De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft het gebruik en de implementatie van het Eerste Responder-programma voor Cisco Secure Firewall.
Er zijn geen specifieke vereisten van toepassing op dit document.
Dit document is gebaseerd op Cisco Secure Firewall-producten.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Het First Responder-programma is gemaakt door TAC om het gemakkelijker en sneller te maken om diagnostische gegevens te leveren voor de open cases. Het programma bestaat uit twee hoofdonderdelen:
Deze e-mail wordt aan het begin van de case verzonden met instructies over het verzamelen en uploaden van diagnostische gegevens voor TAC-analyse. Er zijn meerdere technologieën die gebruikmaken van dit systeem, en elke e-mail wordt toegewezen aan de Technologie en Subtechnologie die worden gekozen wanneer de case wordt aangemaakt.
Elke implementatie van het First Responder-programma heeft zijn eigen unieke manier om gegevensverzameling en -levering te verwerken. De Secure Firewall-implementatie maakt gebruik van het TAC-authored FirePOWER.py Python-script om dit voor elkaar te krijgen. Het geautomatiseerde e-mailproces genereert een opdracht met één regel, die uniek is voor deze specifieke case, die kan worden gekopieerd en geplakt naar de CLI van beveiligde firewallapparaten die moeten worden uitgevoerd.
Er zijn bepaalde technologieën die zijn ingeschakeld voor het eerste antwoordprogramma. Dit betekent dat elke keer dat een case wordt geopend tegen een van deze enabled-technologieën, een eerste antwoordbericht wordt verstuurd. Als u een eerste antwoordbericht per e-mail ontvangt en gelooft niet dat de gegevensaanvraag relevant is, kunt u de communicatie negeren.
Voor de gebruikscase van Secure Firewall is het eerste antwoordprogramma beperkt tot de FTD-software (Firepower Threat Defence). Als u een ASA-code (Adaptive Security Appliance) gebruikt, moet u deze e-mail negeren. Aangezien deze twee producten op dezelfde hardware draaien, wordt algemeen opgemerkt dat ASA-cases worden gemaakt in de Secure Firewall-technologieruimte, die de eerste e-mail van de antwoordpersoon genereert.
Hier is een voorbeeld van de geautomatiseerde e-mail die als deel van dit programma wordt verzonden:
From: first-responder@cisco.com <first-responder@cisco.com>
Sent: Thursday, September 1, 2022 12:11 PM
To: John Doe <john.doe@cisco.com>
Cc: attach@cisco.com
Subject: SR 666666666 - First Responder Automated E-mail
Dear John,
In an effort to resolve your case faster it may be necessary to collect some diagnostic data from your environment.
Based on the problem statement you provided, below are a few pieces of data that would help speed the resolution and the steps to collect them:
*** Troubleshoot File ***
* Connect to the device using SSH
* Issue the command expert, skip this step for FMC version 6.4.x and earlier
* Issue the command sudo su
* When prompted for the password, enter your password.
* For FMC 6.4 or FTD 6.7 and later issue the command
curl -s -S https://cxd.cisco.com/public/ctfr/firepower.py | python - -c 666666666 -t aBcDeFgHiJkLmNoP -fr --auto-upload &
* For FMC 6.3 or FTD 6.6 and earlier issue the command
curl -k -s -S https://cxd.cisco.com/public/ctfr/firepower.py | python - -c 666666666 -t aBcDeFgHiJkLmNoP -fr --auto-upload &
For more information on what this command does, or to understand why you are receiving this e-mail - please refer to
<LINK_TO_THIS_ARTICLE>
For 6.3 and earlier versions we recommend confirming cxd.cisco.com resolves to <CURRENT_CXD_IP1> or
<CURRENT_CXD_IP2>. Furthermore, we recommend validating the SHA checksum of the file by running
url -s -k https://cxd.cisco.com/public/ctfr/firepower.py | shasum which should output <CURRENT_SHA>.
If you are unable to upload troubleshooting files (or would prefer not to), please let us know what
hardware and software version ou are running if you have not already.
Sincerely, First Responder Team
De geautomatiseerde e-mails voor het eerste antwoordprogramma zijn opgesplitst in twee delen, bekend als het introductieblok en het gegevensverzoekblok.
Het introductieblok is een statische string die wordt opgenomen in elke eerste antwoordbericht e-mail. Deze inleidende zin dient alleen om de context van het (de) gegevensaanvraagblok(ken) aan te geven. Hier is een voorbeeld van een introductieblok:
Dear <NAME>,
In an effort to resolve your case faster it may be necessary to collect some diagnostic data from your environment.
Based on the problem statement you provided, below are a few pieces of data that would help speed the resolution
and the steps to collect them:
De gegevensaanvraagblokken vormen de kern van het eerste antwoordprogramma. Elk blok is een vooraf gedefinieerde set stappen om gegevens te verzamelen voor een bepaalde technologie. Zoals vermeld in het gedeelte Achtergrondinformatie, wordt elk gegevensaanvraagblok aan een specifieke technologie toegewezen. Dit is dezelfde technologie die gekozen is om een ondersteuningscase te openen. Gewoonlijk bevat de geautomatiseerde e-mail één gegevensaanvraagblok. Als de gekozen technologie echter meer dan één gegevensaanvraagblok heeft toegewezen, worden meerdere gegevensverzoeken in de e-mail opgenomen. Hier is een voorbeeldformaat van het blok Gegevensverzoek met meerdere gegevensverzoeken:
*** <REQUEST NAME 1> ***
<REQUEST 1 STEPS>
*** <REQUEST NAME 2> ***
<REQUEST 2 STEPS>
Bijvoorbeeld, in het geval van Secure Firewall, zijn meerdere gegevensaanvraagblokken vaak opgenomen wanneer een verzoek wordt ingediend voor hulp met problemen met Remote Access VPN (RA-VPN) met Firepower Threat Defence (FTD) omdat de VPN technologie ook een toegewezen gegevensverzoekblok heeft geconfigureerd voor hulp om de DART-bundels te verzamelen.
