Inleiding
In dit document wordt beschreven hoe u de logbestanden kunt downloaden van Cisco Firepower Management Center (FMC) en Firepower Threat Defense FTD naar een lokale computer.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Firepower-apparaat
- Virtuele apparaatmodellen
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Bestanden kopiëren
Bestand kopiëren van FTD naar FMC
Er is een Secure Copy Protocol-server (SCP) op FMC, daarom kunnen de bestanden worden verplaatst van FTD naar FMC.
root@FMC:~$ scp admin@<FTD ip>:<path to file> <path to local directory where to store>
Een veelvoorkomend voorbeeld is het verplaatsen van het/de kernbestand(en) van FTD naar de FMC.
Op de FTD:
root@ciscoasa:/ngfw/var/common# ls -l
total 1557960
-rw-r--r-- 1 root root 23231 Sep 6 03:43 core_1482327396_Firepower-module1_snort_6
-rw------- 1 root root 560128000 Apr 26 01:47 core_1556242979_ciscoasa_snort_6.8777
-rw------- 1 root root 383381504 Aug 25 23:05 core_1566774281_ciscoasa_snort_11.31618
-rw------- 1 root root 69562368 Aug 25 23:05 core_1566774281_ciscoasa_snort_11.31620
-rw------- 1 root root 465424384 Aug 28 02:21 core_1566958444_ciscoasa_snort_6.18352
-rw------- 1 root root 116887552 Aug 28 02:18 core_1566958688_ciscoasa_snort_6.18340
-rw------- 1 root root 52338688 Aug 28 02:18 core_1566958689_ciscoasa_snort_6.18341
-rw------- 1 root root 465514496 Sep 2 02:20 core_1567390346_ciscoasa_snort_6.27631
-rw------- 1 root root 151572480 Sep 2 02:17 core_1567390618_ciscoasa_snort_6.27435
Zet nu het bestand over naar de FMC:
root@FMC:/Volume/home/admin# scp admin@10.10.10.10:/ngfw/var/common/core_1567390618_ciscoasa_snort_6.27435 /var/common/
Opmerking: voeg -v toe voor uitgebreide logboekregistratie op de scp-opdracht voor verdere probleemoplossing.
Bestanden kopiëren van FMC naar lokale machine
SCP gebruiken om te kopiëren
Er is een Secure Copy Protocol-server (SCP) op FMC en deze gebruikt de bestanden die kunnen worden verplaatst van FMC naar een ander apparaat.
root@FMC:~$ scp <path to local directory where to store> admin@<FMC ip>:<path to file>
Een veel gebruikte werkwijze is om de kernbestanden van het VCC naar het lokale bureaublad te verplaatsen:
root@localMachine:/Volume/home/admin# scp admin@10.10.10.20:/var/common/core_1567390618_ciscoasa_snort_6.27435 /var/tmp/
WInSCP is een populaire tool die vaak wordt gebruikt in Windows. Deze tool biedt een GUI-gebaseerde interface.
In FMC 6.4 and above, SCP to the FMC is not possible directly. For that, the following is needed(the below is intended for user: admin):
root@FMC:/Volume/home/admin# usermod --shell /bin/bash admin
After this SCP to the FMC will work. Once done, please remeber to rollback(prior to closing the session) else admin login can have issues:
root@FMC:/Volume/home/admin# usermod --shell /usr/bin/clish admin
Downloaden van GUI
De bestanden die aanwezig zijn /var/common kunnen worden gedownload van de GUI.
If there are any file(s) and/or tcpdump generated on the FMC, please move to /var/common, so that it can be downloaded from the GUI.
Stap 1. Ga naar System > Health > Monitor en klik op de sensor waarvan het bestand moet worden gedownload, zoals getoond in de afbeelding:
Stap 2. Ga naar System > Health > Monitor en klik op Geavanceerde probleemoplossing, zoals getoond in de afbeelding:
Stap 3. Voer de bestandsnaam in en klik op downloaden, zoals getoond in de afbeelding: