本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本檔案介紹在軟體回溯的情況下收集資料的步驟。
基本產品知識。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
本文中的資訊係根據以下軟體和硬體版本:
FTD或ASA軟體可以回溯並通常由於不同原因重新載入,例如:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password:
firepower# crashinfo force ?
page-faultc Crash by causing a page fault exception
process Crash the specified process
watchdog Crash by causing a watchdog timeout
在追溯(也稱為crash)的情況中,通常會產生crashinfo、core或minidump檔案,視程式而定:
在Secure Firewall軟體中,具有回溯的進程可以位於以下任一元件中:
除core和crashinfo檔案外,追蹤的根本原因分析(root cause analysis, RCA)還需要其他資訊,例如故障排除和show-tech檔案、系統日誌消息等。
Core和crashfinfo檔案分析由TAC和思科作為服務請求(案例)的一部分處理。
繼續執行以下步驟,為回溯的RCA收集必要資料。由於存在檔案輪轉導致資料丟失的風險,請儘快提供請求的資料。
1a。確切的硬體。
1b。軟體版本.
1c。安全防火牆軟體型別(ASA或FTD)。
1d。部署模式(本機或多例項模式)。
有關詳細的驗證步驟,請參閱驗證Firepower軟體版本和驗證Firepower、例項、可用性、可擴充性配置。
2.澄清最近是否發生了任何環境變化,例如:
2a。新增流量。
2b。包括命令在內的主要配置更改。
確保儘可能精確地包括時間戳和時區。
3.如果在使用特定命令更改配置後發生回溯,請收集終端會話輸出。如果在ASA上配置了命令授權,請從遠端伺服器(例如身份服務引擎(ISE))收集命令授權報告。
4.在接下來的步驟中,確保使用最新的時間戳驗證crashinfo、core或minidump檔案,並記下每個檔案的完整路徑。收集檔案需要完整路徑,如如何從Secure Firewall收集Crashinfo、核心轉儲和小型轉儲檔案?部分。
ASA
4.1.驗證是否存在crashinfo檔案。要檢視最新的crashinfo,請運行show crashinfo命令。crashinfo檔案可在dir 命令的輸出中找到。
asa# dir
Directory of disk0:/
…
1610891723 -rw- 413363 20:51:22 Aug 13 2025 crashinfo_lina.14664.20250813.205102
4.2.使用dir coredumpfsys命令驗證ASA核心檔案是否存在:
asa# dir coredumpfsys
Directory of disk0:/coredumpfsys/
24577 -rw- 419619286 12:43:07 Aug 04 2025 core.lina.11.10335.1754311379.gz
11 drwx 16384 00:15:57 Jan 01 2010 lost+found
附註:在虛擬ASA上,核心轉儲功能預設處於禁用狀態:
ciscoasa# show coredump
filesystem 'disk0:' has no coredump filesystem
要啟用核心轉儲功能,請參閱Cisco Secure Firewall ASA Series Command Reference, A-H Commands中的核心轉儲啟用部分。
FTD
4.1.驗證FTD crashinfo檔案是否存在。要檢視最新的crashinfo,請運行show crashinfo命令。crashinfo檔案可在dir 命令的輸出中找到。
ftd# dir
Directory of disk0:/
…
1610891723 -rw- 413363 20:51:22 Aug 13 2025 crashinfo_lina.14664.20250813.205102
在FTD上,可以在expert mode /mnt/disk0/目錄中找到crashinfo檔案:
> expert
admin@firepower:~$ ls -l /mnt/disk0/
total 496472
..
