FMC統一事件搜尋失敗，在Firepower 7.7中使用網路對象名稱

問題

使用Cisco Secure Firewall Management Center(FMC)7.7.10.1版時，網路對象和對象組不能用作統一事件頁面中的搜尋條件。在統一事件搜尋中，嘗試使用源IP下的特定對象或組名搜尋事件時，FMC要麼不返回任何結果，要麼顯示錯誤消息：

The query contains an invalid constraint on the provided field: "Source IP" with value "${000_ALL-USER_GRP}"

對象在「對象管理」(Object Management)下可見且可用，按原始IP地址進行的搜尋按預期方式工作。此行為會影響現有網路對象和新建立的網路對象，因而難以在「統一事件」介面中使用對象名稱或組名稱搜尋事件。

環境

• 適用於VMware的Cisco安全防火牆管理中心(FMCv)

• 軟體版本:7.7.10.1

• 技術：思科安全防火牆Firepower - 7.7

• 子技術：思科安全防火牆 — 監控/事件/日誌記錄 — 7.7

• 部署:獨立FMC配置

• FMC包含1000多個網路對象

• 環境包括從內部部署FMC遷移到cdFMC和返回內部部署FMC的遷移歷史記錄

解析

此問題由已知軟體缺陷引起，無法通過更改當前軟體版本的配置來完全解決。建議實施此解決方法。

即時解決方法

在統一事件搜尋中使用IP地址欄位，而不是對象名稱或組作為臨時解決方法。在調查與受影響的對象或組相關的事件時：

1. 導航到分析>統一事件。

2. 在搜尋條件中，使用實際IP地址而不是對象名稱。

3. 在Source IP或Destination IP欄位中輸入特定IP地址或IP範圍。

4. 執行搜尋以檢索所需事件。

長期解決方案

永久修復程式需要升級到未來的FMC軟體版本，其中包括思科錯誤ID CSCws52418的解決方案。請執行以下步驟：

1. 訂閱缺陷CSCws52418通知，以便在固定FMC版本可用時接收警報。

2. 監控錯誤狀態，以瞭解有關臨時安排在2026年5月提供的修復程式更新。

3. 規劃維護視窗，在發佈FMC和受管裝置後，將其升級到包含CSCws52418修復程式的版本。

預防措施和建議

完成軟體升級之前：

• 在調查與受影響的對象或組相關的事件時，請在統一事件（源/目標IP）中使用基於IP的搜尋條件。

• 建立新操作工作流時，避免僅依賴統一事件中的對象名稱搜尋來執行此版本的操作或稽核流程。

• 記錄受影響的對象名稱及其相應的IP地址，以便在故障排除期間參考。

原因

此行為由Cisco錯誤ID CSCws52418引起，其中事件搜尋的對象查詢的內部處理受大約1000個對象條目的內部限制的約束。此限制之外的對象未按名稱正確編制索引或在統一事件搜尋中返回，導致缺少結果或「無效約束」錯誤。monetdb事件資料庫重建不會解決此行為，因為它是一個編碼的軟體限制，而不是資料庫損壞問題。

相關內容

• 思科錯誤ID CSCws52418 — 某些對象無法在事件搜尋篩選器中進行選擇
• 思科錯誤ID CSCwt05296 — 無法使用新建立或系統定義的對象IPv4-Private-All-RFC1918作為事件中的篩選器
• 思科技術支援與下載