Probleemoplossing voor ASA of FTD onverwachte herladingen

Inleiding

In dit document wordt beschreven hoe u problemen kunt oplossen bij scenario's waarbij een FTD- of ASA-apparaat zonder duidelijke reden wordt herladen.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Begrijp de basis van hardwareplatforms voor Firepower Threat Defence (FTD) en Adaptive Security Appliance (ASA)
• Begrijp logische apparaten op FirePOWER-platforms

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• ASA 5500-X met ASA software versie 9.x
• ASA 5500-X met FTD-softwareversie 6.2.3 en hoger
• Firepower 1000, 1100, 2100, 4100 en 9300 Series met ASA-softwareversie 9.x
• Firepower 1000, 1100, 2100, 4100 en 9300 Series met FTD-softwareversie 6.2.3 en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

In dit document verwijst het apparaat naar ASA of Firepower Next-Generation Firewalls (NGFW), die worden omgedoopt tot Cisco Secure Firewalls, die een ASA- of FTD-afbeelding als een logisch apparaat uitvoeren.

Cisco Secure Firewalls omvatten verschillende hardware- en softwareversies. De ASA familie omvat 5500-X Series firewalls en de Firepower familie omvat FPR 1000, 2100, 4100 en 9300 Series apparaten. Dit document bespreekt de benadering om met te beginnen om het niveau te identificeren dat het apparaat of de software over alle vermelde platforms heeft neergestort en of de neerstorting of niet echt was. Het somt ook alle artefacten op om te verzamelen, waar ze te vinden en hoe ze te gebruiken om de oorzaak van de crash te vinden.

Gemeenschappelijke dingen te controleren over alle platforms en logische apparaten

Bevestig dat het apparaat (logisch of chassis) opnieuw is opgestart of is vastgelopen

Voor ASA, gebruik het bevel van configuratiewijze om het apparaat uptime te controleren: # show version | in Up

Gebruik op Firepower-hardware deze opdrachten om de uptime van het apparaat en de uptime van het chassis te controleren (FXOS-niveau):

FP4100-3# connect fxos
FP4100-3(fxos)# show system uptime

System start time:          Thu Oct 31 22:50:09 2019

System uptime:              391 days, 19 hours, 30 minutes, 45 seconds

Kernel uptime:              391 days, 19 hours, 34 minutes, 34 seconds

Active supervisor uptime:   391 days, 19 hours, 30 minutes, 45 seconds

Opmerking: als u ziet dat het apparaat is opgestart vanaf het moment van afgifte, bevestigt dit dat het apparaat opnieuw is opgestart.

Controleer en bevestig als er energieproblemen zijn die kunnen leiden tot plotselinge herstart van het apparaat.

Als de uptime niet gerelateerd is aan de tijdstempel van downtime in het netwerk (of failover of unit verlating cluster), betekent dit dat het probleem niet is opgetreden als gevolg van het opnieuw laden van het apparaat en de diagnose in een andere richting moet navigeren.

Controleer op crashinformatie in het geval van ASA SoftwareLina (op FTD) crash

Een systeemcrash is een situatie waarin het systeem een niet-herstelbare fout heeft gedetecteerd en zichzelf opnieuw heeft opgestart. Wanneer een firewall crasht, maakt deze een speciaal tekstbestand dat bekend staat als een crashinfo  bestand. Dit bestand biedt diagnostische informatie en logbestanden die helpen bij het bepalen van de oorzaak van de crash. Voor een ASA, is hetcrashinfo bestand onbewerkte tekst opgeslagen in Flash: en bevat de inhoud van het geheugenregister met een lange lijst van andere informatie - softwareversie, verzamelde gegevens, enzovoort.

show crashinfo Voer de opdracht in via de ASA CLI onder privilege exec-modus. U kunt de output in om het even welke tekstredacteur of zelfs op de ASA console zelf bekijken.

show flash | in crash

Deel deze uitvoer met het Cisco Technical Assistance Center (TAC) in een serviceaanvraag en ze kunnen deze decoderen met interne tools. Deze output geeft nuttige informatie over de processen en draden, die ontwikkelaars helpt om de crash te bekijken en te correleren met andere gebeurtenissen binnen het apparaat.

