", "Consumer": "SSEConnector", "Events": 57641, "PerSec": 192, "CPUSec": 5.900, "%CPU": 2.0, "OutputWaitSec": 132.792}
{"Time": "2026-03-10T16:05:25Z", "ConsumerEvent": "SSEConnector-ConnectionEvent", "InTransforms": 57641, "OutTransforms": 57641}
{"Time": "2026-03-10T16:10:25Z", "TotalEvents": 24, "PerSec": 0, "UserCPUSec": 0.314, "SysCPUSec": 0.545, "%CPU": 0.3, "MemoryKB": 78984}
{"Time": "2026-03-10T16:10:25Z", "Consumer": "SSEConnector", "Events": 14, "PerSec": 0, "CPUSec": 0.046, "%CPU": 0.0, "OutputWaitSec": 300.223, "ProcessingWaitSec": 286.117}
{"Time": "2026-03-10T16:10:25Z", "ConsumerEvent": "SSEConnector-ConnectionEvent", "InTransforms": 14, "OutTransforms": 14}
{"Time": "2026-03-10T16:15:25Z", "TotalEvents": 10, "PerSec": 0, "UserCPUSec": 0.214, "SysCPUSec": 0.603, "%CPU": 0.3, "MemoryKB": 78984}
{"Time": "2026-03-10T16:15:25Z", "Consumer": "SSEConnector", "Events": 0, "PerSec": 0, "CPUSec": 0.009, "%CPU": 0.0, "OutputWaitSec": 300.161, "ProcessingWaitSec": 300.161}
{"Time": "2026-03-10T16:10:25Z", "ConsumerEvent": "SSEConnector-ConnectionEvent", "InTransforms": 0, "OutTransforms": 0}
---
/ngfw/var/log/messages | grep "SSEConnector"
Mar 12 11:36:01 ftd-device SF-IMS[62079]: [62112] EventHandler:EventHandler [ERROR] Consumer SSEConnector publishing blocked for 330.801 sec: Resource temporarily unavailable
---
/ngfw/var/log/connector/connector.log | grep "failure in name resolution"
time="2026-03-10T12:02:44.329750985-04:00" level=error msg="[ftd-device][events.go:100 events:connectWebSocket] dial tcp: lookup eventing-ingest.sse.itd.cisco.com: Temporary failure in name resolution"
time="2026-03-10T12:02:44.329830226-04:00" level=warning msg="[ftd-device][events.go:181 events:(*Service).Start] Could not connect to WebSocket endpoint wss://eventing-ingest.sse.itd.cisco.com:443/ingest: dial tcp: lookup eventing-ingest.sse.itd.cisco.com: Temporary failure in name resolution"

4: Controleer de door de FTD's geconfigureerde DNS-server en bereikbaarheid:

> show network
===============[System Information]===============
Hostname                  : ftd-device
DNS Servers               : 10.0.0.10
DNS from router           : enabled
Management port           : 8305
IPv4 Default route
  Gateway                 : 10.0.0.1
==================[management0]===================
Admin State               : Enabled
Admin Speed               : 40gbps
Link                      : Up
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : A1:A2:A3:A4:A5:A6
----------------------[IPv4]----------------------
Configuration             : Manual
Address                   : 10.0.0.2
Netmask                   : 255.255.255.0
Gateway                   : 10.0.0.1
----------------------[IPv6]----------------------
Configuration             : Disabled
> expert
admin@device:~$ sudo su
Password: [enter admin password]
root@device:/Volume/home/admin# ping 10.0.0.10
PING 10.0.0.10 (10.0.0.10) 56(84) bytes of data.
64 bytes from 10.0.0.10: icmp_seq=1 ttl=58 time=1.64 ms
64 bytes from 10.0.0.10: icmp_seq=2 ttl=58 time=1.72 ms
64 bytes from 10.0.0.10: icmp_seq=3 ttl=58 time=1.70 ms
^C
--- 10.0.0.10 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 144ms
rtt min/avg/max/mdev = 1.639/1.678/1.724/0.033 ms

5: Controleer de DNS-resolutie en HTTPS-connectiviteit van de FTD naar Cisco-eventingservices:

root@device:/Volume/home/admin# nslookup eventing-ingest.sse.itd.cisco.com
root@device:/Volume/home/admin# curl -v -k https://eventing-ingest.sse.itd.cisco.com
root@device:/Volume/home/admin# telnet eventing-ingest.sse.itd.cisco.com 443

Acties

De gebruiker heeft een intern probleem met zijn DNS-server geïdentificeerd en opgelost. Nadat de DNS-functionaliteit is hersteld:

  • De FTD kon de vereiste Cisco eventing-domeinen oplossen.

  • De FTD herstelde automatisch de eventing-connectiviteit.

  • Logboeken van verbindingsgebeurtenissen worden opnieuw weergegeven in cdFMC zoals ontworpen.

Alle corrigerende acties werden door de gebruiker uitgevoerd zonder dat er configuratiewijzigingen nodig waren.

Oorzaak

De hoofdoorzaak was een DNS-oplossingsfout op de FTD-beheerinterface, die specifiek werd veroorzaakt door een probleem met de geconfigureerde DNS-server. Omdat de FTD de vereiste Cisco eventing-domeinen, waaronder eventing-ingest.sse.itd.cisco.com, niet kon oplossen, kon deze geen uitgaande eventing-verbindingen tot stand brengen, waardoor verbindingsgebeurtenissen niet werden geleverd aan de Cisco Security Cloud. Nadat de DNS-resolutie was hersteld, bevestigde de gebruiker dat de logboekregistratie van verbindingsgebeurtenissen volledig operationeel was en normaal functioneerde in de productieomgeving.

Verwante inhoud

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
2.0
21-Apr-2026
Reformateren.
1.0
20-Apr-2026
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Echo Quiroz-Garcia
    technisch adviseur

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten