您可以移除 ISA 3000 的 SD 卡，将其插入另一台 ISA 3000 设备。如果您在 SD 卡上创建系统备份，可以使用此功能轻松更换设备。只需取出故障设备的 SD 卡，并插入新的设备。然后即可通过备份进行恢复。

要确保您有必要的备份，请配置备份作业以在 SD 卡上创建备份。

在创建新备份时，备份文件将列在“备份和恢复”(Backup and Restore) 页面。备份副本不会无限期保留：当设备上的磁盘空间使用率达到最大阈值时，系统将删除较早的备份副本以便为较新的备份腾出空间。因此，您应定期管理备份文件，确保保存最希望保留的特定备份。

您可以执行以下操作来管理备份副本：

• 将文件下载到安全存储 - 要将备份文件下载到您的工作站，请点击该文件的下载图标 ()。然后，您就可以将该文件移到安全文件存储了。

• 将备份文件上传到系统 - 如果要恢复设备中不再可用的备份副本，请依次点击上传 > 浏览文件，并从工作站上传文件。然后即可执行恢复。

  注	可以重命名上传的文件，以便与原始文件名匹配。此外，如果系统中的备份副本已超过 10 个，系统将删除最早的备份副本，以便为上传的文件腾出空间。无法上传使用较早的软件版本创建的文件。

• 恢复备份 - 要恢复备份，请点击该文件的恢复图标 ()。系统在恢复期间不可用，恢复完成后将重新启动。在系统正常运行后，您需要部署配置。

• 删除备份文件 - 如果不再需要某个特定备份，请点击该文件的删除图标 ()。您需要确认删除。删除后，则无法恢复备份文件。

审核日志可包括以下类型的事件：

部署已完成，部署失败：作业名称或实体名称

这些事件表示部署作业已成功完成或失败。详细信息包括作业发起人以及与作业实体相关的信息。失败的作业包括与失败相关的错误消息。

详细信息还包括一个差异视图选项卡，其中显示了作业执行过程中部署到设备的更改。这里汇总了已部署实体的所有实体更改事件。

要过滤这些事件，只需点击部署历史记录预定义过滤器。请注意，这些事件的事件类型是部署事件，您无法仅过滤已完成或失败的事件。

事件名称包括用户定义的作业名称（如果进行了配置）或“用户（用户名）触发的部署”。其中还包括，在运行设备设置向导期间发生的“设备设置自动部署”和“设备设置自动部署（最后一步）”作业。

实体已创建、实体已更新、实体已删除：实体名称（实体类型）

这些事件表示对识别的实体或对象进行了更改。实体详细信息包括实施更改的人员以及实体名称、类型和 ID。您可以过滤这些项目。详细信息还包括一个差异视图选项卡，其中显示了应用于对象的更改。

HA 操作事件

这些事件与有关高可用性配置的操作有关，它们可以是您发起的操作，也可以是系统发起的操作。HA 操作事件的类型为事件，但事件名称是以下项之一：

• HA 已暂停 - 有意暂停系统上的 HA。

• HA 已恢复 - 有意恢复系统上的 HA。

• HA 已重置 - 有意重置系统上的 HA。

• HA 故障切换：设备切换模式 - 有意切换模式，或系统由于运行状况指标违规而进行了故障切换。此消息表明，主用对等设备变为了备用设备，或备用对等设备变为了主用设备。

已放弃等待完成的更改

此事件表示已删除所有待完成的更改。此事件与先前的“部署已完成”事件之间由“实体已创建”、“实体已更新”以及“实体已删除”事件指明的所有更改均已删除，并且受影响对象的状态恢复到上一次部署的版本。

任务已开始，任务已完成，任务失败

任务事件表示系统或用户发起的作业的开始和结束。这两个事件将会整合到任务列表中的一个任务中，您可以通过点击右上角的任务列表按钮进行查看。

任务包括部署作业以及手动或计划的数据库更新等操作。任务列表中的任何项目都将与审核日志中的两个任务事件对应，指示任务开始、成功完成或失败。

用户已登录、用户已注销：用户名

这些事件显示用户登录和注销 Firepower 设备管理器的时间和源 IP 地址。主动注销和因空闲时间超时而自动注销都会引发“用户已注销”事件。

这些事件无关于与设备建立连接的 RA VPN 用户。它们也不包含登录/注销设备 CLI。

您可以对审核日志应用过滤器，将视图显示范围缩小到仅显示特定类型的消息。过滤器中的每个元素都是一个准确、完全的匹配。例如，“User = admin”仅显示名为 admin 的用户发起的事件。