Opmerking: wanneer u output van de ASA of Lina (op FTD) verzameltshow tech-support, is dezeshow crashinfo over het algemeen idealiter aanwezig in die output. De uitvoer is echter vaak anders of onvolledig dan bij het rechtstreeks uitvoeren van de opdrachtshow crashinfo. Daarom wordt aangeraden om de opdracht altijdshow crashinfo rechtstreeks op de ASA of Lina CLI in te voeren.

Naast de gebruikelijke details om te controleren, zijn er meer informatie en artefacten om te verzamelen die afhankelijk zijn van de verschillende niveau van crashes die kunnen optreden. Op ASA-platforms kan er maar één niveau van crash zijn. Op FirePOWER-platforms kan echter een crash op apparaatniveau (FTD of ASA software) of een FXOS-crash (chassis level) optreden.

Nadat de uptime heeft bevestigd dat het apparaat is gecrasht, wordt eencoredump bestand gegenereerd dat nodig is voor verdere review door Cisco TAC. Het coredump bestand kan van verschillende typen zijn, afhankelijk van het onderdeel van de software dat is gecrasht. coredump De bestanden worden ook opgeslagen in verschillende directory's/onderdelen van de schijf, op basis van welke component is gecrasht.

Aandachtspunten voor ASA-platforms

De ASA platforms hebben slechts één component die ofwel ASA of FTD kan zijn.

Alle ASA-platforms waarop een ASA-afbeelding wordt uitgevoerd

De gegevens diecorefiles verband houden met de crash worden opgeslagen onder disk0 van het interne flashstation. Voer de opdracht in om hetcorefiles dir disk0:/coredumpfsys beeld te controleren:

ciscoasa# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

1071057 drwx 4096 23:14:58 Aug 30 2021 sysdebug
12 -rw- 87580218 04:49:23 Jun 04 2021 core_lina.1227726922.258.11.gz
11 drwx 16384 23:13:37 Aug 30 2021 lost+found

1 file(s) total size: 87580218 bytes
16106127360 bytes total (15749222400 bytes free/97% free)

Voer de show coredump filesystem  opdracht in om bestanden op het coredump bestandssysteem weer te geven, dat ook schijfruimte aangeeft. Het wordt aanbevolen de bestanden te archiverencoredump wanneer dit uitkomt, omdat het mogelijk is dat een volgend coredump bestand het vorige bestand kan verwijderen coredump(s) om aan de huidige kern te voldoen.

ciscoasa# show coredump filesystem

Coredump Filesystem Size is 100 MB

Filesystem type is FAT for disk0

Filesystem           1k-blocks      Used Available Use% Mounted on
/dev/loop0              102182     75240     26942  74% /mnt/disk0/coredumpfsys

Directory of disk0:/coredumpfsys/

246    -rwx  20205386    19:16:44 Nov 26 2021  core_lina.1227726922.258.11.gz
247    -rwx  36707919    19:21:56 Nov 26 2021  core_lina.1227727222.258.6.gz
248    -rwx  20130838    19:26:36 Nov 26 2021  core_lina.1227727518.258.11.gz

Als u geen coredump bestand op disk0 ziet, is er een grote kans dat het coredump bestand niet ingeschakeld is, wat betekent dat het review niet voltooid kan worden voor dit optreden. Typ deze opdracht omcoredump het optreden in de toekomst mogelijk te maken:

ciscoasa(config)#coredump enable

WARNING: Enabling coredump on an ASA5505 platform will delay the reload of the system in the   
event of software forced reload. The exact time depends on the size of the coredump generated.