-rw-r--r-- 1 root root 460812 Aug 13 10:31 crashinfo_lina.13050.20250813.103059
在FTD疑難排解檔案中,crashinfo檔案位於dir-archives/var-log/mnt-disk0/:
$ ls -l /dir-archives/mnt-disk0
total 9456
-rw-r--r-- 1 root root 453024 Aug 8 23:51 crashinfo_lina.13949.20250808.235100
4.2.驗證FTD核心檔案是否存在。在FTD上,核心檔案可在expert mode /ngfw/var/data/cores/和/ngfw/var/common/ 目錄中訪問:
admin@ftd:~$ ls -l /ngfw/var/data/cores/
total 1255512
-rw-r--r-- 1 root root 602208441 Jul 24 09:28 core.lina.11.14993.1753342057.gz
-rw-r--r-- 1 root root 682148808 Jul 24 09:38 core.lina.11.80997.1753342659.gz
在FTD疑難排解檔案中,核心檔案名稱位於file command-output/for\ CORE\ in\ \'ls\ *:
command-outputs $ cat for\ CORE\ in\ \`ls\ *
/var/data/cores/core.lina.11.38967.1732272744.gz: gzip compressed data, was "core.lina.11.38967.1732272744", last modified: Fri Nov 22 10:53:14 2024, max speed, from Unix, original size modulo 2^32 518395256
FTD Snort3特定核心傾印
本節僅適用於執行Snort3引擎的FTD。
4.1.驗證Snort3引擎crashinfo檔案snort3-crashinfo是否存在。*處於專家模式/ngfw/var/log/crashinfo/ 目錄中。
admin@ftd$ ls -l /ngfw/var/log/crashinfo
total 8
-rw-r--r-- 1 root root 1104 Aug 22 19:10 snort3-crashinfo.1755889806.134825
-rw-r--r-- 1 root root 1104 Aug 22 19:15 snort3-crashinfo.1755890128.201213
在FTD疑難排解檔案中,相同檔案位於dir-archives/var-log/crashinfo/。
4.2.驗證/ngfw/var/data/cores/中是否存在Snort3小型轉儲檔案minidump_*:
admin@firepower:~$ ls -l /ngfw/var/data/cores/
total 936580
-rw------- 1 root root 977760 Aug 22 19:10 minidump_1755889805_firepower_snort3_17455.dmp
在FTD疑難排解檔案中,小型轉儲檔案位於file-contents/ngfw/var/data/cores/:
$ ls -l file-contents/ngfw/var/data/cores/
total 1904
-rw------- 1 root root 977760 Aug 22 19:10 minidump_1755889805_firepower_snort3_17455.dmp
Firepower 4100和9300安全模組
本節僅適用於Firepower 4100和9300模組。
4.1.驗證crashinfo和core檔案是否存在:
firepower # connect module 1 console
Firepower-module1>support filelist
============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files
Type a sub-dir name to list its contents, or [x] to Exit: Crashinfo_and_Core_Files
----------sub-dirs----------
lost+found
-----------files------------
2025-08-04 14:43:07 | 419619286 | core.lina.11.10335.1754311379.gz
2025-08-13 12:45:11 | 419798152 | core.lina.11.10466.1755081904.gz
2025-08-14 13:35:02 | 419449591 | core.lina.11.46717.1755171295.gz
2025-08-18 12:48:26 | 419624883 | core.lina.6.10412.1755514099.gz
([b] to go back)
…
FXOS
4.1.在Firepower 1000、2100和安全防火牆1200、3100、4200機箱上,使用local-mgmt shell中的dir workspace:/cores和dir workspace:/cores_fxos命令驗證是否存在核心檔案。
如果安裝了ASA應用程式,則使用connect fxos admin命令連線到FXOS外殼:
firepower-1120# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-1120(local-mgmt)# dir workspace:/cores
1 119710270 Jul 25 11:41:12 2025 core.lina.6.19811.1753443666.gz
2 16384 Jul 22 21:13:57 2025 lost+found/
3 4096 Jul 22 21:16:07 2025 sysdebug/
Usage for workspace://
159926181888 bytes total
5545205760 bytes used
154380976128 bytes free
firepower-1120(local-mgmt)# dir workspace:/cores_fxos
1 9037 Jul 25 10:52:17 2025 kp_init.log
機箱疑難排解檔案中的/opt/cisco/platform/logs/prune_cores.log檔案也提到核心檔案:
$ less opt/cisco/platform/logs/prune_cores.log
Fri Jul 25 11:41:31 UTC 2025 - Avoiding compress/move for for ./core.lina.6.19811.1753443666: UptimeInSecs: 3080; SafeIntval:45; Timestamp Diff: 19
Fri Jul 25 11:42:32 UTC 2025 - Number of pre-compressed core file : 0
