错误消息 %ASA-5-500001: ActiveX content in java script is modified: src src ip dest dest ip on interface interface name

说明：在 ASA中启用策略（过滤 Java（或）过滤 ActiveX）时，请确保阻止 Java 脚本中出现 Java/ActiveX 内容。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-500002: Java content in java script is modified: src src ip dest dest ip on interface interface name

说明：在 ASA中启用策略（过滤 Java（或）过滤 ActiveX）时，请确保阻止 Java 脚本中出现 Java/ActiveX 内容。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-500003: Bad TCP hdr length (hdrlen=bytes , pktlen=bytes ) from source_address /source_port to dest_address /dest_port , flags: tcp_flags , on interface interface_name

说明：TCP 中的报头长度不正确。某些操作系统在响应指向已禁用套接字的连接请求时无法正确处理 TCP 重置 (RST)。如果客户端尝试连接到 ASA外部的 FTP 服务器，而 FTP 服务器并未侦听，系统将发送 RST。某些操作系统发送的 TCP 报头长度不正确，就会导致此问题。UDP 使用 ICMP 端口不可达消息。

TCP 报头长度可能表明它大于数据包长度，这会导致传输负数字节。消息中的负数显示为无符号数，使字节数看起来比正常情况大得多；例如，系统可能显示在 1 秒内传输了 4 GB 数据。此消息通常很少出现。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-500004: Invalid transport field for protocol=protocol , from source_address /source_port to dest_address /dest_port

说明：使用了无效的传输编号，其中协议的源端口或目的端口号为零。TCP 的 protocol 值为 6，而 UDP 的为 17。

建议的操作：如果这些消息仍然存在，请与对等体管理员联系。

错误消息 %ASA-3-500005: connection terminated for protocol from in_ifc_name :src_adddress /src_port to out_ifc_name :dest_address /dest_port due to invalid combination of inspections on same flow. Inspect inspect_name is not compatible with filter filter_name .

说明：连接与不允许用于该连接的单项或多项检测和/或单个或多个过滤器功能匹配。

• protocol - 连接使用的协议
• in_ifc_name - 输入接口名称
• src_address - 连接的源 IP 地址
• src_port - 连接的源端口
• out_ifc_name - 输出接口名称
• dest_address - 连接的目的 IP 地址
• dest_port - 数据包的目的端口
• inspect_name - 检测或过滤器功能名称
• filter_name - 过滤器功能名称

建议的操作：查看 class-map、policy-map、service-policy 和/或 filter 命令配置，这些配置导致引用的检测和/或过滤器功能与连接匹配。连接的检测和过滤器功能组合规则如下所示：

• • inspect http [http-policy-map] 和/或 filter url 和/或 filter java 和/或 filter activex 命令有效。
  • inspect ftp [ftp-policy-map] 和/或 filter ftp 命令有效。
  • 包含任何其他 inspect 命令或 filter 命令的 filter https 命令均无效。

除了所列组合，任何其他检测和/或过滤器功能组合均无效。

错误消息 %ASA-5-501101: User transitioning priv level

说明：命令的权限级别已更改。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-502101: New user added to local dbase: Uname: user Priv: privilege_level Encpass: string

说明：系统创建了新的用户名记录，其中包括用户名、权限级别和加密密码。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-502102: User deleted from local dbase: Uname: user Priv: privilege_level Encpass: string

说明：用户名记录已删除，其中包括用户名、权限级别和加密密码。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-502103: User priv level changed: Uname: user From: privilege_level To: privilege_level

说明：用户权限级别已更改。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-502111: New group policy added: name: policy_name Type: policy_type

说明：使用 group-policy CLI 命令配置了组策略。

• policy_name - 组策略名称
• policy_type - 内部或外部

建议的操作：无需执行任何操作。

错误消息 %ASA-5-502112: Group policy deleted: name: policy_name Type: policy_type

说明：已使用 group-policy CLI 命令删除组策略。

• policy_name - 组策略名称
• policy_type - 内部或外部

建议的操作：无需执行任何操作。

错误消息 %ASA-5-503001: Process number, Nbr IP_address on interface_name from string to string , reason

说明：一个 OSPFv2 邻居已更改状态。此消息说明具体更改及其原因。只有为 OSPF 进程配置了 log-adjacency-changes 命令后，系统才会显示此消息。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

错误消息 %ASA-5-503002: The last key has expired for interface nameif, packets sent using last valid key.

