Solucionar problemas de firewall enviando registros para o servidor Syslog configurado anteriormente (herdado)
Contents
Problema
O firewall envia mensagens de syslog a um servidor syslog previamente configurado (herdado) no endereço IP 198.51.100.100. Esse endereço IP está ausente na configuração do firewall.
Ambiente
As plataformas afetadas são especificamente Firepower 2100 executando ASA no modo de plataforma.
Resolução
Etapa 1. Localize o endereço IP origem das mensagens de syslog:
Com base na análise das mensagens recebidas pelo Servidor syslog herdado, o endereço IP do originador é o endereço IP de gerenciamento do chassi Firepower.
O endereço IP configurado no Firepower eXtensible Operating System (FXOS) é 192.0.2.100:
2026-04-27 15:22:49 User.Error 192.0.2.100 Apr 27 09:22:49 firepower FPRM: <<%FPRM-3-NTP_CONFIG_FAILED>> [F1329][major][ntp-config-failed][sys/svc-ext/datetime-svc] Ntp Configuration failed, please check the error message in Ntp host
2026-04-27 15:22:54 User.Error 192.0.2.100 Apr 27 09:22:54 firepower FPRM: <<%FPRM-3-NTP_CONFIG_FAILED>> [F1329][cleared][ntp-config-failed][sys/svc-ext/datetime-svc] Ntp Configuration failed, please check the error message in Ntp host
Etapa 2. Verificar e verificar a configuração do syslog FXOS:
A configuração da Interface de Linha de Comando (CLI) FXOS não contém o endereço do Servidor syslog legado:
device # scope monitoring
device /monitoring # show configuration | i 198.51.100.100
device /monitoring # show configuration all | i 198.51.100.100
Ao mesmo tempo, a saída do comando show syslog no escopo de monitoramento mostra o endereço IP do servidor:
device # scope monitoring
device /monitoring # show syslog
console
state: Disabled
level: Critical
platform
state: Enabled
level: Information
Name Hostname State Level Facility
-------- -------------------- -------- ------------- --------
Server 1 198.51.100.10 Enabled Warnings Local7
Server 2 198.51.100.100 Enabled Warnings Local7 <---- legacy server
Server 3 none Disabled Critical Local7
sources
faults: Enabled
audits: Enabled
events: Disabled
A Interface do usuário (UI) do Firepower Chassis Manager (FCM) > Configurações da plataforma > Syslog não indica a configuração do servidor syslog.
fcm_syslogs_configuration.png
Etapa 3. Tente modificar ou excluir o Servidor syslog:
device# scope monitoring
device /monitoring # delete <---
snmp-trap SNMP trap hostname or IP address
snmp-user SNMPv3 User
device /monitoring # set syslog <---
console Console
file File
platform Platform
device /monitoring # set syslog platform <---
level Level
A conclusão é que nem FXOS CLI nem FCM UI fornecem uma maneira de criar, modificar ou excluir qualquer Servidor syslog, incluindo 198.51.100.100.
Causa
Considere três defeitos de software:
ID de bug Cisco CSCvn19025
As versões de software com a correção desse defeito não permitem a configuração do syslog remoto FXOS na CLI ou na interface do usuário do FCM.
ID de bug Cisco CSCvt85766
A correção desse defeito remove a seção "destinos remotos" da saída do comando show syslog FXOS.
Versões sem a correção:
device# scope monitoring
device /monitoring # show syslog
console
state: Enabled
level: Critical
platform
state: Enabled
level: Information
file
state: Enabled
level: Critical
name: messages
size: 4194304
remote destinations <----------------
Name Hostname State Level Facility
-------- -------------------- -------- ------------- --------
Server 1 192.0.2.1 Enabled Information Local7
Server 2 192.0.2.2 Enabled Information Local7
Server 3 none Disabled Critical Local7
sources
faults: Enabled
audits: Enabled
events: Disabled
As versões com a correção não têm a seção "destinos remotos":
device # scope monitoring
device /monitoring # show syslog
console
state: Enabled
level: Critical
platform
state: Enabled
level: Information
Name Hostname State Level Facility
-------- -------------------- -------- ------------- --------
Server 1 192.0.2.1 Enabled Information Local7
Server 2 192.0.2.2 Enabled Information Local7
Server 3 none Disabled Critical Local7
sources
faults: Enabled
audits: Enabled
events: Disabled
Apesar de faltar a seção "destinos remotos", os servidores syslog são visíveis na seção "plataforma".
ID de bug Cisco CSCwu12470
Após a atualização do software para a versão com a correção do bug da Cisco ID CSCvn19025, o gerenciamento de servidores syslog remotos, ou seja, criação, modificação ou exclusão, não é permitido na CLI FXOS ou na interface do usuário FCM. Essa limitação também se aplica aos servidores configurados antes da atualização. Apesar disso, após a atualização do software, o software FXOS mostra os servidores syslog na seção "platform" da saída do comando show syslog e envia as mensagens syslog a esses servidores. Os usuários não podem administrar a configuração de syslog remoto FXOS existente, que é rastreada no bug da Cisco ID CSCwu12470.
Conteúdo relacionado
ID de bug da Cisco CSCvn19025
ID de bug da Cisco CSCvt85766
ID de bug da Cisco CSCwu12470
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
29-Apr-2026
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)