Proceed with coredump filesystem allocation of 60 MB 
on 'disk0:' (Note this may take a while) ? [confirm]
 
Making coredump file system image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Coredump file system image created & mounted successfully

/dev/loop0 on /mnt/disk0/coredumpfsys type vfat 
(rw,fmask=0022,dmask=0022,codepage=cp437,iocharset=iso8859-1)

ASA-platforms die Running FTD Image ondersteunen

De ASA-platforms 5506-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X en ASA 5555-X ondersteunen het uitvoeren van FTD-beelden en maken er een next-gen firewall van.

Op al deze ondersteunde ASA platforms die het FTD-beeld draaien, corefiles bevinden zich onder /var/data/cores of /ngfw/var/data/cores via de expertmodus. Ze worden ook gespiegeld onder de map vandisk0:/coredumpfsys Lina flash.

root@firepower:/var/data/cores# ls -l
total 59660
-rw-r--r-- 1 root root 4815651 Mar 14 17:07 core.SFDataCorrelato.2035.1552608478.gz
-rw-r--r-- 1 root root 56198339 Mar 14 16:47 core.lina.2113.1552607243.gz
root@firepower:/var/data/cores#


firepower# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

2498562 -rw- 56198339 23:47:26 Mar 14 2019 core.lina.2113.1552607243.gz
2498563 -rw- 4815651 00:07:58 Mar 15 2019 core.SFDataCorrelato.2035.1552608478.gz

2 file(s) total size: 61013990 bytes
42949672960 bytes total (39523602432 bytes free/92% free)

Dingen om te controleren op FirePOWER Platforms

De FirePOWER-platforms worden geleverd met twee softwarecomponenten. Het eerste is de FXOS, het besturingssysteem van de chassis, en het tweede is de app-instantie, ook wel bekend als het logische apparaat, die ofwel ASA of FTD kan zijn. Daarom is het belangrijk om te bepalen welk onderdeel is gecrasht om te bepalen op welke locatie het bestand moet worden gedownload. corefiles

Als de app-instantie crasht op Firepower 1000/2000/4100 en 9300, worden de crashinformatie encorefiles altijd standaard gegenereerd. De kerndump kan echter in sommige gevallen worden uitgeschakeld.

Voer deze opdrachten in om te controleren of de kerndump is ingeschakeld op 4100/9300:

connect module 1 console Firepower-module1>show platform coredumps

Firepower Module Core Dumps in- of uitschakelen:

Schakel kerndumps in op een FirePOWER-module om probleemoplossing te ondersteunen in het geval van een systeemcrash of om desgewenst naar Cisco TAC te verzenden.

Firepower# connect module 1 console show coredump detail

De opdrachtoutput toont de huidige statusinformatie van de kerndump en omvat of de compressie van de kerndump is ingeschakeld.

Firepower-module1>show coredump detail Configured status: ENABLED. ASA Coredump: ENABLED. Bootup status: ENABLED. Compress during crash: DISABLED.

Gebruik het config coredump commando om core dumps in of uit te schakelen en om de compressie van de core dump in of uit te schakelen tijdens een crash.

• Voer het config coredump enable commando in om een kerndump te kunnen maken tijdens een crash.
config coredump disable
• Voer de opdracht in om de creatie van kerndump tijdens een crash uit te schakelen.
config coredump compress
• Voer de opdracht Enable in om compressie van kerndumps mogelijk te maken.
• Voer de opdrachtconfig coredump compress deactiveren in om de compressie van de kerndump uit te schakelen.

Dit voorbeeld laat zien hoe u de core dump kunt inschakelen:

Firepower-module1>config coredump enable Coredump enabled successfully. ASA coredump enabled, do 'config coredump disableAsa' to disable Firepower-module1>config coredump compress enable WARNING: Enabling compression delays system reboot for several minutes after a system failure. Are you sure? (y/n):y Firepower-module1>

Opmerking: Core dump-bestanden verbruiken schijfruimte, en als de ruimte laag draait en compressie niet is ingeschakeld, wordt een core dump-bestand niet opgeslagen, zelfs niet als core dumps zijn ingeschakeld.

