在Firepower 7.7中，使用网络对象名称搜索FMC统一事件失败

问题

使用Cisco Secure Firewall Management Center(FMC)7.7.10.1版时，网络对象和对象组不能用作统一事件页面中的搜索条件。当尝试使用统一事件搜索中Source IP下的特定对象或组名称搜索事件时，FMC不会返回任何结果或显示错误消息：

The query contains an invalid constraint on the provided field: "Source IP" with value "${000_ALL-USER_GRP}"

对象在“对象管理”(Object Management)下可见且可用，按原始IP地址搜索按预期方式工作。此行为会影响现有网络对象和新创建的网络对象，因而难以在“统一事件”界面中使用对象名称或组名称搜索事件。

环境

• 适用于VMware的思科安全防火墙管理中心(FMCv)

• 软件版本:7.7.10.1

• 技术：思科安全防火墙Firepower - 7.7

• 子技术：思科安全防火墙 — 监控/事件/日志记录 — 7.7

• 部署:独立FMC配置

• FMC包含1000多个网络对象

• 环境包括从本地FMC迁移到cdFMC以及返回本地的迁移历史记录

分辨率

此问题由已知软件缺陷引起，无法通过更改当前软件版本的配置完全解决。建议实施此解决方案方法。

即时解决方法

在统一事件搜索中使用IP地址字段而不是对象名称或组作为临时解决方法。调查与受影响的对象或组相关的事件时：

1. 导航到分析>统一事件。

2. 在搜索条件中，使用实际IP地址而不是对象名称。

3. 在Source IP或Destination IP字段中输入特定IP地址或IP范围。

4. 执行搜索以检索所需事件。

长期解决方案

永久修复需要升级到未来的FMC软件版本，其中包括Cisco Bug ID CSCws52418的解决方案。请执行以下步骤：

1. 订用缺陷CSCws52418通知，以便在固定FMC版本可用时接收警报。

2. 监控漏洞状态，了解临时安排在2026年5月发布的修复程序可用性更新。

3. 规划维护窗口，以将FMC和受管设备升级到包含CSCws52418的修复程序的版本（发布后）。

预防和建议

直到完成软件升级：

• 调查与受影响对象或组相关的事件时，请在统一事件（源/目标IP）中使用基于IP的搜索条件。

• 创建新的运营工作流时，请避免仅依赖统一事件中的对象名称搜索进行此版本的运营或审核流程。

• 记录受影响的对象名称及其相应的IP地址，以供故障排除时参考。

原因

此行为由Cisco Bug ID CSCws52418引起，其中事件搜索的对象查找的内部处理受到约1000个对象条目的内部限制的约束。此限制之外的对象未按名称在统一事件搜索中正确编制索引或返回，导致缺少结果或“无效约束”错误。monetdb事件数据库重建无法解决此行为，因为它是一个编码的软件限制，而不是数据库损坏问题。

相关内容

• Cisco Bug ID CSCws52418 — 某些对象在事件搜索过滤器中不可选择
• Cisco Bug ID CSCwt05296 — 无法将新创建或系统定义的对象IPv4-Private-All-RFC1918用作事件中的过滤器
• 思科技术支持和下载