错误消息：%ASA-4-776201: CTS PAC: CTS PAC for Server IP_address , A-ID PAC issuer name will expire in number days

说明：CTS PAC 接近其到期日期。

建议的操作：获取新 PAC 并将其导入。

错误消息：%ASA-3-776202: CTS PAC for Server IP_address , A-ID PAC issuer name has expired

说明：CTS PAC 已过期。

建议的操作：获取新 PAC 并将其导入。

错误消息：%ASA-3-776203: Unable to retrieve CTS Environment data due to: reason

说明：由于下列原因之一，ASA 无法检索 CTS 环境数据和 SGT 名称表：

• • PAC 已过期
  • PAC data not available（PAC 数据不可用）
  • Error response from ISE（来自 ISE 的错误响应）
  • Unable to retrieve server secret from the PAC（无法从 PAC 检索服务器密钥）
  • 数据库错误
  • Invalid SG info value received（收到无效的 SG 信息值）
  • Unable to add SG tag to database（无法将 SG 标签添加到数据库）
  • Error closing database（关闭数据库时出错）
  • Database update aborted（数据库更新已中止）

建议的操作：如果仍然显示此消息，请联系思科 TAC 寻求帮助。

错误消息：%ASA-3-776204: CTS Environment data has expired

说明：CTS 环境数据和 SGT 名称表已过期，发生未解决的环境数据检索错误后可能会出现此情况。

建议的操作：如果仍然显示此消息，请联系思科 TAC 寻求帮助。

错误消息 %ASA-6-776251: CTS SGT-MAP: Binding binding IP - SGname (SGT ) from source name added to binding manager.

说明：来自指定源的绑定已添加到绑定管理器。

• binding IP - IPv4 或 IPv6 绑定地址。
• SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
• source name - 贡献源的名称。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-776252: CTS SGT-MAP: CTS SGT-MAP: Binding binding IP - SGname (SGT ) from source name deleted from binding manager.

说明：已从绑定管理器删除来自指定源的绑定。

来自指定源的绑定已添加到绑定管理器。

• binding IP - IPv4 或 IPv6 绑定地址。
• SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
• source name - 贡献源的名称。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-776253: CTS SGT-MAP: Binding binding IP - new SGname (SGT ) from new source name changed from old sgt: old SGname (SGT ) from old source old source name .

说明：已在绑定管理器中更改特定 IP 到 SGT 的绑定。

• binding IP - IPv4 或 IPv6 绑定地址。
• new SGname (SGT) - 新的绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
• new source name - 新贡献源的名称。
• old SGname (SGT) - 旧的绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
• old source name - 旧贡献源的名称。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-776254: CTS SGT-MAP: Binding manager unable to action binding binding IP - SGname (SGT ) from source name.

说明：绑定管理器无法插入、删除或更新绑定

• action - 绑定管理器的操作，可以是插入、删除或更新。
• binding IP - IPv4 或 IPv6 绑定地址。
• SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
• source name - 贡献源的名称。

建议的操作：联系思科 TAC 寻求帮助。

错误消息：%ASA-7-776301: CTS Policy: Security-group tag sgt is mapped to security-group name "sgname "

说明：已知策略中引用的安全组标记，并且在安全组表中查找成功。因此，系统会派生出标记名称映射。

• sgt - 在策略中引用的安全组标记
• sgname - 从该表派生的安全组名称映射

建议的操作：无需执行任何操作。

错误消息：%ASA-7-776302: CTS Policy: Unknown security-group tag sgt referenced in policies

说明：策略中引用的安全组标记未知，并且在安全组表中查找失败。但是，仍然可以强制实施引用该标记的策略。

• sgt - 在策略中引用的安全组标记

建议的操作：检查 ISE 中是否存在该安全组标记。如果该标记存在，则将在下一次刷新后成为已知状态。如果 ISE 中不存在该标记，请考虑删除 ASA 上所有相关的策略。

错误消息：%ASA-6-776303: CTS Policy: Security-group name "sgname " is resolved to security-group tag sgt

说明：已解析策略中引用的安全组名称，并且在安全组表中查找成功。因此，从该表派生的标记可用于策略实施。

• sgname - 在策略中引用的安全组名称
• sgt - 从该表派生的安全组标记映射

建议的操作：无需执行任何操作。

错误消息：%ASA-4-776304: CTS Policy: Unresolved security-group name "sgname " referenced, policies based on this name will be inactive

说明：无法将策略中引用的安全组名称解析为标记，并且在安全组表中查找失败。因此，引用该名称的策略处于非活动状态，但仍保留在配置中。

• sgname - 在策略中引用的安全组名称

建议的操作：检查 ISE 中是否存在该安全组名称。如果该名称存在，可刷新该表以便解析该名称并强制实施策略。如果 ISE 中不存在该名称，请考虑删除 ASA 上所有相关的策略。

错误消息：%ASA-4-776305: CTS Policy: Security-group table cleared, all polices referencing security-group names will be deactivated

说明：在 ASA 上清除从 ISE 下载的安全组表并继续强制实施基于安全组标记的策略。不过，基于名称的策略变为非活动状态，但仍然保留在配置中。

建议的操作：刷新 ASA 上的安全组表，以便可以强制实施基于安全组名称的所有策略。

错误消息 %ASA-7-776307: CTS Policy: Security-group name for security-group tag sgt renamed from old_sgname " to "new_sgname "

说明：在 ASA 上新下载的安全组表中，检测到安全组标记的安全组名称已更改；但是策略状态并未发生变化。

• sgt - 在策略中引用的安全组标记
• old_sgname - 旧的安全组名称
• new_sgname - 新的安全组名称

建议的操作：无需执行任何操作。

错误消息：%ASA-7-776308: CTS Policy: Previously unknown security-group tag sgt is now mapped to security-group name "sgname "

说明：在 ASA 上新下载的安全组表中，发现之前未知的安全组标记；但是策略状态并未发生变化。

• sgt - 在策略中引用的安全组标记
• sgname - 从新的安全组表派生的安全组名称

建议的操作：无需执行任何操作。

错误消息：%ASA-5-776309: CTS Policy: Previously known security-group tag sgt is now unknown

说明：在 ASA 上新下载的安全组表中，不再存在之前已知的安全组标记。策略状态没有变化，并且仍然可以强制该实施策略。

• sgt - 在策略中引用的安全组标记

建议的操作：如果新表中不存在该安全组标记，则表示该安全组已从 ISE 中删除。请考虑删除引用该标记的所有策略。

错误消息 %ASA-5-776310: CTS Policy: Security-group name "sgname " remapped from security-group tag old_sgt to new_sgt

说明：在 ASA 上新下载的安全组表中，检测到安全组名称的安全组标记发生变化。系统会更新引用该名称的所有策略以反映新的标记，并基于新标记强制实施策略。

• sgname - 在策略中引用的安全组名称
• old_sgt - 旧的安全组标记
• new_sgt - 新安全组标记

建议的操作：由于标记值发生变化，请确保已配置的策略仍然是准确的。

错误消息 %ASA-6-776311: CTS Policy: Previously unresolved security-group name "sgname " is now resolved to security-group tag sgt

说明：在 ASA 上新下载的安全组表中，之前无法解析的安全组名称已解析为标记，并且新标记可用于强制实施策略。

• sgname - 在策略中引用的安全组名称
• sgt - 从新的安全组表派生的安全组标记

建议的操作：无需执行任何操作。

错误消息：%ASA-4-776312: CTS Policy: Previously resolved security-group name "sgname " is now unresolved, policies based on this name will be deactivated

说明：在 ASA 上新下载的安全组表中，不再存在之前已解析的某个安全组名称。因此，基于此安全组名称的所有策略变为非活动状态，但仍保留在配置中。

• sgname - 在策略中引用的安全组名称

建议的操作：如果新表中不存在该安全组名称，则表示该安全组已从 ISE 中删除。检查 ASA 上的策略配置，考虑删除引用该名称的策略。

错误消息：%ASA-3-776313: CTS Policy: Failure to update policies for security-group "sgname"-sgt

说明：更新策略时遇到错误。策略实施将继续基于旧的标记值且不再准确。

• sgname - 标记值已发生变化的安全组名称
• sgt - 新的安全组标记值

建议的操作：为了反映正确的标记值，请删除引用该安全组名称的所有策略，并重新应用它们。如果错误仍然存在，请联系思科 TAC 寻求帮助。

错误消息 %ASA-6-778001: VXLAN: Invalid VXLAN segment-id segment-id for protocol from ifc-name :(IP-address/port) to ifc-name :(IP-address/port).

