Download dei file da FMC e FTD

Introduzione

In questo documento viene descritto come scaricare i file di log da Cisco Firepower Management Center (FMC) e Firepower Threat Defense (FTD) in un computer locale.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Dispositivo Cisco Firepower 
• Modelli di dispositivi virtuali

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Copia file

Copia file da FTD a FMC

Poiché sul FMC è presente un server SCP (Secure Copy Protocol), i file possono essere spostati da FTD a FMC.

root@FMC:~$ scp admin@<FTD ip>:<path to file> <path to local directory where to store>

 Un esempio comune è lo spostamento dei file core da FTD a FMC.

Nell'FTD:

root@ciscoasa:/ngfw/var/common# ls -l
total 1557960
-rw-r--r-- 1 root root 23231 Sep 6 03:43 core_1482327396_Firepower-module1_snort_6
-rw------- 1 root root 560128000 Apr 26 01:47 core_1556242979_ciscoasa_snort_6.8777
-rw------- 1 root root 383381504 Aug 25 23:05 core_1566774281_ciscoasa_snort_11.31618
-rw------- 1 root root 69562368 Aug 25 23:05 core_1566774281_ciscoasa_snort_11.31620
-rw------- 1 root root 465424384 Aug 28 02:21 core_1566958444_ciscoasa_snort_6.18352
-rw------- 1 root root 116887552 Aug 28 02:18 core_1566958688_ciscoasa_snort_6.18340
-rw------- 1 root root 52338688 Aug 28 02:18 core_1566958689_ciscoasa_snort_6.18341
-rw------- 1 root root 465514496 Sep 2 02:20 core_1567390346_ciscoasa_snort_6.27631
-rw------- 1 root root 151572480 Sep 2 02:17 core_1567390618_ciscoasa_snort_6.27435

   A questo punto, trasferire il file al CCP:

root@FMC:/Volume/home/admin# scp admin@10.10.10.10:/ngfw/var/common/core_1567390618_ciscoasa_snort_6.27435 /var/common/

Nota: aggiungere -v per la registrazione dettagliata sul comando scp per risolvere ulteriormente il problema.

Copia file da FMC a computer locale

Utilizzare SCP per copiare

In FMC è disponibile un server SCP (Secure Copy Protocol) che utilizza i file che possono essere spostati da FMC a un altro dispositivo.

root@FMC:~$ scp  <path to local directory where to store>  admin@<FMC ip>:<path to file>

Una pratica comune consiste nello spostare i file di base dal FMC al desktop locale:

root@localMachine:/Volume/home/admin# scp admin@10.10.10.20:/var/common/core_1567390618_ciscoasa_snort_6.27435 /var/tmp/

WInSCP è uno strumento molto diffuso in Windows. Questo strumento fornisce un'interfaccia basata su GUI.

In FMC 6.4 and above, SCP to the FMC is not possible directly. For that, the following is needed(the below is intended for user: admin):
root@FMC:/Volume/home/admin# usermod --shell /bin/bash admin

After this SCP to the FMC will work. Once done, please remeber to rollback(prior to closing the session) else admin login can have issues:

root@FMC:/Volume/home/admin# usermod --shell /usr/bin/clish admin

Scarica dalla GUI

I file presenti in /var/common possono essere scaricati dalla GUI.

If there are any file(s) and/or tcpdump generated on the FMC, please move to /var/common, so that it can be downloaded from the GUI.

Passaggio 1. Passare a Sistema > Integrità > Monitor e fare clic sul sensore da cui deve essere scaricato il file, come mostrato nell'immagine:

Passaggio 2. Selezionare System > Health > Monitor e fare clic su Advanced Troubleshooting, come mostrato nell'immagine:

Passaggio 3. Immettere il nome del file e fare clic su download, come mostrato nell'immagine: