Resolución de problemas de recargas inesperadas de ASA o FTD

Introducción

Este documento describe cómo resolver situaciones en las que un dispositivo FTD o ASA se recarga sin una razón obvia.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Comprender los aspectos básicos de las plataformas de hardware Firepower Threat Defence (FTD) y Adaptive Security Appliance (ASA)
• Comprender los dispositivos lógicos en plataformas Firepower

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• ASA 5500-X con software ASA versión 9.x
• ASA 5500-X con software FTD versión 6.2.3 y posterior
• Firepower series 1000, 1100, 2100, 4100 y 9300 con software ASA versión 9.x
• Firepower serie 1000, 1100, 2100, 4100 y 9300 con la versión de software FTD 6.2.3 y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

En este documento, el dispositivo hace referencia a los firewalls de última generación (NGFW) ASA o Firepower, rebautizados como firewalls seguros de Cisco, que ejecutan una imagen ASA o FTD en ellos como un dispositivo lógico.

Cisco Secure Firewalls incluye varias versiones de hardware y software. La familia ASA incluye firewalls de la serie 5500-X y la familia Firepower incluye dispositivos de las series FPR 1000, 2100, 4100 y 9300. Este documento discute el enfoque con el que comenzar para identificar el nivel en el que el dispositivo o el software ha fallado en todas las plataformas mencionadas y si la caída fue real o no. También enumera todos los artefactos a recolectar, dónde encontrarlos y cómo utilizarlos para encontrar la causa raíz del desperfecto.

Elementos comunes que se deben comprobar en todas las plataformas y dispositivos lógicos

Confirme que el dispositivo (lógico o chasis) se ha reiniciado o bloqueado

Para ASA, utilice el comando del modo de configuración para verificar el tiempo de actividad del dispositivo: # show version | in Up

En el hardware Firepower, utilice estos comandos para verificar el tiempo de actividad del dispositivo y del chasis (nivel FXOS):

FP4100-3# connect fxos
FP4100-3(fxos)# show system uptime

System start time:          Thu Oct 31 22:50:09 2019

System uptime:              391 days, 19 hours, 30 minutes, 45 seconds

Kernel uptime:              391 days, 19 hours, 34 minutes, 34 seconds

Active supervisor uptime:   391 days, 19 hours, 30 minutes, 45 seconds

Nota: Si observa que el dispositivo está activo justo desde el momento del problema, esto confirma que el dispositivo se ha reiniciado.

Compruebe y confirme si hay algún problema relacionado con la alimentación que pueda dar lugar a reinicios repentinos del dispositivo.

Si el tiempo de actividad no está relacionado con el registro de tiempo de inactividad de la red (o conmutación por error o unidad que abandona el clúster), esto significa que el problema no se produjo debido a la recarga del dispositivo y el diagnóstico debe desplazarse en una dirección completamente diferente.

Comprobar si hay Crashinfo en el caso de un error de línea de software de ASA (en FTD)

Un desperfecto del sistema es una situación en la que el sistema ha detectado un error irrecuperable y se ha reiniciado a sí mismo. Cuando se bloquea un firewall, crea un archivo de formato de texto especial conocido como crashinfo  archivo. Este archivo proporciona información de diagnóstico y registros que ayudan a determinar el análisis de la causa raíz de un desperfecto. Para un ASA, el crashinfo archivo es texto sin formato almacenado en Flash: y contiene el contenido del registro de memoria con una larga lista de otra información: versión de software, datos recopilados, etc.

Ingrese el show crashinfo comando en la CLI de ASA en el modo exec de privilegio. Puede ver el resultado en cualquier editor de texto o incluso en la propia consola ASA.

show flash | in crash

Comparta este resultado con el centro de asistencia técnica Cisco Technical Assistance Center (TAC) en una solicitud de servicio y podrán descodificarlo con herramientas internas. Este resultado proporciona información útil sobre los procesos y subprocesos, lo que ayuda a los desarrolladores a revisar y correlacionar el desperfecto con otros eventos dentro del dispositivo.

Nota: Generalmente, cuando recopila show tech-support la salida de ASA o Line (en FTD), show crashinfo está presente idealmente en esa salida. Sin embargo, muchas veces el resultado es diferente o incompleto en comparación con la ejecución directa del show crashinfo comando. Por lo tanto, se recomienda ingresar siempre el show crashinfo comando directamente en la CLI de ASA o Lina.