说明：ASA尝试为 VXLAN 数据包创建内部连接，但 VXLAN 数据包的网段 ID 无效。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-778002: VXLAN: There is no VNI interface for segment-id segment-id .

说明：解封的入口 VXLAN 数据包将被丢弃，这是因为 VXLAN 报头中的网段 ID 与在 ASA上配置的任何 VNI 接口的网段 ID 均不匹配。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-778003: VXLAN: Invalid VXLAN segment-id segment-id for protocol from ifc-name :(IP-address/port) to ifc-name :(IP-address/port) in FP.

说明：ASA快速路径看到网段 ID 无效的 VXLAN 数据包。

建议的操作：检查 VNI 接口网段 ID 的配置，以查看丢弃的数据包是否包含与任何 VNI 网段 ID 配置均不匹配的 VXLAN 网段 ID。

错误消息 %ASA-6-778004: VXLAN: Invalid VXLAN header for protocol from ifc-name :(IP-address/port) to ifc-name :(IP-address/port) in FP.

说明：ASA VTEP 看到 VXLAN 报头无效的 VXLAN 数据包。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-778005: VXLAN: Packet with VXLAN segment-id segment-id from ifc-name is denied by FP L2 check.

说明：VXLAN 数据包被快速路径 L2 检查拒绝。

建议的操作：检查 VNI 接口网段 ID 的配置，以查看丢弃的数据包是否包含与任何 VNI 网段 ID 配置均不匹配的 VXLAN 网段 ID。检查 STS 表是否包含与已丢弃数据包的网段 ID 匹配的条目。

错误消息 %ASA-6-778006: VXLAN: Invalid VXLAN UDP checksum from ifc-name :(IP-address/port) to ifc-name :(IP-address/port) in FP.

说明：ASA VTEP 收到包含无效 UDP 校验和值的 VXLAN 数据包。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-778007: VXLAN: Packet from ifc-name :IP-address/port to IP-address/port was discarded due to invalid NVE peer.

说明：ASA VTEP 从不同于已配置的 NVE 对等体的 IP 地址收到 VXLAN 数据包。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-779001: STS: Out-tag lookup failed for in-tag segment-id of protocol from ifc-name :IP-address /port to IP-address /port .

说明：ASA尝试为 VXLAN 数据包创建连接，但未能使用 STS 查询表找到 VXLAN 数据包中 in-tag（网段 ID）的 out-tag。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-779002: STS: STS and NAT locate different egress interface for segment-id segment-id , protocol from ifc-name :IP-address /port to IP-address /port

说明：ASA尝试为 VXLAN 数据包创建连接，但 STS 查询表和 NAT 策略找到了不同的出口接口。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-779003: STS: Failed to read tag-switching table - reason

说明：ASA尝试读取标签交换表失败。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-779004: STS: Failed to write tag-switching table - reason

说明：ASA尝试写入标签交换表失败。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-779005: STS: Failed to parse tag-switching request from http - reason

说明：ASA尝试解析 HTTP 请求以了解在标签交换表中执行的操作时失败。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-779006: STS: Failed to save tag-switching table to flash - reason

说明：ASA尝试将标签交换表保存到闪存时失败。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-779007: STS: Failed to replicate tag-switching table to peer - reason

说明：ASA尝试将标签交换表复制到故障切换备用设备或集群从属设备时失败。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-780001: RULE ENGINE: Started compilation for access-group transaction - description of the transaction .

说明：规则引擎已启动访问组事务的编译。事务的说明即访问组本身的命令行输入。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-780002: RULE ENGINE: Finished compilation for access-group transaction - description of the transaction .

说明：规则引擎已完成事务的编译。以访问组为例，事务的说明即访问组本身的命令行输入。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-780003: RULE ENGINE: Started compilation for nat transaction - description of the transaction .

说明：规则引擎已启动 NAT 事务的编译。事务的说明即 nat 命令本身的命令行输入。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-780004: RULE ENGINE: Finished compilation for nat transaction - description of the transaction .

说明：规则引擎已完成 NAT 事务的编译。事务的说明即 nat 命令本身的命令行输入。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-785001: Clustering: Ownership for existing flow from <in_interface>:<src_ip_addr>/<src_port> to <out_interface>:<dest_ip_addr>/<dest_port> moved from unit <old-owner-unit-id> at site <old-site-id> to <new-owner-unit-id> at site <old-site-id> due to <reason>.