Zowel crash als core bestanden moeten worden geüpload voor een volledige analyse omdat het mogelijk is dat het crash bestand niet alle gegevens bevat.

FP9300/FP4100 FXOS

Op FP9300/FP4100 bevinden de FXOS corefiles zich onder de local-mgmt cores map.

firepower-4110# connect local-mgmt
firepower-4110(local-mgmt)# dir cores

1 9337521 Apr 30 11:28:15 2016 1462040896_0x101_snm_log.5289.tar.gz
1 1067736 Oct 09 10:38:49 2017 1507570679_firepower-4110_BC01_MEZZ0101_mcp_log.122.tar.gz
1 798663 Oct 10 18:05:54 2017 1507683913_firepower-4110_BC01_MEZZ0101_mcp_log.122.tar.gz
1 348160 Feb 11 23:53:25 2019 core.21845

Usage for workspace://
3999125504 bytes total
64200704 bytes used
3730071552 bytes free
firepower-4110(local-mgmt)#

Om het kernbestand van FXOS naar uw lokale computer te kopiëren, voert u deze opdracht in:

firepower-4110(local-mgmt)# copy workspace:/cores:/<file>.tar.gz scp://username@x.x.x.x

Op FP9300/FP4100 actieve FTD

Op FP9300/FP4100 lopende FTD, corefiles bevinden zich onder /var/data/cores of /ngfw/var/data/cores via de expertmodus. Ze worden ook gespiegeld onder de map vandisk0:/coredumpfsys Lina flash.

root@firepower:/var/data/cores# ls -l
total 59660
-rw-r--r-- 1 root root 4815651 Mar 14 17:07 core.SFDataCorrelato.2035.1552608478.gz
-rw-r--r-- 1 root root 56198339 Mar 14 16:47 core.lina.2113.1552607243.gz
root@firepower:/var/data/cores#


firepower# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

2498562 -rw- 56198339 23:47:26 Mar 14 2019 core.lina.2113.1552607243.gz
2498563 -rw- 4815651 00:07:58 Mar 15 2019 core.SFDataCorrelato.2035.1552608478.gz

2 file(s) total size: 61013990 bytes
42949672960 bytes total (39523602432 bytes free/92% free)

Op FP9300/FP4100 waarop ASA wordt uitgevoerd

Op FP9300/FP4100 met ASA, corefiles bevinden zich onder de disk0:/coredumpfsys directory.

asa# dir disk0:/coredumpfsys

Directory of disk0:/coredumpfsys/

11 drwx 16384 17:34:50 Sep 10 2018 lost+found
12 -rw- 317600388 16:43:40 Mar 14 2019 core.lina.6320.1552607012.gz

1 file(s) total size: 317600388 bytes
21476089856 bytes total (21255872512 bytes free/98% free)

Op FP2100 FXOS/ASA/FTD

Op FP2100 FXOS/ASA/FTD corefiles bevindt u zich onder de local-mgmt cores directory, of u nu ASA of FTD gebruikt. Op de FTD worden ze ook gespiegeld onder /ngfw/var/data/cores (of /var/data/cores) en via de expertmodus/ngfw/var/common/. Houd er echter rekening mee dat FP2100-platforms niet beschikken over de directory disk0:/coredumpfsys.

Opmerking: de Cisco bug-id CSCvh01912 is ingediend om FP2100 in overeenstemming te brengen met het FP9300/4100-platform. Totdat dat is opgelost, gebruik de beschreven locatie om de corefiles.

Plaats van Firepower Core Files wanneer de FTD in FirePOWER 2100, 1000, ASA-applicatie en ISA 3000 applicatie staat:

Voor al deze platforms, gebruik deze procedure om de kernbestanden met betrekking tot alle Firepower processen te vinden.