您可以单独或组合使用以下方法来构建过滤器：每次添加过滤器元素时，列表都会自动更新。

点击预定义过滤器

过滤器字段下方是预定义的过滤器。点击链接即可加载过滤器。系统将要求您进行确认。如果您已应用过滤器，该过滤器会被替换，也不会添加该过滤器。

点击高亮显示的条目

要构建过滤器，最简单的方法是点击日志表或事件详细信息中包含作为过滤标准的值的条目。点击条目后，过滤器字段将替换为该值和元素组合的格式设置正确的元素。但是，使用此方法要求现有的事件列表中包含所需的值。

如果可以为条目添加过滤器元素，当您将鼠标指针悬停在该条目上时，该条目会标有下划线，并显示命令点击添加到过滤器。

选择原子元素

此外，您还可以通过以下方法创建过滤器：点击过滤器字段，从下拉列表中选择所需的原子元素，在等号后面键入匹配值，然后按 Enter 键。您可以过滤以下元素。请注意，对于每种类型的事件而言，并非所有元素都是相关的。

• 事件类型 - 事件类型通常与事件名称（不含实体名称或用户等变量限定符）相同，但并非总是这样。部署事件的事件类型是“部署事件”。有关事件类型的说明，请参阅审核事件。

• 用户 - 发起事件的用户的名称。系统用户采用字母全部大写的形式：SYSTEM。

• 源 IP - 用户发起事件的源 IP 地址。系统发起事件的源 IP 地址是 SYSTEM。

• 实体 ID - 实体或对象的 UUID，这是一种比较长且不可读的字符串，例如 8e7021b4-2e1e-11e8-9e5d-0fc002c5f931。通常，要使用此过滤器，您需要点击事件详细信息中的实体 ID，或使用 REST API 通过相关 GET 调用检索所需的 ID。

• 实体名称 - 实体或对象的名称。对于用户创建的实体，实体名称通常是您为对象指定的名称，例如，将网络对象命名为 InsideNetwork。对于系统生成的实体或（在某些情况下）用户定义的实体，实体名称是预定义但可识别的名称，例如，将没有明确命名的部署作业命名为“User (admin) Triggered Deployment”。

• 实体类型 - 实体或对象的类型。这些是预定义但可识别的名称，例如 Network Object。您可以通过查看相关对象模型的“type”值，在 API Explorer 中查找实体类型。API 类型通常采用字母全部小写形式，且不含空格。如果您完全按照模型中所示输入类型，则按 Enter 键时，字符串会变成可读性更强的格式。这两种输入方式都可以接受。要打开 API Explorer，请将浏览器中 URL 的最后一部分改成 /#/api-explorer。

依次选择监控 > 会话，查看当前登录到 Firepower 设备管理器的用户的列表。列表会显示当前会话每个用户登录的持续时间。

如果相同的用户名出现多次，则表示用户从不同的源地址打开会话。系统根据用户名和源地址单独跟踪会话，而且每个会话具有唯一时间戳。

系统允许 5 个并发用户会话。如果第六个用户登录，开始时间最早的当前会话会自动注销。此外，非活动状态长达 20 分钟的空闲用户会被自动注销。

如果 FDM 用户输入错误的密码且连续 3 次尝试登录失败，则该用户的账户将锁定 5 分钟。用户必须待锁定时间结束后方可尝试重新登录。无法解锁 FDM 用户账户，也无法调整重试计数或锁定超时。（请注意，对于 SSH 用户，可以调整这些设置并解锁账户。）

如果有必要，您可以通过点击会话的删除图标 () 终止用户会话。如果您删除您自己的会话，您也会被注销。结束会话没有锁定时段：用户可以立即重新登录。

如果为 FDM 用户配置了外部授权，则这些用户可以登录到高可用性对的主用和备用设备。但是，与登录主用设备相比，首次成功登录备用设备还需要执行一些额外操作。

外部用户首次登录到主用设备后，系统会创建一个对象，定义用户和用户的访问权限。随后，管理员或读写用户必须在主用设备上，为要在备用设备上显示的用户对象部署配置。

只有在部署和后续配置同步成功完成之后，外部用户才可登录到备用设备。

管理员和读写用户在登录到主用设备后可以部署更改。但是，只读用户无法部署配置，且必须请求拥有适当权限的用户部署配置。

ping 是一种简单命令，可用于确定特定地址是否处于活动状态以及是否会做出响应。这意味着基本连接正常工作。然而，在设备上运行的其他策略可能会阻止特定类型的流量成功通过设备。您可通过ping 打开 CLI 控制台或登录设备 CLI 使用 。