说明：当集群在 DC 间环境下将流从一个站点中的一台设备移动到另一个站点中的另一台设备时，将生成此系统日志。原因必须是触发移动的任何内容，例如 LISP 通知。

建议的操作：验证新站点的新设备上的流状态。

错误消息 %ASA-6-803001: bypass is continuing after power up, no protection will be provided by the system for traffic over GigabitEthernet 1/1-1/2

说明：向用户发出表示启动后将继续使用硬件旁路的信息消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-803001: bypass is continuing after power up, no protection will be provided by the system for traffic over GigabitEthernet 1/3-1/4

说明：向用户发出表示启动后将继续使用硬件旁路的信息消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-803002: no protection will be provided by the system for traffic over GigabitEthernet 1/1-1/2

说明：向用户发出表示硬件旁路已手动启用的信息消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-803002: no protection will be provided by the system for traffic over GigabitEthernet 1/3-1/4

说明：向用户发出表示硬件旁路已手动启用的信息消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-803003: User disabled bypass manually on GigabitEthernet 1/1-1/2.

说明：向用户发出表示硬件旁路已手动禁用的信息消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-803003: User disabled bypass manually on GigabitEthernet 1/3-1/4.

说明：向用户发出表示硬件旁路已手动禁用的信息消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-804001: Interface GigabitEthernet1/3 1000BaseSX SFP has been inserted

说明：向用户发出有关在线插入支持的 SFP 模块的信息消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-804002: Interface GigabitEthernet1/3 SFP has been removed

说明：向用户发出有关删除支持的 SFP 模块的信息消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-805001: Flow offloaded: connection conn_id outside_ifc:outside_addr/outside_port (mapped_addr/mapped_port) inside_ifc:inside_addr/inside_port (mapped_addr/mapped_port) Protocol

说明：表示流分流到超快路径。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-805002: Flow is no longer offloaded: connection conn_id outside_ifc:outside_addr/outside_port (mapped_addr/mapped_port) inside_ifc:inside_addr/inside_port (mapped_addr/mapped_port) Protocol

说明：表示对分流到超快路径的流禁用流分流功能。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-805003: Flow is no longer offloaded: connection conn_id outside_ifc:outside_addr/outside_port (mapped_addr/mapped_port) inside_ifc:inside_addr/inside_port (mapped_addr/mapped_port) Protocol

说明：表示无法分流流。例如，由于分流流表中的流条目冲突而无法分流流。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-806001: Primary alarm CPU temperature is High temperature

说明：CPU 已达到超出高温的主要警报温度设置的温度，并启用此类警报。

• temperature - 当前的 CPU 温度（以摄氏度为单位）。

建议的操作：执行以下操作时，联系配置了此警报的管理员。

错误消息 %ASA-6-806002: Primary alarm for CPU high temperature is cleared

说明：CPU 温度下降到高温的主要警报温度设置以下。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-806003: Primary alarm CPU temperature is Low temperature

说明：CPU 已达到低于低温的主要警报温度设置的温度，并启用此类警报。

• temperature - 当前的 CPU 温度（以摄氏度为单位）。

  建议的操作：执行以下操作时，联系配置了此警报的管理员。

错误消息 %ASA-6-806004: Primary alarm for CPU Low temperature is cleared

说明：CPU 温度上升到低温的主要警报温度设置以上。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-806005: Secondary alarm CPU temperature is High temperature

说明：CPU 已达到超出高温的二级警报温度设置的温度，并启用此类警报。

• temperature - 当前的 CPU 温度（以摄氏度为单位）。

建议的操作：执行以下操作时，联系配置了此警报的管理员。

错误消息 %ASA-6-806006: Secondary alarm for CPU high temperature is cleared

说明：CPU 温度下降到高温的二级警报温度设置以下。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-806007: Secondary alarm CPU temperature is Low temperature

说明：CPU 已达到低于低温的二级警报温度设置的温度，并启用此类警报。

• temperature - 当前的 CPU 温度（以摄氏度为单位）。

建议的操作：执行以下操作时，联系配置了此警报的管理员。

错误消息 %ASA-6-806008: Secondary alarm for CPU Low temperature is cleared

说明：CPU 温度上升到低温的二级警报温度设置以上。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-806009: Alarm asserted for ALARM_IN_1 description