Fri Jul 25 11:42:32 UTC 2025 - Uncompressed file ./core.lina.6.19811.1753443666: uptimeInSec: 3141; SafeIntval:45; Timestamp Diff: 80; FileSize: 3252031456
4.2.在Firepower 4100和9300機箱上,使用local-mgmt shell中的dir workspace:/cores命令驗證核心檔案是否存在:
firewall(local-mgmt)# dir workspace:/cores
Usage for workspace://
4160421888 bytes total
461549568 bytes used
3484127232 bytes free
核心檔名稱可在機箱疑難排解檔案中找到,位於檔案*_BC1_all/FPRM_A_TechSupport/sw_techsupportinfo中show cores 指令的輸出中,其中*是疑難排解檔案名稱的一部分,例如20250311123356_ FW_BC1_all.tar。
5.驗證crashinfo、coredump和minidump檔案是否與事件相關。
對於core和minidump檔案,紀元時間戳可以使用任何Linux主機上的date轉換為日期時間:
admin@ftd:~$ ls -l /ngfw/var/data/cores/
total 1255512
-rw-r--r-- 1 root root 602208441 Jul 24 09:28 core.lina.11.14993.1753342057.gz
linux $ date -d @1753342057
Thu Jul 24 07:27:37 UTC 2025
6.請參閱如何從Secure Firewall收集Crashinfo、Coredump和Minidump檔案部分,從步驟4-5下載crashinfo、Minidump和core檔案。
注意:請勿重新命名core、crashinfo或minidump檔案。
7.繼續執行對Firepower檔案生成過程進行故障排除中的步驟,以收集show-tech檔案並對其進行故障排除:
7a。ASA show-tech檔案。
7b。FTD疑難排解檔案。
7c。Firepower 4100和9300安全模組顯示技術檔案。
7d。Firepower 4100和9300機箱顯示技術檔案。
7e。Firepower 1000、2100和安全防火牆1200、3100、4200機箱顯示技術檔案。在容器模式下安全防火牆3100、4200的機箱故障排除檔案可以通過FMC > Devices > [機箱] > 3 dots > Troubleshoot Files選項下載。
8.在FTD的情況下,收集FMC上覆蓋至少30分鐘的健康監視頁籤的螢幕截圖。確保包括所有突出顯示的頁籤的螢幕截圖。在重複跟蹤的情況下,收集覆蓋少數事件的螢幕截圖。
此外,在高可用性和群集的情況下,請收集所有受影響單元的螢幕截圖:
9.從系統日誌伺服器中收集原始(未分析)的Lina引擎syslog消息,該消息涵蓋回溯之前至少30分鐘。原始格式對於TAC和工程工具的內部處理至關重要。
在重複回溯的情況下,收集覆蓋少數事件的原始消息。此外,在高可用性和集群的情況下,從所有受影響的單元收集原始系統日誌。
在ASA/FTD CLI上進行驗證:
ftd# show run logging
logging enable
logging trap informational
logging host inside 192.0.2.1 <-- syslog server address
10.在Firepower 4100和9300的情況下,在回溯之前至少10分鐘,從系統日誌伺服器收集原始(未分析的)FXOS消息。原始格式對於TAC和工程工具的內部處理至關重要。
此外,在高可用性和群集的情況下,請從所有受影響的機箱收集原始系統日誌。
在Firepower機箱管理器(FCM)使用者介面(UI)上驗證:
在FXOS CLI上驗證:
firepower # scope monitoring
firepower /monitoring # show syslog
console
state: Disabled
level: Critical
monitor
state: Disabled
level: Critical
file
state: Enabled
level: Critical
name: messages
size: 4194304
remote destinations
Name Hostname State Level Facility
-------- -------------------- -------- ------------- --------
Server 1 192.0.2.1 Enabled Critical Local7 <-- syslog server address
Server 2 none Disabled Critical Local7
Server 3 none Disabled Critical Local7
sources
faults: Enabled
audits: Disabled
events: Disabled
11.從配置的SNMP伺服器收集ASA或FTD CPU、記憶體、介面資料(包括陷阱)。確保包含至少在回溯前30分鐘的資料。
在重複回溯的情況下,收集涵蓋少數突發事件的原始郵件。此外,在高可用性和群集的情況下,收集來自所有受影響機箱的原始消息。
在ASA/FTD CLI上進行驗證:
ftd# show run snmp-server
snmp-server host inside 192.0.2.1 community ***** version 2c <-- SNMP server addresses
snmp-server host inside 192.0.2.2 community ***** version 2c
no snmp-server location
no snmp-server contact
12.對於Firepower 4100和9300,從配置的SNMP伺服器收集CPU、記憶體和介面資料,包括陷阱。確保包含至少在回溯前30分鐘的資料。
在重複回溯的情況下,收集涵蓋少數突發事件的原始郵件。 此外,在高可用性和群集的情況下,收集來自所有受影響機箱的原始消息。
驗證FCM UI:
在FXOS CLI上驗證:
firepower # scope monitoring
firepower /monitoring # show configuration
…
enable snmp
enter snmp-trap 192.0.2.1 <-- SNMP server address
! set community
set notificationtype traps
set port 162
set v3privilege noauth
set version v2c
13.從Netflow收集器收集流量量變曲線。確保包含至少在回溯前30分鐘的資料。
在重複回溯的情況下,收集覆蓋少數事件的資料。 此外,在高可用性和群集的情況下,請從所有受影響的機箱收集資料。
在ASA/FTD CLI上進行驗證:
ftd# show run flow-export
flow-export destination inside 192.0.2.1 1255 <-- Netflow collector address
flow-export delay flow-create 1
ftd# show run policy-map global_policy
!