注	由于系统有多个接口，您可以控制用于 ping 地址的接口。必须确保使用正确的命令，以便测试重要的连接。例如，系统必须能够通过虚拟管理接口到达思科许可证服务器，因此您必须使用 ping system 命令测试连接。如果使用 ping ，则测试的是能否通过数据接口访问地址，这可能不会得到相同的结果。

正常 ping 使用 ICMP 数据包测试连接。如果您的网络禁止 ICMP，可以换用 TCP ping（仅用于数据接口 ping）。

以下是 ping 网络地址的主要选项。

通过虚拟管理接口 ping 地址

使用 ping system 命令。

ping system host

主机可以是 IP 地址或完全限定域名 (FQDN)，例如 www.example.com。不同于通过数据接口进行 ping 操作，系统 ping 没有默认计数。ping 操作会持续执行，直到您使用 Ctrl+c 将其停止。例如：

> ping system www.cisco.com
PING origin-www.cisco.COM (72.163.4.161) 56(84) bytes of data.
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=1 ttl=242 time=10.6 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=2 ttl=242 time=8.13 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=3 ttl=242 time=8.51 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=4 ttl=242 time=8.40 ms
^C
--- origin-www.cisco.COM ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 8.139/8.927/10.650/1.003 ms
>

使用路由表，通过数据接口 ping 地址

使用 ping 命令。测试的是系统一般能否找出通往主机的路由。因为这是系统正常路由流量的方式，所以您通常需要对此进行测试。

ping host

指定主机的 IP 地址。如果您仅知道 FQDN，可使用 nslookup fqdn-name 命令来确定 IP 地址。例如：

> ping 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

注	您可以指定超时、重复计数、数据包大小甚至发送时所用的数据模式。在 CLI 中使用帮助指示符 ? 查看可用的选项。

通过特定数据接口 ping 地址

如果要通过特定数据接口测试连接性，可使用 ping interface if_name 命令。您还可以使用此命令指定诊断接口，但不能指定虚拟管理接口。

ping interface if_name host

指定主机的 IP 地址。如果您仅知道 FQDN，可使用 nslookup fqdn-name 命令来确定 IP 地址。例如：

> ping interface inside 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

使用 TCP ping，通过数据接口 ping 地址

使用 ping tcp 命令。TCP ping 发送 SYN 数据包，如果目标发送了 SYN-ACK 数据包，则认为 ping 取得了成功。

ping tcp [interface if_name] host port

您必须指定主机和 TCP 端口。如果您仅知道 FQDN，可使用 nslookup fqdn-name 命令来确定 IP 地址。

您可以选择指定接口，即 ping 的源接口，而不是用于发送 ping 的接口。此类 ping 通常使用路由表。

TCP ping 发送 SYN 数据包，如果目标发送了 SYN-ACK 数据包，则认为 ping 取得了成功。例如：

> ping tcp 10.0.0.1 21
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 10.0.0.1 port 21
from 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

注	您还可以指定 TCP ping 的超时、重复计数和源地址。在 CLI 中使用帮助指示符 ? 查看可用的选项。

如果您向某个 IP 地址发送流量时遇到问题，可以跟踪主机路由以确定网络路径是否有问题。traceroute 的工作方式是从无效端口向目的地发送 UDP 数据包或者向目的地发送 ICMPv6 回应。通往目的地沿途的路由器以 ICMP Time Exceeded 消息响应，并向 traceroute 报告该错误。每个节点会收到三个数据包，因此对于每个节点，您有三次机会获得信息性结果。您可通过traceroute 打开 CLI 控制台或登录设备 CLI 使用 。