Además de los detalles comunes que se deben comprobar, hay más información y artefactos que recopilar que dependen de los distintos niveles de bloqueos que pueden producirse. En las plataformas ASA, solo puede haber un nivel de caída. Sin embargo, las plataformas Firepower pueden tener un desperfecto de nivel de dispositivo lógico (FTD o software ASA) o un desperfecto de nivel de chasis (FXOS).

Una vez que el tiempo de actividad confirma que el dispositivo se ha estrellado, se genera un coredump archivo que es necesario para que el TAC de Cisco lo revise más a fondo. El coredump archivo puede ser de diferentes tipos en función de qué componente del software se ha estrellado. Los coredump archivos también se guardan en diferentes directorios/partes del disco, según el componente que se haya estrellado.

Qué comprobar en las plataformas ASA

Las plataformas ASA solo tienen un componente que puede ser ASA o FTD.

Todas las plataformas ASA que ejecutan una imagen ASA

Los corefiles datos relacionados con la caída se almacenan en el disco 0 de la unidad flash interna. Para verificar el corefiles, ingrese el dir disk0:/coredumpfsys comando:

ciscoasa# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

1071057 drwx 4096 23:14:58 Aug 30 2021 sysdebug
12 -rw- 87580218 04:49:23 Jun 04 2021 core_lina.1227726922.258.11.gz
11 drwx 16384 23:13:37 Aug 30 2021 lost+found

1 file(s) total size: 87580218 bytes
16106127360 bytes total (15749222400 bytes free/97% free)

Ingrese el show coredump filesystem  comando para mostrar cualquier archivo en el sistema de archivoscoredump, que también muestra espacio en disco. Se recomienda archivar los coredump archivos cuando sea conveniente, ya que es posible que un subsiguiente coredump pueda quitar el anterior coredump(s) para que se ajuste al núcleo actual.

ciscoasa# show coredump filesystem

Coredump Filesystem Size is 100 MB

Filesystem type is FAT for disk0

Filesystem           1k-blocks      Used Available Use% Mounted on
/dev/loop0              102182     75240     26942  74% /mnt/disk0/coredumpfsys

Directory of disk0:/coredumpfsys/

246    -rwx  20205386    19:16:44 Nov 26 2021  core_lina.1227726922.258.11.gz
247    -rwx  36707919    19:21:56 Nov 26 2021  core_lina.1227727222.258.6.gz
248    -rwx  20130838    19:26:36 Nov 26 2021  core_lina.1227727518.258.11.gz

Si no ve un coredump archivo en disk0, existe una alta probabilidad de que el coredumpno esté habilitado, lo que significa que no se puede completar la revisión para esta aparición. Para habilitar coredump para futuras ocurrencias, ingrese este comando:

ciscoasa(config)#coredump enable

WARNING: Enabling coredump on an ASA5505 platform will delay the reload of the system in the   
event of software forced reload. The exact time depends on the size of the coredump generated.

Proceed with coredump filesystem allocation of 60 MB 
on 'disk0:' (Note this may take a while) ? [confirm]
 
Making coredump file system image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Coredump file system image created & mounted successfully

/dev/loop0 on /mnt/disk0/coredumpfsys type vfat 
(rw,fmask=0022,dmask=0022,codepage=cp437,iocharset=iso8859-1)

Plataformas ASA compatibles con la ejecución de imágenes FTD

Las plataformas ASA 5506-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X y ASA 5555-X admiten la ejecución de imágenes FTD, además de convertirlas en un firewall de última generación.

En todas estas plataformas ASA compatibles que ejecutan la imagen FTD, corefiles se encuentran en /var/data/cores o /ngfw/var/data/cores a través del modo experto. También se duplican bajo el disk0:/coredumpfsys directorio de Flash Lina.

root@firepower:/var/data/cores# ls -l
total 59660
-rw-r--r-- 1 root root 4815651 Mar 14 17:07 core.SFDataCorrelato.2035.1552608478.gz
-rw-r--r-- 1 root root 56198339 Mar 14 16:47 core.lina.2113.1552607243.gz
root@firepower:/var/data/cores#


firepower# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

2498562 -rw- 56198339 23:47:26 Mar 14 2019 core.lina.2113.1552607243.gz
2498563 -rw- 4815651 00:07:58 Mar 15 2019 core.SFDataCorrelato.2035.1552608478.gz

2 file(s) total size: 61013990 bytes
42949672960 bytes total (39523602432 bytes free/92% free)

Aspectos a comprobar en las plataformas Firepower

Las plataformas Firepower incluyen dos componentes de software. El primero es el FXOS, que es el sistema operativo del chasis, y el segundo es la instancia de la aplicación, también conocida como el dispositivo lógico, que puede ser ASA o FTD. Por lo tanto, es importante identificar qué parte se estrelló para determinar en qué ubicación descargar el corefiles

Si la instancia de la aplicación se bloquea en Firepower 1000/2000/4100 y 9300, la información y los corefiles fallos siempre se generan de forma predeterminada. Sin embargo, el vaciado de memoria se puede inhabilitar en algunos casos.

Para verificar si el vaciado de memoria está habilitado en 4100/9300, ingrese estos comandos:

connect module 1 console Firepower-module1>show platform coredumps

Activar o desactivar los vaciados de memoria del módulo Firepower:

Habilite los vaciados de memoria en un módulo Firepower para ayudar a resolver problemas en caso de una caída del sistema, o para enviar a Cisco TAC si se solicita.

Firepower# connect module 1 console show coredump detail

El resultado del comando muestra la información de estado del vaciado de memoria actual e incluye si la compresión del vaciado de memoria está habilitada.

Firepower-module1>show coredump detail Configured status: ENABLED. ASA Coredump: ENABLED. Bootup status: ENABLED. Compress during crash: DISABLED.

Utilice el config coredump comando para habilitar o inhabilitar los vaciados de memoria y para habilitar o inhabilitar la compresión del vaciado de memoria durante un desperfecto.

• Ingrese el config coredump enable comando para habilitar la creación de un vaciado de memoria durante un desperfecto.
• Ingrese el config coredump disable comando para inhabilitar la creación del vaciado de memoria durante un desperfecto.
• Ingrese el config coredump compress comando enable para habilitar la compresión de vaciados de memoria.
• Ingrese el config coredump compress comando disable para inhabilitar la compresión del vaciado de memoria.

Este ejemplo muestra cómo habilitar el vaciado de memoria:

Firepower-module1>config coredump enable Coredump enabled successfully. ASA coredump enabled, do 'config coredump disableAsa' to disable Firepower-module1>config coredump compress enable WARNING: Enabling compression delays system reboot for several minutes after a system failure. Are you sure? (y/n):y Firepower-module1>

Nota: Los archivos de vaciado de memoria consumen espacio en disco, y si el espacio se reduce y la compresión no está habilitada, un archivo de vaciado de memoria no se guarda aunque estén habilitados los vaciados de memoria.

Tanto los archivos de desperfecto como los de núcleo deben cargarse para un análisis completo, ya que es posible que el archivo de desperfecto no contenga todos los datos.

FXOS FP9300/FP4100

En FP9300/FP4100, el FXOS corefiles se encuentra debajo del local-mgmt cores directorio.

firepower-4110# connect local-mgmt
firepower-4110(local-mgmt)# dir cores

1 9337521 Apr 30 11:28:15 2016 1462040896_0x101_snm_log.5289.tar.gz
1 1067736 Oct 09 10:38:49 2017 1507570679_firepower-4110_BC01_MEZZ0101_mcp_log.122.tar.gz
1 798663 Oct 10 18:05:54 2017 1507683913_firepower-4110_BC01_MEZZ0101_mcp_log.122.tar.gz
1 348160 Feb 11 23:53:25 2019 core.21845

Usage for workspace://
3999125504 bytes total
64200704 bytes used
3730071552 bytes free
firepower-4110(local-mgmt)#

Para copiar el archivo de núcleo de FXOS a su computadora local, ingrese este comando:

firepower-4110(local-mgmt)# copy workspace:/cores:/<file>.tar.gz scp://username@x.x.x.x

En FP9300/FP4100 con FTD

En FP9300/FP4100 que ejecutan FTD, corefiles se encuentran bajo /var/data/cores o /ngfw/var/data/cores a través del modo experto. También se duplican bajo el disk0:/coredumpfsys directorio de Flash Lina.

root@firepower:/var/data/cores# ls -l
total 59660
-rw-r--r-- 1 root root 4815651 Mar 14 17:07 core.SFDataCorrelato.2035.1552608478.gz
-rw-r--r-- 1 root root 56198339 Mar 14 16:47 core.lina.2113.1552607243.gz
root@firepower:/var/data/cores#


firepower# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

2498562 -rw- 56198339 23:47:26 Mar 14 2019 core.lina.2113.1552607243.gz
2498563 -rw- 4815651 00:07:58 Mar 15 2019 core.SFDataCorrelato.2035.1552608478.gz

2 file(s) total size: 61013990 bytes
42949672960 bytes total (39523602432 bytes free/92% free)

En FP9300/FP4100 con ASA

En FP9300/FP4100 que ejecutan ASA, corefiles se encuentran en el disk0:/coredumpfsys directorio.

asa# dir disk0:/coredumpfsys

Directory of disk0:/coredumpfsys/

11 drwx 16384 17:34:50 Sep 10 2018 lost+found
12 -rw- 317600388 16:43:40 Mar 14 2019 core.lina.6320.1552607012.gz

1 file(s) total size: 317600388 bytes
21476089856 bytes total (21255872512 bytes free/98% free)

En FP2100 FXOS/ASA/FTD

En FP2100 FXOS/ASA/FTD, corefiles se encuentran en el local-mgmt cores directorio, independientemente de si utiliza ASA o FTD. En FTD, también se duplican en /ngfw/var/data/cores (o /var/data/cores) y /ngfw/var/common/ mediante el modo experto. Sin embargo, tenga en cuenta que las plataformas FP2100 no tienen el directorio disk0:/coredumpfsys.

Nota: El ID de bug de Cisco CSCvh01912 se envió para hacer que FP2100 sea consistente con la plataforma FP9300/4100. Hasta que esto se resuelva, utilice la ubicación descrita para encontrar el corefiles.

Ubicación de los archivos de núcleo de Firepower cuando el FTD está en Firepower 2100, 1000, dispositivo ASA y dispositivo ISA 3000:

Para todas estas plataformas, utilice este procedimiento para localizar los archivos de núcleo relacionados con todos los procesos de Firepower.

En /ngfw/var/common/:

1. Conéctese a la CLI del dispositivo mediante SSH o la consola.

2. Ingrese esto como el modo experto:

> expert admin@firepower:~$

3. Conviértase en un usuario root.

admin@firepower:~$ sudo su Password: root@firepower:/home/admin#

4. Acceda a la /ngfw/var/common/ carpeta en la que se encuentran los archivos principales.

root@firepower:/home/admin# cd /ngfw/var/common/

5. Busque el archivo en la carpeta.

root@firepower:/ngfw/var/common# ls -l | grep -i core total 21616 -rw-r--r-- 1 root root 22130788 Nov 6 2020 process.core.tar.gz

FTD en FP2100: en /ngfw/var/data/cores:

> expert
admin@firepower:~$ sudo su
[cut]
root@firepower:/home/admin# ls -l /ngfw/var/data/cores
total 133740
-rw-r--r-- 1 root root 4761622 Jun 4 05:13 core.SFDataCorrelato.28634.1622783636.gz
-rw-r--r-- 1 root root 132014190 Jun 4 05:17 core.lina.11.1378.1622783800.gz
drwx------ 2 root root 16384 Nov 5 2019 lost+found
drwxr-xr-x 3 root root 4096 Nov 5 2019 sysdebug


> connect fxos
[cut]
firepower# connect local-mgmt
firepower(local-mgmt)# dir cores

1 4761622 Jun 04 05:13:56 2021 core.SFDataCorrelato.28634.1622783636.gz
1 132014190 Jun 04 05:17:25 2021 core.lina.11.1378.1622783800.gz
2 16384 Nov 05 22:35:15 2019 lost+found/
3 4096 Nov 05 22:36:05 2019 sysdebug/

Usage for workspace://
85963259904 bytes total
15324155904 bytes used
70639104000 bytes free
firepower(local-mgmt)#

ASA en FP2100:

firepower-2110(local-mgmt)# dir cores

1 167408075 Jul 04 00:43:25 2018 core.lina.6.2025.1530657764.gz
2     16384 Mar 28 16:17:56 2018 lost+found/
3      4096 Mar 28 16:18:43 2018 sysdebug/

Nota: El FXOS corefiles se almacena en el mismo directorio de núcleos desde la conexión local-mgmt.

En FP1000 FXOS/ASA/FTD

En FP1000 FXOS/ASA/FTD, este proceso es similar al FP2100. Además, el disk0:/coredumpfsys directorio está disponible en el lado Línea.

