Firepower Threat Defense(FTD)ポリシーの導入のトラブルシューティング

はじめに

このドキュメントでは、FTDでのポリシー導入プロセスの概要と、基本的なトラブルシューティングテクニックについて説明します。 

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Firewall Management Center (FMC)
• Firepower Threat Defense (FTD)

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

FTD( Cisco Firepower Threat Defense Stateful Firewall)では、 Adaptive Security Appliances (ASA)が提供する従来のステートフルファイアウォール機能と、 Next-Gen ファイアウォール機能( Snort を使用)が1つの製品に統合されています。

この変更により、FTDの Policy Deployment Infrastructure では、ASAコード（LINAとも呼ばれる）の両方の設定変更が1つのバンドル Snort で処理されます。 

ポリシー導入の概要

Cisco FTDでは、 Policy Deployments を使用して、自身が登録しているデバイスの設定を管理し、 Firewall Management Center (FMC)にプッシュします。

導入環境内には、一連の手順が「フェーズ」に分かれています。

FMCの各フェーズの概要を次に示します。

フェーズ 0	導入の初期化
フェーズ 1	Databaseオブジェクトのコレクション
フェーズ 2	ポリシーとオブジェクトの収集
フェーズ 3	NGFWコマンドライン設定の生成
フェーズ 4	デバイス導入パッケージの生成
フェーズ 5	展開パッケージを送受信する
フェーズ 6	保留中のデプロイ、デプロイ・アクションおよびデプロイ成功メッセージ

プロセスの各フェーズおよび各フェーズで発生する障害の場所を把握することは、シス Firepower テムで発生する障害のトラブルシューティングに役立ちます。

状況によっては、以前の設定による競合や、 Advanced Flex Configuration にキーワードがないためにデバイスレポートで対処できない障害が発生する可能性がある場合があります。

例の概要

ステップ 1： Deploymentをクリックします。これにより、選択するデバイスが指定されます。

ステップ 2：デバイスの導入がコミットされると、FMCはデバイスに関連するすべての設定の収集を開始します。 

ステップ 3：設定が収集されると、FMCによってパッケージが作成され、SFTunnelという通信メカニズムを介してセンサーに送信されます。

ステップ 4：FMCは、個別の応答をリッスンする間、指定されたポリシーを使用して展開プロセスを開始するようにセンサーに通知します。

ステップ 5：管理対象デバイスがアーカイブを解凍し、個々の構成とパッケージの適用を開始します。

A.導入の前半は、設 Snort 定の有効性を確認するために設 Snort 定をローカルでテストする設定です。

有効であることが確認されると、新しい設定は Snortの実稼働ディレクトリに移動されます。検証が失敗すると、このステップでポリシーの導入が失敗します。

B.展開パッケージの負荷の後半はLINA設定に関するもので、ngfwManagerプロセスによってLINAプロセスに直接適用されます。

障害が発生すると、変更がロールバックされ、ポリシーの導入が失敗します。

手順 6： Snort とLINAの両方のパッケージが正常に実行されると、管理対象デバイスは、新しい設定 Snort をロードして現在の設定をすべて保存するために、再起動またはリロードを通知します。

手順 7：すべてのメッセージが成功した場合、センサーは成功メッセージを送信し、Management Centerによって確認されるまで待機します。

ステップ 8：受信後、FMCはタスクを成功としてマークし、ポリシーバンドルの完了を許可します。

トラブルシューティング

Policy Deployment の実行中に発生した問題には、次のようなものがあります。

1. 誤設定
2. FMCとFTD間の通信
3. データベースとシステムの状態
4. ソフトウェアの不具合と警告
5. その他の特殊な状況

この種の問題には簡単に修正できるものもあれば、シスコの Technical Assistance Center (TAC)による支援が必要なものもあります。

このセクションの目標は、問題を切り分けたり、根本原因を特定したりする手法を提供することです。 

FMCグラフィカルユーザインターフェイス(GUI) 

シスコでは、各トラブルシューティングセッションを開始して、FMCアプライアンスで展開の失敗を確認することをお勧めします。

障害通知ウィンドウでは、6.2.3以降のすべてのバージョンで、他の可能性のある障害に役立つ追加のツールがあります。 

導入トランスクリプトの利用

ステップ 1：FMC Web UIでリス Deployments トをプルアップします。

ステップ 2：タ Deployments ブが選択されている状態で、 Show Historyをクリックします。




ステップ 3：この Deployment History ボックス内で、FMCからのすべての以前の展開を確認できます。より多くのデータを表示する展開を選択します。