注	通过数据接口 (traceroute ) 或通过虚拟管理接口 (traceroute system ) 跟踪路由有单独的命令。请务必使用正确的命令。

下表说明了输出中显示的每个数据包的可能结果。

通过虚拟管理接口跟踪路由

使用 traceroute system 命令。

traceroute system destination

主机可以是 IPv4/IPv6 地址或完全限定域名 (FQDN)，例如 www.example.com。例如：

> traceroute system www.example.com 
traceroute to www.example.com (172.163.4.161), 30 hops max, 60 byte packets
 1  192.168.0.254 (192.168.0.254)  0.213 ms  0.310 ms  0.328 ms
 2  10.88.127.1 (10.88.127.1)  0.677 ms  0.739 ms  0.899 ms
 3  lab-gw1.example.com (10.89.128.25)  0.638 ms  0.856 ms  0.864 ms
 4  04-bb-gw1.example.com (10.152.240.65)  1.169 ms  1.355 ms  1.409 ms
 5  wan-gw1.example.com (10.152.240.33)  0.712 ms  0.722 ms  0.790 ms
 6  wag-gw1.example.com (10.152.240.73)  13.868 ms  10.760 ms  11.187 ms
 7  rbb-gw2.example.com (172.30.4.85)  7.202 ms  7.301 ms  7.101 ms
 8  rbb-gw1.example.com (172.30.4.77)  8.162 ms  8.225 ms  8.373 ms
 9  sbb-gw1.example.com (172.16.16.210)  7.396 ms  7.548 ms  7.653 ms
10  corp-gw2.example.com (172.16.16.58)  7.413 ms  7.310 ms  7.431 ms
11  dmzbb-gw2.example.com (172.16.0.78)  7.835 ms  7.705 ms  7.702 ms
12  dmzdcc-gw2.example.com (172.16.0.190)  8.126 ms  8.193 ms  11.559 ms
13  dcz05n-gw1.example.com (172.16.2.106)  11.729 ms  11.728 ms  11.939 ms
14  www1.example.com (172.16.4.161)  11.645 ms  7.958 ms  7.936 ms

通过数据接口跟踪路由

使用 traceroute 命令。

traceroute destination

指定主机的 IP 地址。如果您仅知道 FQDN，可使用 nslookup fqdn-name 命令来确定 IP 地址。例如：

> traceroute 209.165.200.225
Tracing the route to 209.165.200.225
 1  10.83.194.1 0 msec 10 msec 0 msec
 2  10.83.193.65 0 msec 0 msec 0 msec
 3  10.88.193.101 0 msec 10 msec 0 msec
 4  10.88.193.97 0 msec 0 msec 10 msec
 5  10.88.239.9 0 msec 10 msec 0 msec
 6  10.88.238.65 10 msec 10 msec 0 msec
 7 172.16.7.221 70 msec 70 msec 80 msec
 8 209.165.200.225 70 msec 70 msec 70 msec

注	您可以指定超时、生存时间、每个节点的数据包数量，乃至要用作 traceroute 源的 IP 地址或接口。在 CLI 中使用帮助指示符 ? 查看可用的选项。

系统靠时间准确一致来正常运行，并确保事件和其他数据点得到准确处理。您必须配置至少一个（最好是三个）网络时间协议 (NTP) 服务器来确保系统始终能获得可靠的时间信息。

设备摘要连接图（在主菜单中点击设备）显示至 NTP 服务器的连接状态。如果状态为黄色或橙色，说明与配置的服务器存在连接问题。如果连接问题仍然存在（不仅仅是一个临时问题），请尝试以下操作。

• 首先，确保在设备 > 系统设置 > NTP上配置至少三个 NTP 服务器。尽管不要求配置至少三个 NTP 服务器，但这样做可以大大提高可靠性。

• 确保管理接口 IP 地址（在设备 > 系统设置 > 管理接口中定义）与 NTP 服务器之间存在网络路径。

  • 当管理接口网关是数据接口时，如果默认路由不充足，则可以在设备 > 路由上配置到 NTP 服务器的静态路由。

  • 如果设置了显式管理接口网关，请登录设备 CLI，并使用 ping system 命令测试与每个 NTP 服务器之间是否存在网络路径。

• 登录设备 CLI，并使用以下命令检查 NTP 服务器的状态。

  • show ntp - 此命令显示 NTP 服务器的基本信息及其可用性。但是，Firepower 设备管理器中的连接状态使用其他信息指示其状态，所以此命令的显示以及连接状态图的显示可能存在不一致的地方。还可从 CLI 控制台发出此命令。

  • system support ntp - 此命令包括 show ntp 的输出以及标准 NTP 命令 ntpq （该命令记录在 NTP 协议中）的输出。如果需要确认 NTP 同步，请使用此命令。

    查找“‘ntpq -pn’的结果”部分。例如，您可能会看到类似如下的内容：

    
    Results of 'ntpq -pn'
    remote                    : +216.229.0.50
    refid                     : 129.7.1.66
    st                        : 2
    t                         : u
    when                      : 704
    poll                      : 1024
    reach                     : 377
    delay                     : 90.455
    offset                    : 2.954
    jitter                    : 2.473
    
    

    在本例中，NTP 服务器地址前的 + 表示作为潜在候选者。此处的星号 * 表示当前的时间源对等体。

    NTP 守护程序 (NTPD) 使用每个对等体中的八个示例的滑动窗口，并选出一个示例，然后根据时钟选择确定正确的报时器和错误的断续器。然后，NTPD 会确定往返距离（候补者的偏移不得超过往返延迟的一半）。如果连接延迟、丢包或服务器问题导致一个或全部候补者被拒绝，则同步中会出现较长的延迟。而且，该调整很长一段时间后才会完成：时钟偏移和振荡器错误必须通过时钟训练算法解决，这可能会需要数小时的时间。