Onder /ngfw/var/common/:

1. Sluit de CLI van het apparaat aan via SSH of een console.

2. Voer dit als de expertmodus in:

> expert admin@firepower:~$

3. Word hoofdgebruiker.

admin@firepower:~$ sudo su Password: root@firepower:/home/admin#

4. Navigeer naar de /ngfw/var/common/ map waarin de kernbestanden zich bevinden.

root@firepower:/home/admin# cd /ngfw/var/common/

5. Controleer de map op het bestand.

root@firepower:/ngfw/var/common# ls -l | grep -i core total 21616 -rw-r--r-- 1 root root 22130788 Nov 6 2020 process.core.tar.gz

FTD over FP2100: onder /ngfw/var/data/cores:

> expert
admin@firepower:~$ sudo su
[cut]
root@firepower:/home/admin# ls -l /ngfw/var/data/cores
total 133740
-rw-r--r-- 1 root root 4761622 Jun 4 05:13 core.SFDataCorrelato.28634.1622783636.gz
-rw-r--r-- 1 root root 132014190 Jun 4 05:17 core.lina.11.1378.1622783800.gz
drwx------ 2 root root 16384 Nov 5 2019 lost+found
drwxr-xr-x 3 root root 4096 Nov 5 2019 sysdebug


> connect fxos
[cut]
firepower# connect local-mgmt
firepower(local-mgmt)# dir cores

1 4761622 Jun 04 05:13:56 2021 core.SFDataCorrelato.28634.1622783636.gz
1 132014190 Jun 04 05:17:25 2021 core.lina.11.1378.1622783800.gz
2 16384 Nov 05 22:35:15 2019 lost+found/
3 4096 Nov 05 22:36:05 2019 sysdebug/

Usage for workspace://
85963259904 bytes total
15324155904 bytes used
70639104000 bytes free
firepower(local-mgmt)#

ASA op FP2100:

firepower-2110(local-mgmt)# dir cores

1 167408075 Jul 04 00:43:25 2018 core.lina.6.2025.1530657764.gz
2     16384 Mar 28 16:17:56 2018 lost+found/
3      4096 Mar 28 16:18:43 2018 sysdebug/

Opmerking: de FXOS corefiles worden opgeslagen in dezelfde cores directory van connect local-mgmt.

Op FP1000 FXOS/ASA/FTD

Op FP1000 FXOS/ASA/FTD is dit proces vergelijkbaar met FP2100. Daarnaast is dedisk0:/coredumpfsys directory beschikbaar onder de Lina kant.

FTD van FP1000:

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

FP1010> ena
Password:
FP1010# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

13 -rw- 86493184 19:59:39 Jun 03 2021 core.lina.18707.1622750370.gz
1071057 drwx 4096 23:14:58 Aug 30 2019 sysdebug
14 -rw- 4770749 20:19:24 Jun 03 2021 core.SFDataCorrelato.7098.1622751564.gz
12 -rw- 197689 23:01:08 May 19 2021 core.top.6163.1621465268.gz
16 -rw- 4752067 20:28:03 Jun 03 2021 core.SFDataCorrelato.28195.1622752083.gz
11 drwx 16384 23:13:37 Aug 30 2019 lost+found
15 -rw- 5048839 20:20:32 Jun 03 2021 core.SFDataCorrelato.18952.1622751632.gz

5 file(s) total size: 101262528 bytes
123418959872 bytes total (110302621696 bytes free/89% free)


> connect fxos
[cut]

FP1010# connect local-mgmt
FP1010(local-mgmt)# dir cores

1 5048839 Jun 03 20:20:32 2021 core.SFDataCorrelato.18952.1622751632.gz
1 4752067 Jun 03 20:28:03 2021 core.SFDataCorrelato.28195.1622752083.gz
1 4770749 Jun 03 20:19:24 2021 core.SFDataCorrelato.7098.1622751564.gz
1 86493184 Jun 03 19:59:39 2021 core.lina.18707.1622750370.gz
1 197689 May 19 23:01:08 2021 core.top.6163.1621465268.gz
2 16384 Aug 30 23:13:37 2019 lost+found/
3 4096 Aug 30 23:14:58 2019 sysdebug/