说明：任何安全关联的生命周期都不包含当前系统时间。

建议的操作：配置新的安全关联或更改当前安全关联的生命周期。

错误消息 %ASA-5-503003: Packet sent | received on interface nameif with expired Key ID key-id.

说明：接口上配置的密钥 ID 已过期。

建议的操作：配置新密钥。

错误消息 %ASA-5-503004: Key ID key-id in key chain key-chain-name does not have a key.

说明：OSPF 已配置为使用加密身份验证，但尚未配置密钥或密码。

建议的操作：配置新的安全关联或更改当前安全关联的生命周期。

错误消息 %ASA-5-503005: Key ID key-id in key chain key-chain-name does not have a cryptographic algorithm.

说明：OSPF 已配置为使用密码身份验证，但尚未配置算法。

建议的操作：为安全关联配置密码算法。

错误消息 %ASA-5-503101: Process d , Nbr i on s from s to s , s

说明：一个 OSPFv3 邻居已更改状态。此消息说明具体更改及其原因。只有为 OSPF 进程配置了 log-adjacency-changes 命令后，系统才会显示此消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-504001: Security context context_name was added to the system

说明：安全情景已成功添加至 ASA。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-504002: Security context context_name was removed from the system

说明：安全情景已从 ASA中成功删除。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505001: Module string one is shutting down. 请稍候...

说明：正在关闭模块。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505002: Module ips is reloading. 请稍候...

说明：系统正在重新加载 IPS 模块。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505003: Module string one is resetting. 请稍候...

说明：系统正在重置模块。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505004: Module string one shutdown is complete.

说明：模块已关闭。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505005: Module module_name is initializing control communication. 请稍候...

说明：系统检测到一个模块，ASA正在初始化与其通信的控制通道。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505006: Module string one is Up.

说明：模块已完成控制通道初始化，现在处于打开状态。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505007: Module module_id is recovering. 请稍候...

错误消息 %ASA-5-505007: Module prod_id in slot slot_num is recovering. 请稍候...

说明：正在使用 sw-module module service-module-name recover boot 命令恢复软件模块，或使用 hw-module module slotnum recover boot 命令恢复硬件模块。

• module_id - 软件服务模块的名称。
• prod_id - 产品 ID 字符串。
• slot_num - 安装硬件服务模块的插槽。插槽 0 表示系统主板，插槽 1 表示扩展槽中安装的模块。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505008: Module module_id software is being updated to newver (currently ver )

错误消息 %ASA-5-505008: Module module_id in slot slot_num software is being updated to newver (currently ver )

说明：服务模块软件正在升级。更新正常进行。

• module_id - 软件服务模块的名称
• slot_num - 包含硬件服务模块的插槽号
• >newver - 未成功写入模块的软件的新版本号（例如，1.0(1)0）
• >ver - 模块上软件的当前版本号（例如，1.0(1)0）

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505009: Module string one software was updated to newver

说明：4GE SSM 模块软件已成功升级。

• string one - 指定模块的文本字符串
• newver - 未成功写入模块的软件新版本号（例如，1.0(1)0）
• ver - 模块上软件的当前版本号（例如，1.0(1)0）

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505010: Module in slot slot removed.

说明：已从 ASA机箱中移除 SSM。

• slot - 移除了此 SSM 的插槽

建议的操作：无需执行任何操作。

错误消息 %ASA-1-505011: Module ips , data channel communication is UP.