FTD en FP1000:

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

FP1010> ena
Password:
FP1010# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

13 -rw- 86493184 19:59:39 Jun 03 2021 core.lina.18707.1622750370.gz
1071057 drwx 4096 23:14:58 Aug 30 2019 sysdebug
14 -rw- 4770749 20:19:24 Jun 03 2021 core.SFDataCorrelato.7098.1622751564.gz
12 -rw- 197689 23:01:08 May 19 2021 core.top.6163.1621465268.gz
16 -rw- 4752067 20:28:03 Jun 03 2021 core.SFDataCorrelato.28195.1622752083.gz
11 drwx 16384 23:13:37 Aug 30 2019 lost+found
15 -rw- 5048839 20:20:32 Jun 03 2021 core.SFDataCorrelato.18952.1622751632.gz

5 file(s) total size: 101262528 bytes
123418959872 bytes total (110302621696 bytes free/89% free)


> connect fxos
[cut]

FP1010# connect local-mgmt
FP1010(local-mgmt)# dir cores

1 5048839 Jun 03 20:20:32 2021 core.SFDataCorrelato.18952.1622751632.gz
1 4752067 Jun 03 20:28:03 2021 core.SFDataCorrelato.28195.1622752083.gz
1 4770749 Jun 03 20:19:24 2021 core.SFDataCorrelato.7098.1622751564.gz
1 86493184 Jun 03 19:59:39 2021 core.lina.18707.1622750370.gz
1 197689 May 19 23:01:08 2021 core.top.6163.1621465268.gz
2 16384 Aug 30 23:13:37 2019 lost+found/
3 4096 Aug 30 23:14:58 2019 sysdebug/

Usage for workspace://
159926181888 bytes total
17475063808 bytes used
142451118080 bytes free


> expert
admin@FP1010:~$ sudo su
Password:
root@FP1010:/home/admin# ls -l /var/data/cores
total 99048
-rw-r--r-- 1 root root 5048839 Jun 3 20:20 core.SFDataCorrelato.18952.1622751632.gz
-rw-r--r-- 1 root root 4752067 Jun 3 20:28 core.SFDataCorrelato.28195.1622752083.gz
-rw-r--r-- 1 root root 4770749 Jun 3 20:19 core.SFDataCorrelato.7098.1622751564.gz
-rw-r--r-- 1 root root 86493184 Jun 3 19:59 core.lina.18707.1622750370.gz
-rw-r--r-- 1 root root 197689 May 19 23:01 core.top.6163.1621465268.gz
drwx------ 2 root root 16384 Aug 30 2019 lost+found
drwxr-xr-x 3 root root 4096 Aug 30 2019 sysdebug

ASA en FP1000:

ciscoasa# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

1071057 drwx 4096 23:14:58 Aug 30 2019 sysdebug
12 -rw- 87580218 04:49:23 Jun 04 2021 core.lina.27515.1622782155.gz
11 drwx 16384 23:13:37 Aug 30 2019 lost+found

1 file(s) total size: 87580218 bytes
16106127360 bytes total (15749222400 bytes free/97% free)


ciscoasa# connect fxos
[cut]
FP1010# connect local-mgmt
FP1010(local-mgmt)# dir cores

1 87580218 Jun 04 04:49:23 2021 core.lina.27515.1622782155.gz
2 16384 Aug 30 23:13:37 2019 lost+found/
3 4096 Aug 30 23:14:58 2019 sysdebug/

Usage for workspace://
159926181888 bytes total
5209071616 bytes used
154717110272 bytes free

Nota: FXOS corefiles se almacenan en el mismo directorio de núcleos desde la conexión local-mgmt.

Descargar Corefiles

Hay un copy  comando debajo de connect local-mgmt y Lina/ASA CLI. Para el modo experto de FTD, utilice el scp  comando.

Otros aspectos que se deben comprobar (específicos de las plataformas Firepower 4100 y 9300)

Verifique la salida del show pmon state comando bajo local-mgmt en FXOS. Este ejemplo muestra el resultado deseado cuando ninguno de los procesos falló. Esta salida captura no solo los fallos de dispositivos, sino también los de módulos de interfaz/DME, entre otros.

fp1120-v-1(local-mgmt)# show pmon state SERVICE NAME STATE RETRY(MAX) EXITCODE SIGNAL CORE ------------ ----- ---------- -------- ------ ---- svc_sam_dme running 0(4) 0 0 no svc_sam_dcosAG running 0(4) 0 0 no svc_sam_portAG running 0(4) 0 0 no svc_sam_statsAG running 0(4) 0 0 no httpd.sh running 0(4) 0 0 no svc_sam_sessionmgrAG running 0(4) 0 0 no sam_core_mon running 0(4) 0 0 no svc_sam_svcmonAG running 0(4) 0 0 no svc_sam_serviceOrchAG running 0(4) 0 0 no svc_sam_appAG running 0(4) 0 0 no svc_sam_envAG running 0(4) 0 0 no

Si no encuentra ningún archivo de núcleo en los directorios FTD/ASA relacionados, los archivos de núcleo pueden estar presentes en bootCLI en 4100/9300.

Ver archivos de núcleo dentro del módulo

Ingrese este comando para conectarse a la consola del módulo:

/ssa # connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'. CISCO Serial Over LAN:
Close Network Connection to Exit Firepower-module1>support filelist ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: Transient_Core_Files
-----------files------------
[No files] ([b] to go back)
Type a sub-dir name to list its contents: b ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: Crashinfo_and_Core_Files
----------sub-dirs----------
lost+found
-----------files------------
2017-03-20 20:45:06 | 40639151 | core.lina.48857.1490042695.gz
2017-03-20 20:48:47 | 40638054 | core.lina.18113.1490042915.gz
2017-03-20 20:52:28 | 40638186 | core.lina.18112.1490043137.gz
2017-03-20 20:56:10 | 40638466 | core.lina.18123.1490043359.gz
2017-03-20 20:59:53 | 40638345 | core.lina.18262.1490043582.gz
2017-03-20 21:03:35 | 40638120 | core.lina.18476.1490043803.gz
2017-03-20 21:07:22 | 40638335 | core.lina.18529.1490044031.gz ([b] to go back)
Type a sub-dir name to list its contents: b ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: x
Firepower-module1>

Si no hay archivos de núcleo en bootCLI, puede verificar los registros en el nivel FXOS:

connect fxos
1(fxos)# show logging onboard obfl-logs 2-(fxos)# show logging onboard stack-trace 3-(fxos)# show logging onboard kernel-trace 4-(fxos)# show logging onboard exception-log 5-(fxos)# show logging onboard internal kernel 6-(fxos)# show logging onboard internal platform
7-(fxos)#show logging onboard internal kernel | no-more
8-(fxos)#show logging onboard internal kernel-big | no-more
9-(fxos)#show logging onboard internal platform | no-more
10-(fxos)#show logging onboard internal reset-reason | no-more

If logging at fxos level is enabled, you can check the logs on fxos. 
It contains the syslog buffer and OBFL logs stored in NVRAM 

Connect fxos
show logging log --------------------This is a non-persistent syslog buffer
show logging onboard oblf-logs ------Non-volatile storage for history of boot up and reset occurrences. Look here when software crashes or reboots, etc are reported.
show logging nvram ------------------Non-volatile storage for critical logs.Important for historical issues.

On FXOS CLI, at the top-level scope use following command.

show fault detail or show fault

If you want to view faults for a specific object, scope to that object and then enter the show fault command.

You can check for audit-logs which is a persistent store of user operations. 

This moreover stores the sequence of user operations done.

firepower# scope security 
firepower# /security # show audit-logs 

A veces, el dispositivo se bloquea en silencio y no genera ningún archivo de bloqueo o de núcleo. En este caso, puede comprobar los registros:

At FTD instance or device level:
###############################

# Navigate to the /ngfw/var/log or /var/log and open the messages log file. Check all the logs generated before the device rebooted.
 You can search for following messages (in /ngfw/var/log or /var/log) to confirm if device rebooted without generating crash and core files:

firepower shutdown[2313]: shutting down for system reboot
Stopping Cisco Firepower 2130 Threat Defense
pm:process [INFO] Begin Process Shutdown

# Check for syslogs messsages (specific to device up and down )generated when the device rebooted. 
You can check for syslogs messages generated 15-30 min before and after the device reboot to know if there are some related messages which could have caused the device reboot/crash.

Errores conocidos relacionados con la caída del sistema

Consulte estas páginas para obtener información adicional sobre el desperfecto del sistema:

• ID de bug de Cisco CSCvu84127 - FTD silent crash sin generar el núcleo o el archivo crash
• ID de bug de Cisco CSCwa35845 - ASA 5516 recargado generando archivos de núcleo
• ID de bug de Cisco CSCvw9944 - FTD fallado con crashinfo/corefile
• Id. de error de Cisco CSCvv86926: generación de fallos de FTD crashfile
• Id. de error de Cisco CSCvp16482: el ASA falló al generar un archivo de núcleo
• Id. de bug Cisco CSCvm53545: ASA puede rastrear y recargar sin generar un crashinfo archivo