Recopilación de archivos principales desde un dispositivo de defensa frente a amenazas Firepower
Contenido
Introducción
Este documento describe el procedimiento para recopilar todos los tipos de archivos de núcleo para los dispositivos FTD a través de todas las plataformas que soportan el software FTD. Cuando un proceso en el FTD encuentra un problema crítico, un vaciado de la memoria en ejecución del proceso se puede guardar como un archivo de núcleo. Para determinar la causa raíz de la falla, el Soporte Técnico de Cisco podría solicitar los archivos centrales.
Para los dispositivos FTD tenemos dos tipos de archivos principales: los núcleos de Firepower y los archivos de núcleos LINA.
Prerequisites
Requirements
Cisco recomienda que conozca estos productos:
- Firepower Management Center (FMC)
- Firepower Device Manager (FDM)
- Firepower Threat Defense (FTD)
- Firepower Extensible Operation System (FXOS)
Procedimiento
Firepower procesa archivos de núcleo
Ubicación de los archivos de núcleo de Firepower cuando el FTD se encuentra en Firepower 2100, 1000, ASA Appliance y ISA 3000 Appliance
Para todas estas plataformas, los archivos de núcleo relacionados con todos los procesos de firepower se pueden encontrar con este procedimiento.
1. Conéctese a la CLI del dispositivo mediante SSH o la consola.
2. Ingrese como modo experto.
> expert admin@firepower:~$
3. Conviértase en un usuario raíz.
admin@firepower:~$ sudo su Password: root@firepower:/home/admin#
4. Vaya a la /ngfw/var/common/ , donde se encuentran los archivos principales.
root@firepower:/home/admin# cd /ngfw/var/common/
5. Compruebe la carpeta del archivo.
root@firepower:/ngfw/var/common# ls -l | grep -i core total 21616 -rw-r--r-- 1 root root 22130788 Nov 6 2020 process.core.tar.gz
Ubicación de los archivos de núcleo de Firepower cuando el FTD se encuentra en Firepower 4100 o 9300
Para estas dos plataformas, los archivos de núcleo se pueden encontrar en dos trayectorias posibles, la primera es la misma que la sección anterior, la segunda trayectoria se puede encontrar con este procedimiento.
1. Conéctese a la CLI del dispositivo mediante SSH o la consola.
2. Ingrese como modo experto.
> expert admin@firepower:~$
3. Conviértase en un usuario raíz.
admin@firepower:~$ sudo su Password: root@firepower:/home/admin#
4. Vaya a la /ngfw/var/data/cores/ , donde se encuentran los archivos principales.
root@firepower:/home/admin# cd /ngfw/var/data/cores/
5. Compruebe la carpeta del archivo.
root@firepower:cores# ls -l | grep -i core -rw-r--r-- 1 root root 27873115 Nov 17 15:01 core.snort.59095.1605625274.gz -rw-r--r-- 1 root root 27856205 Nov 17 15:02 core.snort.59352.1605625368.gz
Archivo de núcleo del proceso LINA
Ubicación de los archivos de núcleo de LINA cuando el FTD está en Firepower 1000, 2100, 4100 y 9300
1. Conéctese a la CLI del dispositivo mediante SSH o la consola.
2. Ingrese como modo experto.
> expert admin@firepower:~$
3. Conviértase en un usuario raíz.
admin@firepower:~$ sudo su Password: root@firepower:/home/admin#
4. Vaya a la /ngfw/var/data/cores/ , donde se encuentran los archivos principales.
root@firepower:/home/admin# cd /ngfw/var/data/cores/
5. Verifique la carpeta para el archivo principal.
root@firepower:/ngfw/var/data/cores# ls -l | grep -i core -rw-r--r-- 1 root root 84831856 Nov 17 15:49 core.lina.23228.1605628188.gz
Cómo recopilar los archivos principales mediante el FMC
Para todas las plataformas, donde se instala el FTD, se debe seguir este procedimiento para extraer los archivos de núcleo de los dispositivos.
1. Para todas las plataformas en las que se encuentran los archivos principales /ngfw/var/data/cores/ deberá mover los archivos a /ngfw/var/common/.
root@firepower:/ngfw/var/data/cores# ls -l | grep -i core -rw-r--r-- 1 root root 84831856 Nov 17 15:49 core.lina.23228.1605628188.gz root@firepower:/ngfw/var/data/cores# mv core* /ngfw/var/common/ root@firepower:/ngfw/var/data/cores# cd /ngfw/var/common/ root@firepower:/ngfw/var/common# ls -l | grep -i core -rw-r--r-- 1 root root 84831856 Nov 17 15:49 core.lina.23228.1605628188.gz
2. Acceso al FMC a través de HTTPS y vaya bajo System > Health > Monitor.
3. Seleccione el FTD en el que se generaron los archivos de núcleo.
4. Seleccione la opción Solución de problemas avanzada.
5. Seleccione la opción Archivo Descargar.
6. En la barra de búsqueda, ponga el nombre del archivo principal que se descargará y seleccione la opción Descargar.
7. Una vez descargado, cargue los archivos en el SR para su análisis.
Cómo recopilar los archivos principales mediante FDM
Al utilizar FDM, no es posible recopilar archivos específicos mediante la interfaz de usuario, sino que necesitamos utilizar el siguiente procedimiento para recopilar los archivos de núcleo con los archivos de solución de problemas del FTD.
1. Para todas las plataformas en las que se encuentran los archivos /ngfw/var/common/ y /ngfw/var/data/cores/ deberá mover los archivos a /ngfw/var/log/.
root@firepower:cores# ls -l | grep -i core -rw-r--r-- 1 root root 409612433 Nov 17 16:08 core.lina.3137.1605629317.gz -rw-r--r-- 1 root root 27873115 Nov 17 15:01 core.snort.59095.1605625274.gz -rw-r--r-- 1 root root 27856205 Nov 17 15:02 core.snort.59352.1605625368.gz root@firepower:cores# mv core* /ngfw/var/log/ root@firepower:cores# cd /ngfw/var/log root@firepower:log# ls -l | grep -i core -rw-r--r-- 1 root root 409612433 Nov 17 16:08 core.lina.3137.1605629317.gz -rw-r--r-- 1 root root 27873115 Nov 17 15:01 core.snort.59095.1605625274.gz -rw-r--r-- 1 root root 27856205 Nov 17 15:02 core.snort.59352.1605625368.gz
2. Genere y descargue los archivos de resolución de problemas desde el FTD usando FDM.
Resolución de problemas de generación de archivos mediante el procedimiento FDM.
3. Una vez descargado, cargue el archivo en el SR para su análisis.
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)