ステップ 4：導入要素を選択すると、 Deployment Details 選択によって Transaction内のすべてのデバイスのリストが表示されます。これらのエントリは、 Device Number, Device Name, Status,および Transcriptのカラムに分類されます。








ステップ 5：問題のデバイスを選択し、トランスクリプトのオプションをクリックすると、個々の導入トランスクリプトが表示されます。このトランスクリプトは、管理対象デバイスに設定されている障害や設定を通知します。





手順 6：この記録は、特定の障害状態を示すとともに、次のステップで非常に重要な番号を示します。 Transaction ID







手順 7： Firepower Deploymentでは、 Transaction ID を使用して、ポリシー展開の個々のセクションを追跡できます。これにより、デバイスのコマンドラインで、修復と分析のためにこのデータのより詳細なバージョンを取得できます。



ヒント：トランザクションIDを見つけられない場合、またはこの印刷が行われる前のバージョンを使用している場合は、このログを使用して個々の障害メッセージを見つけることができます。

FMCログを使用したトラブルシューティング

Cisco TACにログの分析を依頼することは適切ですが、ログを検索することで、初期の問題の切り分けと迅速な解決を支援できます。FMCには、ポリシー導入プロセスの詳細を示す複数のログファイルがあります。

最も一般的に参照される2つのログは、 policy_deployment.log および usmsharedsvcs.logです。

このドキュメントで説明したすべてのファイルは、 more、 less 、 viなどの複数のLinuxコマンドで表示できます。ただし、アクションのみが実行されるようにすることが非常に重要 read です。すべてのファイルを表示するには、ルートアクセスが必要です。

/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

このログには、FMCのポリシー導入タスクの開始と各フェーズの完了が明確にマークされます。これにより、導入が失敗したフェーズを失敗コードとともに特定できます。

ログのJSON部分に含まれている transactionID 値を使用して、特定の導入試行に関連するログエントリを検索できます。

10-May-2024 18:05:31.249,[INFO],(JsonRESTServerResource.java:111)
com.cisco.nm.vms.api.rest.DeploymentServerResource, ajp-nio-127.0.0.1-9009-exec-3
** REST Request [ DC ]
** ID : e45c6abd-0fff-4341-bdad-ddd5fee10034
** URL: POST https://localhost6/csm/api/deploy/GetTranscript
{
"data": {},
"deviceUUID": "49243dac-0ba7-11ef-af54-a592d78081a7",
"jobID": 34359753974,
"offset": {
"size": 20,
"start": 0
},
"requestID": "e3be908a0ef711ef9d519da21f9032fa",
"version": "7.2.5"
} 

/var/log/sf/policy_deployment.log

このログファイルは6.4以降の6.xリリース全体に存在していましたが、その範囲は拡大されました。

ここでは、導入パッケージを構築するためにFMCで実行される詳細な手順について説明します。したがって、フェーズ1 ～ 4の障害の分析に使用するのが最適です。

各フェーズの開始は、 INFO start .

May 8 02:00:58 RTP-vFMC-Pod-09 ActionQueueScrape.pl[10413]: > SF::UMPD::CSMData::getPolicyRollbackInfo start (161.32M)
May 8 02:00:58 RTP-vFMC-Pod-09 ActionQueueScrape.pl[10413]: < SF::UMPD::CSMData::getPolicyRollbackInfo end (161.32M, 0.012(sec))
...

管理対象デバイスのトラブルシューティング

追加のフェーズとセクションは、デバイスパッケージ、ハイアベイラビリティ設定、および各管理対象デバイスの以前のフェーズの結果によって異なります。

導入の問題が管理対象デバイスの障害から切り離された場合は、デバイスにpolicy_deployment.logとngfwManager.logの2つのログを記録して、デバイスでさらにトラブルシューティングを実行できます。

/ngfw/var/log/ngfwManager.log

このログファイルには、 Config Communication Manager および Config Dispatcher によって実行されるFMCとの通信、展開パッケージの使用、SnortおよびLINA設定の検証および適用のオーケストレーションのための詳細な手順が記載されています。