Usage for workspace://
159926181888 bytes total
17475063808 bytes used
142451118080 bytes free


> expert
admin@FP1010:~$ sudo su
Password:
root@FP1010:/home/admin# ls -l /var/data/cores
total 99048
-rw-r--r-- 1 root root 5048839 Jun 3 20:20 core.SFDataCorrelato.18952.1622751632.gz
-rw-r--r-- 1 root root 4752067 Jun 3 20:28 core.SFDataCorrelato.28195.1622752083.gz
-rw-r--r-- 1 root root 4770749 Jun 3 20:19 core.SFDataCorrelato.7098.1622751564.gz
-rw-r--r-- 1 root root 86493184 Jun 3 19:59 core.lina.18707.1622750370.gz
-rw-r--r-- 1 root root 197689 May 19 23:01 core.top.6163.1621465268.gz
drwx------ 2 root root 16384 Aug 30 2019 lost+found
drwxr-xr-x 3 root root 4096 Aug 30 2019 sysdebug

ASA op FP1000:

ciscoasa# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

1071057 drwx 4096 23:14:58 Aug 30 2019 sysdebug
12 -rw- 87580218 04:49:23 Jun 04 2021 core.lina.27515.1622782155.gz
11 drwx 16384 23:13:37 Aug 30 2019 lost+found

1 file(s) total size: 87580218 bytes
16106127360 bytes total (15749222400 bytes free/97% free)


ciscoasa# connect fxos
[cut]
FP1010# connect local-mgmt
FP1010(local-mgmt)# dir cores

1 87580218 Jun 04 04:49:23 2021 core.lina.27515.1622782155.gz
2 16384 Aug 30 23:13:37 2019 lost+found/
3 4096 Aug 30 23:14:58 2019 sysdebug/

Usage for workspace://
159926181888 bytes total
5209071616 bytes used
154717110272 bytes free

Opmerking: FXOS corefiles is opgeslagen in dezelfde kernen directory van verbinden local-mgmt.

Corefiles downloaden

Er is een copy  commando onder connect local-mgmt en Lina/ASA CLI. Gebruik de scp  opdracht voor de FTD-expertmodus.

Andere dingen om te controleren (specifiek voor FirePOWER 4100- en 9300-platforms)

Controleer de uitvoer van de opdrachtshow pmon state onder local-mgmt op FXOS. Dit voorbeeld toont de gewenste output wanneer geen van de processen crashte. Deze output vangt niet alleen crashes op apparaatniveau op, maar ook crashes van interfacemodule/DME enzovoort.

fp1120-v-1(local-mgmt)# show pmon state SERVICE NAME STATE RETRY(MAX) EXITCODE SIGNAL CORE ------------ ----- ---------- -------- ------ ---- svc_sam_dme running 0(4) 0 0 no svc_sam_dcosAG running 0(4) 0 0 no svc_sam_portAG running 0(4) 0 0 no svc_sam_statsAG running 0(4) 0 0 no httpd.sh running 0(4) 0 0 no svc_sam_sessionmgrAG running 0(4) 0 0 no sam_core_mon running 0(4) 0 0 no svc_sam_svcmonAG running 0(4) 0 0 no svc_sam_serviceOrchAG running 0(4) 0 0 no svc_sam_appAG running 0(4) 0 0 no svc_sam_envAG running 0(4) 0 0 no

Als u geen kernbestanden in de gerelateerde FTD/ASA-directory's vindt, kunnen de kernbestanden aanwezig zijn bij de bootCLI op 4100/9300.