说明：数据通道通信已从关闭状态恢复。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-505012: Module module_id , application stopped application , version version

错误消息 %ASA-5-505012: Module prod_id in slot slot_num , application stopped application , version version

说明：应用已停止或已从服务模块中删除。当服务模块升级应用或服务模块上的应用已停止或已卸载时，可能出现这种情况。

• module_id - 软件服务模块的名称
• prod_id - 硬件服务模块中已安装设备的产品 ID 字符串
• slot_num - 应用已停止的插槽
• application - 已停止的应用名称
• Version - 已停止的应用版本

建议的操作：如果 4GE SSM 未升级，或未有意停止或卸载应用，请查看 4GE SSM 日志以确定应用停止的原因。

错误消息 %ASA-5-505013: Module module_id application changed from: application version version to: newapplication version newversion .

错误消息 %ASA-5-505013: Module prod_id in slot slot_nunm application changed from: application version version to: newapplication version newversion .

说明：应用版本已更改（例如，在升级后）。服务模块上的应用已完成软件更新。

• module_id - 软件服务模块的名称
• application - 已升级应用的名称
• version - 已升级应用的版本
• prod_id - 硬件服务模块中已安装设备的产品 ID 字符串
• slot_num - 应用已升级的插槽
• application - 已升级应用的名称
• version - 已升级应用的版本
• newapplication - 新应用名称
• newversion - 新应用版本

建议的操作：验证升级是否为预期操作，以及新版本是否正确。

错误消息 %ASA-1-505014: Module module_id , application down name , version version reason

错误消息 %ASA-1-505014: Module prod_id in slot slot_num , application down name , version version reason

说明：模块上运行的应用已禁用。

• module_id - 软件服务模块的名称
• prod_id - 硬件服务模块中已安装设备的产品 ID 字符串
• slot_num - 应用已禁用的插槽。插槽 0 表示系统主板，插槽 1 表示扩展槽中安装的模块。
• name - 应用名称（字符串）
• application - 已升级应用的名称
• version - 应用版本（字符串）
• reason - 故障原因（字符串）

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-1-505015: Module module_id , application up application , version version

错误消息 %ASA-1-505015: Module prod_id in slot slot_num , application up application , version version

说明：在插槽 slot_num 中的 SSM 上运行的应用已打开并运行。

• module_id - 软件服务模块的名称
• prod_id - 硬件服务模块中已安装设备的产品 ID 字符串
• slot_num - 正在运行应用的插槽。插槽 0 表示系统主板，插槽 1 表示扩展槽中安装的模块。
• application - 应用名称（字符串）
• version - 应用版本（字符串）

建议的操作：无需执行任何操作。

错误消息 %ASA-3-505016: Module module_id application changed from: name version version state state to: name version state state .

错误消息 %ASA-3-505016: Module prod_id in slot slot_num application changed from: name version version state state to: name version state state .

说明：系统检测到应用版本或名称已更改。

• module_id - 软件服务模块的名称
• prod_id - 硬件服务模块中已安装设备的产品 ID 字符串
• slot_num - 应用已更改的插槽。插槽 0 表示系统主板，插槽 1 表示扩展槽中安装的模块。
• name - 应用名称（字符串）
• version - 应用版本（字符串）
• state - 应用状态（字符串）
• application - 已更改应用的名称。

建议的操作：验证更改是否为预期操作，以及新版本是否正确。

错误消息 %ASA-5-506001: event_source_string event_string

说明：文件系统状态已更改。系统将显示导致文件系统变为可用或不可用的事件或事件原因。可能导致文件系统状态更改的原因和事件示例如下所示：

• 外部 CompactFlash 已删除
• 外部 CompactFlash 已插入
• 外部 CompactFlash 未知事件

建议的操作：无需执行任何操作。

错误消息 %ASA-5-507001: Terminating TCP-Proxy connection from interface_inside:source_address/source_port to interface_outside :dest_address /dest_port - reassembly limit of limit bytes exceeded

说明：在 TCP 数据分段重组过程中超出了组件缓冲区限制。

• source_address/source_port - 发起连接的数据包的源 IP 地址和源端口
• dest_address/dest_port - 发起连接的数据包的目的 IP 地址和目的端口
• interface_inside - 发起连接的数据包到达的接口的名称
• Interface_outside - 发起连接的数据包退出的接口的名称
• limit - 为该流量类别配置的初期连接限制

建议的操作：无需执行任何操作。

错误消息 %ASA-4-507002: Data copy in proxy-mode exceeded the buffer limit

说明：处理分段 TCP 消息期间发生操作错误。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-507003: The flow of type protocol from the originating interface: src_ip /src_port to dest_if :dest_ip /dest_port terminated by inspection engine, reason-

说明：出于消息中提供的各种原因，TCP 代理服务器或会话 API 终止连接。

• protocol - 流协议
• src_ip - 流的源 IP 地址
• src_port - 流的源端口名称
• dest_if - 流的目的接口
• dst_ip - 流的目的 IP 地址
• dest_port - 流的目的端口
• reason - 检测引擎终止流的原因说明。有效的原因包括：

- Failed to create flow（无法创建流）

- Failed to initialize session API（无法初始化会话 API）

- Filter rules installed/matched are incompatible（安装/匹配的过滤器规则不兼容）

- Failed to consolidate new buffer data with original（无法将新缓冲区数据与原始缓冲区整合）

- Reset unconditionally（无条件重置）

- Reset based on “service reset inbound” configuration（基于“服务重置入站”配置重置）

- Disconnected, dropped packet（已断开连接、已丢弃数据包）

- Packet length changed（已更改数据包长度）

- Reset reflected back to sender（重置反射回发件人）

- Proxy inspector reset unconditionally（无条件重置代理检测器）

- Proxy inspector drop reset（代理检测器丢弃重置）

- Proxy inspector received data after FIN（代理检测器在 FIN 之后接收到数据）

- Proxy inspector disconnected, dropped packet（代理检测器已断开连接、已丢弃数据包）

- Inspector reset unconditionally（无条件重置检测器）

- Inspector drop reset（检测器丢弃重置）

- Inspector received data after FIN（检测器在 FIN 之后接收到数据）

- Inspector disconnected, dropped packet（检测器已断开连接、已丢弃数据包）

- Could not buffer unprocessed data（无法缓冲未处理的数据）

- Session API proxy forward failed（会话 API 代理转发失败）

- Conversion of inspect data to session data failed（将检测数据转换为会话数据失败）

- SSL channel for TLS proxy is closed（TLS 代理的 SSL 通道已关闭）

建议的操作：无需执行任何操作。

错误消息：%ASA-5-508001: DCERPC message_type non-standard version_type version version_number from src_if :src_ip /src_port to dest_if :dest_ip /dest_port , terminating connection.

说明：在 DCERPC 检测期间，消息报头包含了非标准主要或次要版本。

• message_type - DCERPC 消息类型
• version_type - 版本类型，可能是主要版本或次要版本
• version_number - 消息报头中的非标准版本

建议的操作：如果此版本是有效版本，并且问题仍然存在，请联系思科 TAC。

错误消息：%ASA-5-508002: DCERPC response has low endpoint port port_number from src_if :src_ip /src_port to dest_if :dest_ip /dest_port , terminating connection.

说明：在 DCERPC 检测期间，响应消息包含了小于 1024（已知服务器端口范围内）的终端端口号。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-509001: Connection attempt from src_intf :src_ip /src_port [([idfw_user | FQDN_string ], sg_info )] to dst_intf :dst_ip /dst_port [([idfw_user | FQDN_string ], sg_info )] was prevented by "no forward" command.

说明：已输入 no forward interface 命令以阻止从消息中的给定源接口通往目的接口的流量。低端平台上需要通过此命令允许创建超过许可限制的接口。

• src_intf - 应用 no forward interface 命令限制的源接口名称
• Dst_intf - 应用 no forward interface 命令限制的目的接口名称
• sg_info - 安全组名称或特定 IP 地址标记

建议的操作：升级许可证，在低端平台上消除此命令要求，然后从配置中删除该命令。

错误消息 %ASA-3-520001: error_string

说明： ID 管理器中发生 malloc 故障。错误字符串可能是以下任一项：

• Malloc failure—id_reserve
• Malloc failure—id_get

建议的操作：联系思科 TAC。

错误消息 %ASA-3-520002: bad new ID table size

说明：ID 管理器发生了错误新表请求。

建议的操作：联系思科 TAC。

错误消息 %ASA-3-520003: bad id in error_string (id: 0xid_num)

说明：发生 ID 管理器错误。错误字符串可能是以下任何一项：

• id_create_new_table（不允许更多条目）
• id_destroy_table（错误表 ID）
• id_reserve
• Id_reserve（错误 ID）
• id_reserve：ID 超出范围
• id_reserve（未分配的表 ID）
• id_get（错误表 ID）
• id_get（未分配的表 ID）
• id_get（ID 不足！）
• id_to_ptr
• id_to_ptr（错误 ID）
• id_to_pt（错误表 ID）
• id_get_next_id_ptr（错误表 ID）
• id_delete
• id_delete（错误 ID）
• id_delete（错误表密钥）

建议的操作：联系思科 TAC。

错误消息 %ASA-3-520004: error_string

说明：尝试在中断级别执行 id_get。

建议的操作：联系思科 TAC。

错误消息 %ASA-3-520005: error_string

说明：ID 管理器发生内部错误。

建议的操作：联系思科 TAC。

错误消息 %ASA-3-520010: Bad queue elem – qelem_ptr : flink flink_ptr , blink blink_ptr , flink-blink flink_blink_ptr , blink-flink blink_flink_ptr

说明：发生内部软件错误，可能是以下任何一项：

• qelem_ptr - 指向队列数据结构的指针
• flink_ptr - 指向队列数据结构前向元素的指针
• blink_ptr - 指向队列数据结构后向元素的指针
• flink_blink_ptr - 指向队列数据结构正向元素的后向指针的指针
• blink_flink_ptr - 指向队列数据结构后向元素的正向指针的指针

建议的操作：联系思科 TAC。

错误消息 %ASA-3-520011: Null queue elem

说明：发生了内部软件错误。

建议的操作：联系思科 TAC。

错误消息 %ASA-3-520013: Regular expression access check with bad list acl_ID

说明：指向访问列表的指针无效。

建议的操作：导致生成此消息的事件不应发生。它可能表示一个或多个数据结构已被覆盖。如果此消息重复出现，而且您决定向 TAC 代表报告，则应该按显示正确复制消息文本并包含关联的堆叠跟踪。因为访问列表可能已损坏，TAC 代表应当验证访问列表是否正常运行。

错误消息 %ASA-3-520020: No memory available

说明：系统内存不足。

建议的操作：请尝试以下操作之一，以解决问题：

• 减少此路由器接受的路由数量。
• 升级硬件。
• 在从 RAM 运行的平台上使用较小的子集映像。

错误消息 %ASA-3-520021: Error deleting trie entry, error_message

说明：发生软件编程错误。错误消息可能是以下任何一项：

• 注记不一致
• 找不到我们的注记
• 找不到删除目标

建议的操作：按显示正确复制错误消息，并将其报告给思科 TAC。

错误消息 %ASA-3-520022: Error adding mask entry, error_message

说明：发生软件或硬件错误。错误消息可能是以下任何一项：

• 已在树中的掩码
• 未输入路由的掩码
• 非唯一的正常路由，未输入掩码

建议的操作：按显示正确复制错误消息，并将其报告给思科 TAC。

错误消息 %ASA-3-520023: Invalid pointer to head of tree, 0x radix_node_ptr

说明：发生软件编程错误。

建议的操作：按显示正确复制错误消息，并将其报告给思科 TAC。

错误消息 %ASA-3-520024: Orphaned mask #radix_mask_ptr, refcount= radix_mask_ptr’s ref count at #radix_node_address, next= #radix_node_nxt

说明：发生软件编程错误。

建议的操作：按显示正确复制错误消息，并将其报告给思科 TAC。

错误消息 %ASA-3-520025: No memory for radix initialization: err_msg

说明：系统在初始化期间耗尽了内存。只有当映像太大，不适合现有动态内存时才会出现这种情况。错误消息可能是以下任何一项：Initializing leaf nodes 或 Mask housekeeping

建议的操作：使用较小的子集映像或升级硬件。