说明：警报输入端口 1 已触发。

• 说明 - 用户为此警报输入端口配置的警报说明。

建议的操作：执行以下操作时，联系配置了此警报的管理员。

错误消息 %ASA-6-806010: Alarm cleared for ALARM_IN_1 alarm_1_description

说明：警报输入端口 1 已清除。

• 说明 - 用户为此警报输入端口配置的警报说明。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-806011: Alarm asserted for ALARM_IN_2 description

说明：警报输入端口 2 已触发。

• 说明 - 用户为此警报输入端口配置的警报说明。

建议的操作：执行以下操作时，联系配置了此警报的管理员。

错误消息 %ASA-6-806012: Alarm cleared for ALARM_IN_2 alarm_2_description

说明：警报输入端口 2 已清除。

• 说明 - 用户为此警报输入端口配置的警报说明。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-840001: Failed to create the backup for an IKEv2 session <Local IP>, <Remote IP>

说明：在分布式站点对站点 VPN 的高可用性设置中，当建立 IKEv2 会话或更改集群成员身份时，会尝试创建备份会话。但是，由于容量限制等原因，尝试可能会失败。因此，每当收到创建备份失败的通知时，系统就会在会话所有者的设备上生成此消息。

建议的操作：无。

错误消息 %ASA-3-850001: SNORT ID (<snort-instance-id>/<snort-process-id>) Automatic-Application-Bypass due to delay of <delay>ms (threshold <AAB-threshold>ms) with <connection-info>

说明：由于数据包延时超过 AAB 阈值，触发了 Automatic-Application-Bypass (AAB) 事件。

建议的操作：收集故障排除存档、Snort 核心文件并联系思科 TAC。

错误消息 %ASA-3-850002: SNORT ID (<snort-instance-id>/<snort-process-id>) Automatic-Application-Bypass due to SNORT not responding to traffics for <timeout-delay>ms(threshold <AAB-threshold>ms)

说明：由于 SNORT 在超过 AAB 阈值的一段时间内对流量无响应，触发了 Automatic-Application-Bypass (AAB) 事件。

建议的操作：收集故障排除存档、Snort 核心文件并联系思科 TAC。

错误消息 %ASA-6-8300001: VPN session redistribution <variable 1>

说明：这些事件通知管理员与“cluster redistribute vpn-sessiondb”相关的操作已启动或已完成。其中，

• <variable 1> - 操作：已启动或已完成

建议的操作：无。

错误消息 %ASA-6-8300002: Moved <variable 1> sessions to <variable 2>

说明：提供有关将多少个活动会话移动到了集群的另一个成员的详细信息。

• <variable 1> - 移动的活动会话数量（可以少于请求的数量）

• <variable 2> - 会话移动至的集群成员的名称

建议的操作：无。

错误消息 %ASA-3-8300003: Failed to send session redistribution message to <variable 1>

说明：向另一个集群成员发送请求时出错。这可能是由于内部错误或消息所发往的集群成员不可用导致的。

• <variable 1> - 消息所发往的集群成员的名称

建议的操作：如果此消息仍然显示，请联系客户支持部门。

错误消息 %ASA-6-8300004: <variable 1> request to move <variable 2> sessions from <variable 3> to <variable 4>

说明：当集群成员收到来自主设备的请求将特定数量的活动会话移动到该集群中的另一个成员时，将显示此事件。

• <variable 1> - 操作：已接收，已发送

• <variable 2> - 要移动的活动会话的数量

• <variable 3> - 接收移动会话请求的集群成员的名称

• <variable 4> - 接收活动会话的集群成员的名称

建议的操作：无。

错误消息 %ASA-3-8300005: Failed to receive session move response from <variable 1>

说明：集群主设备已请求某个集群成员将活动会话移动至另一个成员。如果主设备在定义的时间段内未收到对此请求的响应，则会显示此事件并终止重新分发进程。

• <variable 1> - 在超时期限内未能发送移动响应的集群成员的名称

建议的操作：重新发出“cluster redistribute vpn-sessiondb”，如果问题仍然存在，请联系支持部门。

错误消息 %ASA-5-8300006: Cluster topology change detected. 已终止 VPN 会话重新分发。

说明：VPN 会话重新分发移动计算基于此过程开始时的活动集群成员数。如果集群成员在此过程中加入或离开，主设备将终止会话的重新分发。

建议的操作：当所有成员加入或离开集群时重试此操作。