Corefiles in de module bekijken

Voer deze opdracht in om verbinding te maken met de moduleconsole:

/ssa # connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'. CISCO Serial Over LAN:
Close Network Connection to Exit Firepower-module1>support filelist ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: Transient_Core_Files
-----------files------------
[No files] ([b] to go back)
Type a sub-dir name to list its contents: b ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: Crashinfo_and_Core_Files
----------sub-dirs----------
lost+found
-----------files------------
2017-03-20 20:45:06 | 40639151 | core.lina.48857.1490042695.gz
2017-03-20 20:48:47 | 40638054 | core.lina.18113.1490042915.gz
2017-03-20 20:52:28 | 40638186 | core.lina.18112.1490043137.gz
2017-03-20 20:56:10 | 40638466 | core.lina.18123.1490043359.gz
2017-03-20 20:59:53 | 40638345 | core.lina.18262.1490043582.gz
2017-03-20 21:03:35 | 40638120 | core.lina.18476.1490043803.gz
2017-03-20 21:07:22 | 40638335 | core.lina.18529.1490044031.gz ([b] to go back)
Type a sub-dir name to list its contents: b ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: x
Firepower-module1>

Als er geen kernbestanden zijn bij bootCLI, kunt u controleren op logbestanden op FXOS-niveau:

connect fxos
1(fxos)# show logging onboard obfl-logs 2-(fxos)# show logging onboard stack-trace 3-(fxos)# show logging onboard kernel-trace 4-(fxos)# show logging onboard exception-log 5-(fxos)# show logging onboard internal kernel 6-(fxos)# show logging onboard internal platform
7-(fxos)#show logging onboard internal kernel | no-more
8-(fxos)#show logging onboard internal kernel-big | no-more
9-(fxos)#show logging onboard internal platform | no-more
10-(fxos)#show logging onboard internal reset-reason | no-more

If logging at fxos level is enabled, you can check the logs on fxos. 
It contains the syslog buffer and OBFL logs stored in NVRAM 

Connect fxos
show logging log --------------------This is a non-persistent syslog buffer
show logging onboard oblf-logs ------Non-volatile storage for history of boot up and reset occurrences. Look here when software crashes or reboots, etc are reported.
show logging nvram ------------------Non-volatile storage for critical logs.Important for historical issues.

On FXOS CLI, at the top-level scope use following command.

show fault detail or show fault

If you want to view faults for a specific object, scope to that object and then enter the show fault command.

You can check for audit-logs which is a persistent store of user operations. 

This moreover stores the sequence of user operations done.

firepower# scope security 
firepower# /security # show audit-logs 

Soms crasht het apparaat in stilte en genereert het geen crash of core bestanden. In dit geval kunt u de logbestanden controleren:

At FTD instance or device level:
###############################

# Navigate to the /ngfw/var/log or /var/log and open the messages log file. Check all the logs generated before the device rebooted.
 You can search for following messages (in /ngfw/var/log or /var/log) to confirm if device rebooted without generating crash and core files:

firepower shutdown[2313]: shutting down for system reboot
Stopping Cisco Firepower 2130 Threat Defense
pm:process [INFO] Begin Process Shutdown

# Check for syslogs messsages (specific to device up and down )generated when the device rebooted. 
You can check for syslogs messages generated 15-30 min before and after the device reboot to know if there are some related messages which could have caused the device reboot/crash.

Bekende Bugs Verwant aan de systeemcrash

Raadpleeg deze pagina's voor aanvullende informatie over de systeemcrash:

• Cisco bug-id CSCvu84127 - FTD silent crash zonder kern- of crashbestand te genereren
• Cisco bug-id CSC35845 - ASA 5516 herladen genererende kernbestanden
• Cisco bug-id CSCvw9444 - FTD crasht met crashinfo/corefile
• Cisco bug-id CSCv86926 - gecrashte FTD-aggregatie crashfile
• Cisco bug-id CSCvp16482 - ASA crasht en genereert een kernbestand
• Cisco bug-id CSCvm53545 - ASA kan traceren en opnieuw laden zonder een crashinfo bestand te genereren