    注	如果 refid 是 .LOCL.，则表明对等体是一个未经训练的本地时钟，也即它只使用其本地时钟来设置时间。如果所选的对等体是 .LOCL.，则 Firepower 设备管理器始终将 NTP 连接标为黄色（未同步）。如果还有更好的证书，NTP 通常不会选择 .LOCL. 证书，这就是应配置至少三个服务器的原因所在。

要查看有关 CPU 和内存使用情况的系统级信息，请依次选择监控 > 系统，然后查找 CPU 和“内存”条形图。这些图表显示通过 CLI 使用 show cpu system 和 show memory system 命令收集的信息。

如果打开 CLI 控制台或登录 CLI，还可以使用这些命令的其他版本查看其他信息。通常，只有当使用情况存在长时间持续的问题时，或者奉思科技术支持中心 (TAC) 之命，才会查看此信息。其中许多详细信息比较复杂，需要 TAC 加以解释。

以下是您可以检查的一些要点。您可以在思科 Firepower 威胁防御命令参考（网址为 http://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense.html）中找到有关这些命令的更多详细信息。

• show cpu 显示数据平面 CPU 使用情况。

• show cpu core 分别显示每个 CPU 核心的使用情况。

• show cpu detailed 显示其他每个核心及总数据平面的 CPU 使用情况。

• show memory 显示数据平面内存使用情况。

注	某些关键字（上文未提及）需要先使用 cpu 或 memory 命令设置分析或其他功能。这些功能只能奉 TAC 之命使用。

系统会记录各种操作的信息。您可以使用 system support view-files 命令打开系统日志。请在配合思科技术支持中心 (TAC) 解决问题时使用此命令，以便他们帮助您解释输出内容并选择要查看的相应日志。

该命令将显示一个菜单供您选择日志。请使用以下命令在向导中导航：

• 要更改为子目录，请键入该目录的名称并按 Enter 键。

• 要选择欲查看的文件，请在提示符后输入 s 。然后系统将提示您输入文件名。请键入完整名称，并注意区分大小写。文件列表会显示日志的大小，您最好考虑一下再打开非常大的日志。

• 看到 --More-- 时，按空格键可查看下一页日志条目；按 Enter 键仅查看下一个日志条目。到达日志末尾后，即会转到主菜单。--More-- 行会显示日志的大小和已查看部分的大小。如果不想翻阅完整个日志，请使用 Ctrl+C 关闭日志并退出命令。

• 键入 b 返回菜单结构的上一级。

如果要保持日志打开以便及时看到添加的新消息，请使用 tail-logs 命令而非 system support view-files 。

以下示例显示如何查看 cisco/audit.log 文件，该文件用于跟踪系统登录尝试。文件列表首先在顶部列出目录，然后列出当前目录下的文件。

> system support view-files

===View Logs===

============================
Directory: /ngfw/var/log
----------sub-dirs----------
cisco
mojo
removed_packages
setup
connector
sf
scripts
packages
removed_scripts
httpd
-----------files------------
2016-10-14 18:12:04.514783 | 5371       | SMART_STATUS_sda.log
2016-10-14 18:12:04.524783 | 353        | SMART_STATUS_sdb.log
2016-10-11 21:32:23.848733 | 326517     | action_queue.log
2016-10-06 16:00:56.620019 | 1018       | br1.down.log

<list abbreviated>


([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: cisco

============================
Directory: /ngfw/var/log/cisco
-----------files------------
2017-02-13 22:44:42.394907 | 472        | audit.log
2017-02-13 23:40:30.858198 | 903615     | ev_stats.log.0
2017-02-09 18:14:26.870361 | 0          | ev_stats.log.0.lck
2017-02-13 05:24:00.682601 | 1024338    | ev_stats.log.1
2017-02-12 08:41:00.478103 | 1024338    | ev_stats.log.2
2017-02-11 11:58:00.260805 | 1024218    | ev_stats.log.3
2017-02-09 18:12:13.828607 | 95848      | firstboot.ngfw-onbox.log
2017-02-13 23:40:00.240359 | 6523160    | ngfw-onbox.log

([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: s

Type the name of the file to view ([b] to go back, [Ctrl+C] to exit)
> audit.log
2017-02-09 18:59:26 - SubSystem:LOGIN, User:admin, IP:10.24.42.205, Message:Login successful, 
2017-02-13 17:59:28 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:36 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login failed, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Unlocked account., 

<remaining log truncated>