次に、主要なフェーズの開始を示すngfwManager.logの例をいくつか示します。

FTD receives FMC's request for running configuration: May 30 16:37:10 ccm[4293] Thread-10: INFO com.cisco.ccm.ConfigCommunicationManager- Passing CD-Message-Request to Config Dispatcher... May 30 16:37:10 ccm[4293] Thread-10: DEBUG com.cisco.ccm.ConfigCommunicationManager- <?xml version="1.0" encoding="UTF-8"?><cdMessagesList><timeStamp>1559234230012</timeStamp><cdMessage><name>LinaShowCommand</name><messageId>-753133537443151390</messageId><contentType>XML</contentType><msgContent><![CDATA[<?xml version="1.0" encoding="UTF-8"?><message><name>LinaShowCommand</name>... FTD receives FMC's request to download the deployment package: May 30 16:37:18 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Downloading database (transaction 8589938211, version 1559234236) May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- handle record: 8589938211, status = PENDING May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- begin downloading database FTD begins the deployment of policy changes: May 30 16:37:21 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Starting deployment May 30 16:37:21 ccm[4293] Thread-11: INFO com.cisco.ccm.ConfigCommunicationManager- Sending message: DEPLOYMENT_STATUS_CCM to Manager FTD begins LINA deployment: May 30 16:37:42 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Trying to send Start-Config-Sequencerequest to lina FTD begins finalizing the deployment: May 30 16:38:48 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Clustering Message sent out of ConfigDispatcher: Name:Cluster-App-Conf-Finalize-Request 

/ngfw/var/log/sf/policy_deployment.log

このログには、 Snortに適用されたポリシーの詳細が含まれています。ログの内容はほとんど高度で、TACによる分析が必要ですが、いくつかの重要なエントリを使用してプロセスをトレースすることもできます。

Config Dispatcher begins extracting the packaged policies for validation: Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::exportDeviceSnapshotToSandbox (Plugin 230 <- Framework 611 <- Transaction 1085) Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO found NGFWPolicy => (NGFWPolicy::Util 32 <- NGFWPolicy::Device 43 <- Plugin 235) ... Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO export FTD platform settings... (PlatformSettings::FTD::Device 29 <- Plugin 235<339 <- PlatformSettings::Device 13) Config validation begins: Jul 18 17:21:37 firepower policy_apply.pl[25122]: INFO starting validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files (memory = 229.99 MB) (Framework 3950<687 <- Transaction 1101 <- main 194) Validation has completed successfully: Jul 18 17:21:49 firepower policy_apply.pl[25122]: INFO validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files took 12 (memory = 238.50 MB, change = 8.51 MB) (Framework 3976<724 <- Transaction 1101 <- main 194) Config Dispatcher begins moving the validated configuration to the Snort directories in production: Jul 18 17:21:54 firepower policy_apply.pl[26571]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::publishExportedFiles (Plugin 230 <- Framework 822 <- Transaction 1662) Snort processes will reload to apply the new configurations: Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO Reconfiguring DE a3bcd340-992f-11e9-a1f1-ac829f31a4f9... (Snort::SnortNotifications 292<154 <- Snort::Device 343 <- Plugin 235) Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO sending SnortReload to a3bcd340-992f-11e9-a1f1-ac829f31a4f9 (Snort::SnortNotifications 298<154 <- Snort::Device 343 <- Plugin 235) Snort reload has completed successfully: Jul 18 17:22:14 firepower policy_apply.pl[26571]: INFO notifyProcesses - sandbox = /var/cisco/deploy/sandbox/exported-files took 16 (memory = 169.52 MB, change = 16.95 MB) (Framework 3976<964 <- Transaction 1680 <- main 200) After LINA config apply finishes, Snort deployment is finalized: Jul 18 17:23:32 firepower policy_apply.pl[26913]: INFO starting finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox (memory = 101.14 MB) (Framework 3950<980 <- Transaction 1740 <- main 206)

例

ステップ 1：導入が失敗する

ステップ 2： Deploy Transcript および Transaction IDを入手します。

ステップ 3：FMCに示すように、 Management Center にSSH接続し、Linuxユーティリティ less を使用してファイルを読み取ります。

例：sudo less /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log（sudo passwordはsshのユーザパスワードです）

ステップ 4： lessを使用しているときに、スラッシュを使用してメッセージIDを入力し、導入transactionIDに関連するログを検索します。 

例：/60129547881(inの間less、nを使用して次の結果に移動します)

メッセージ実行例

エラーメッセージの例

5)適切な障害を、「一般的な障害メッセージ」の添付テーブルと比較します。

 つまり、failed_to_retrieve_running_configurationは、2つのデバイス間の通信エラー中に発生します。 

一般的なエラーメッセージ

Management Center Task のフロントエンドには一般的なエラーメッセージが表示され、バックエンドにはエラーコードが表示されます。

これらのメッセージは、分析して、考えられる解決策の一般的な理由と比較できます。

これらの情報が表示されない場合、または状況が解決しない場合は、TACにお問い合わせください。 

0.----------------------------------------------------------------------------------------

関連情報