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class netflow
flow-export event-type all destination 192.0.2.1 <-- Netflow collector address
class class-default
set connection advanced-options UM_STATIC_TCP_MAP
14.在重複回溯的情況下,收集控制檯會話的輸出。
15.建立TAC案例並提供所有資料。
繼續執行以下步驟,從Secure Firewall中執行crashinfo、coredump和minidump Files:
注意:警告:請勿重新命名core、crashinfo或minidump檔案。
將檔案從ASA CLI上傳到遠端伺服器:
ASA# copy flash:/crashinfo_lina.14664.20250813.205102 ?
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
running-config Update (merge with) current system configuration
scp: Copy to scp: file system
smb: Copy to smb: file system
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
選項1 — 使用Lina CLI收集檔案
> expert
admin@firepower:~$ ls -l /ngfw/var/data/cores/
total 928152
-rw-r--r-- 1 root root 500163689 Aug 13 10:30 core.lina.11.13050.1755081050.gz
-rw-r--r-- 1 root root 449295230 Aug 13 20:51 core.lina.11.14664.1755118254.gz
drwx------ 2 root root 16384 Aug 10 20:59 lost+found
drwxr-xr-x 3 root root 4096 Aug 10 21:01 sysdebug
admin@firepower:~$ sudo cp /ngfw/var/data/cores/core.lina.11.13050.1755081050.gz /mnt/disk0/
admin@firepower:~$ exit
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password:
firepower# dir
Directory of disk0:/
…
1610612928 -rw- 500163689 17:00:13 Aug 22 2025 core.lina.11.13050.1755081050.gz
firepower# copy disk0:/core.lina.11.13050.1755081050.gz ?
cache: Copy to cache: file system
cluster: Copy to cluster: file system
disk0: Copy to disk0: file system
disk1: Copy to disk1: file system
flash: Copy to flash: file system
ftp: Copy to ftp: file system
scp: Copy to scp: file system
smb: Copy to smb: file system
system: Copy to system: file system
tftp: Copy to tftp: file system
admin@firepower:~$ cd /mnt/disk0/
admin@firepower:/mnt/disk0/:$ sudo rm core.lina.11.13050.1755081050.gz
選項2 — 使用專家模式CLI收集檔案
使用Linux TFTP、SFTP或SCTP客戶端將檔案從專家模式上傳到遠端伺服器:
> expert
admin@firepower:~$ cd /ngfw/var/data/cores/
admin@firepower:/ngfw/var/data/cores$ sudo sctp core.lina.11.13050.1755081050.gz admin@192.0.2.1:/
admin@firepower:/ngfw/var/data/cores$ sudo tftp -l core.lina.11.13050.1755081050.gz -r core.lina.11.13050.1755081050.gz -p 192.0.2.1
選項3 — 使用FXOS本地管理CLI收集檔案
在Firepower 1000、2100和Secure Firewall 1200、3100、4200機箱上運行的本機模式FTD上,可以從FXOS本地管理CLI收集核心和小型轉儲檔案:
firepower# connect local-mgmt
firepower(local-mgmt)# dir workspace:/cores
1 500163689 Aug 13 10:30:59 2025 core.lina.11.13050.1755081050.gz
firepower(local-mgmt)# copy workspace:/core.lina.11.13050.1755081050.gz ?
ftp: Dest File URI
http: Dest File URI
https: Dest File URI
scp: Dest File URI
sftp: Dest File URI
tftp: Dest File URI
usbdrive: Dest File URI
volatile: Dest File URI
workspace: Dest File URI
選項4 — 使用FMC UI收集檔案
將檔案復制到/ngfw/var/common:
> expert
admin@firepower:~$ ls -l /ngfw/var/data/cores/
total 928152
-rw-r--r-- 1 root root 500163689 Aug 13 10:30 core.lina.11.13050.1755081050.gz
-rw-r--r-- 1 root root 449295230 Aug 13 20:51 core.lina.11.14664.1755118254.gz
drwx------ 2 root root 16384 Aug 10 20:59 lost+found
drwxr-xr-x 3 root root 4096 Aug 10 21:01 sysdebug
admin@firepower:~$ sudo cp /ngfw/var/data/cores/core.lina.11.13050.1755081050.gz /ngfw/var/common/
admin@firepower:~$ ls -l /ngfw/var/common/
total 928152
1610612928 -rw- 500163689 17:00:13 Aug 22 2025 core.lina.11.13050.1755081050.gz
3.從遠端伺服器下載檔案時,請確保從FTD上的/ngfw/var/common/刪除複製的檔案:
admin@firepower:~$ cd /ngfw/var/common/
admin@firepower:/mnt/disk0/:$ sudo rm core.lina.11.13050.1755081050.gz
firepower # connect module 1 console
Firepower-module1>support diagnostic
======= Diagnostic =======
1. Create default diagnostic archive
2. Manually create diagnostic archive
3. Exit
Please enter your choice: 2
=== Manual Diagnostic ===
1. Add files to package
2. View files in package
3. Complete package
4. Exit.
Please enter your choice: 1
=== Add files to package | Manual Diagnostic ===
1. Platform Logs
2. Config Platform Logs
3. Crash Info files & Core dumps
4. Applications Logs
5. ASA Logs
b. Back to main menu
Please enter your choice: 3
----------sub-dirs----------
lost+found
-----------files------------
2025-08-04 12:43:07 | 419619286 | core.lina.11.13050.1755081050.gz
([b] to go back or [m] for the menu or [s] to select files to add)
Type a sub-dir name to see its contents: s
Type the partial name of the file to add ([*] for all, [<] to cancel)
> core.lina.11.13050.1755081050.gz
core.lina.11.13050.1755081050.gz
Are you sure you want to add these files? (y/n) y
=== Package Contents ===
[Added] core.lina.11.13050.1755081050.gz
========================
----------sub-dirs----------
lost+found
-----------files------------
2025-08-04 12:43:07 | 419619286 | core.lina.11.13050.1755081050.gz
([b] to go back or [m] for the menu or [s] to select files to add)
Type a sub-dir name to see its contents: b
=== Manual Diagnostic ===
1. Add files to package
2. View files in package
3. Complete package
4. Exit.
Please enter your choice: 2
=== Package Contents ===
core.lina.11.13050.1755081050.gz
========================
=== Manual Diagnostic ===
1. Add files to package
2. View files in package
3. Complete package
4. Exit.
Please enter your choice: 3
Creating Manual archive
Added file: core.lina.11.13050.1755081050.gz
Created archive file Firepower-Module1_08_04_2025_13_17_50.tar
Firepower-module1>support fileupload
Please choose from following:
================================
1. Archive Files
2. View selected files
3. Start upload and Exit
4. View transfer Status
Please choose from following:
================================
1. Archive Files
2. View selected files
3. Start upload and Exit
4. View transfer Status
Please enter your choice [x] to Exit:1
-----------files------------
2025-08-04 13:17:50.723396 | 419624960 | Firepower-Module1_08_04_2025_13_17_50.tar
([s] to select files or [x] to Exit):s
Type the partial name of the file to add, [<] to cancel
> Firepower-Module1_08_04_2025_13_17_50.tar
Firepower-Module1_08_04_2025_13_17_50.tar
Are you sure you want to add these files? (y/n) y
=== Package Contents ===
[Added] Firepower-Module1_08_04_2025_13_17_50.tar
========================
Type the partial name of the file to add, [<] to cancel
> <
Please choose from following:
================================
1. Archive Files
2. View selected files
3. Start upload and Exit
4. View transfer Status
Please enter your choice [x] to Exit:2
1 : Firepower-Module1_08_04_2025_13_17_50.tar
Please choose from following:
================================
1. Archive Files
2. View selected files
3. Start upload and Exit
4. View transfer Status
Please enter your choice [x] to Exit:3
Transfer of Firepower-Module1_08_04_2025_13_17_50.tar started.
Firepower-module1>
Firepower-module1>
Firepower-module1> ß Shift + ~
telnet> quit
Connection closed.
firepower /ssa # connect local-mgmt
firepower(local-mgmt)# dir workspace:/bladelog/blade-1/
1 152828400 Aug 04 13:26:35 2025 Firepower-Module1_08_04_2025_13_17_50.tar
firepower# connect local-mgmt
firepower(local-mgmt)# dir workspace:/cores
1 30673335 Mar 06 16:18:58 2022 1646579896_SAM_firepower-1_smConLogger_log.5388.tar.gz
firepower(local-mgmt)# copy workspace:/cores/1646579896_SAM_firepower-1_smConLogger_log.5388.tar.gz ?
ftp: Dest File URI
http: Dest File URI
https: Dest File URI
scp: Dest File URI
sftp: Dest File URI
tftp: Dest File URI
usbdrive: Dest File URI
volatile: Dest File URI
workspace: Dest File URI
2.或者,通過工具 > 故障排除日誌從FCM UI收集檔案。按一下Refresh以更新檔案目錄檢視以及核心檔案旁邊的下載圖示:
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
25-Aug-2025
|
初始版本 |