Voor de Secure Firewall wordt er specifiek een unieke opdracht met één regel gegenereerd voor elke case als deel van de geautomatiseerde e-mail. Hier is een analyse van de structuur van het één-lijn bevel:
Opmerking: de vlag -k is vereist voor elke VCC-versie vóór 6.4 en elke VTO-versie vóór 6.7, aangezien het basiscertificaat dat door CXD wordt gebruikt niet door FirePOWER devices werd vertrouwd totdat VCC versie 6.4 en VVB versie 6.7, waardoor de certificaatverificatie mislukt.
Het belangrijkste doel van het script is om een diagnostische bundel te genereren en te uploaden van het Secure Firewall-apparaat dat een probleemoplossing wordt genoemd. Om dit probleemoplossingsbestand te genereren, roept het script firepower.py simpelweg het ingebouwde sf_troubleshoot.pl script dat verantwoordelijk is voor het bouwen van deze bundel. Dit is hetzelfde script dat wordt aangeroepen wanneer u een probleemoplossing genereert vanuit de GUI. Naast het probleemoplossingsbestand heeft het script ook de mogelijkheid om andere diagnostische gegevens te verzamelen die niet zijn opgenomen als onderdeel van de probleemoplossingsbundel. Momenteel zijn de enige aanvullende gegevens die kunnen worden verzameld Core Files - maar dit kan in de toekomst worden uitgebreid als de noodzaak zich voordoet. Het script kan worden uitgevoerd in de modus Automation of Interactive:
Deze modus is ingeschakeld en gebruikt de optie —automatisch uploaden wanneer u het script uitvoert. Deze optie schakelt de interactieve aanwijzingen uit, maakt het verzamelen van kernbestanden mogelijk en uploadt automatisch gegevens naar de case. De opdracht met één regel die door de geautomatiseerde e-mail wordt gegenereerd, bevat de optie —automatisch uploaden.
Dit is de standaarduitvoermodus voor het script. In deze modus ontvangt de gebruiker aanwijzingen om te bevestigen of hij al dan niet aanvullende diagnostische gegevens zoals kernbestanden moet verzamelen. Ongeacht de uitvoeringsmodus, wordt betekenisvolle uitvoer afgedrukt naar het scherm en vastgelegd in een logbestand om de voortgang van de scriptuitvoering aan te geven. Het script zelf is uitgebreid gedocumenteerd via in-line code commentaren en kan worden gedownload/beoordeeld op https://cxd.cisco.com/public/ctfr/firepower.py.
Hier is een voorbeeld van een succesvolle uitvoering van het script:
root@ftd:/home/admin# curl -k -s -S https://cxd.cisco.com/public/ctfr/firepower.py | python - -c 666666666 -t aBcDeFgHiJkLmNoP -fr --auto-upload &
[1] 26422
root@ftd:/home/admin#
`/var/common/first_responder_notify` successfully uploaded to 666666666
Running sf_troubleshoot.pl command to create a troubleshoot file...
Troubleshoot file successfully generated at /ngfw/var/common/results-08-30-2022--135014.tar.gz
Attempting to upload troubleshoot to case...
############################################################################################################################ 100.0%
`/ngfw/var/common/results-08-30-2022--135014.tar.gz` successfully uploaded to 666666666
Found the following core files:
(0 B) - /ngfw/var/common/core_FAKE1.gz
(0 B) - /ngfw/var/common/core_FAKE2.gz
(0 B) - /ngfw/var/common/core_FAKE3.gz
Successfully created /ngfw/var/common/cores_666666666-1661867858.tar.gz
Attempting core file upload...
############################################################################################################################# 100.0%
`/ngfw/var/common/cores_6666666660-1661867858.tar.gz` successfully uploaded to 666666666
FINISHED!
Houd er rekening mee dat dit uitvoervoorbeeld kernbestanden uploadt. Als er geen kernbestanden aanwezig zijn op uw apparaat, "No core files found. Skipping core file processing" wordt het bericht gepresenteerd.
Veelvoorkomende problemen
Hier zijn enkele veelvoorkomende problemen die u kunt ervaren (in volgorde van proces / uitvoering):
E-mail security / URL herschrijven
Vaak wordt opgemerkt dat de eindgebruiker een of ander niveau van e-mailbeveiliging heeft dat de URL herschrijft. Dit wijzigt de opdracht met één regel die als deel van de geautomatiseerde e-mail wordt gegenereerd. Dit resulteert in een executie fout sinds de URL om het script te trekken is herschreven en is ongeldig. Hier is een voorbeeld van het verwachte één-lijn bevel:
curl -s -S https://cxd.cisco.com/public/ctfr/firepower.py | python - -c 666666666 -t aBcDeFgHiJkLmNoP -fr --auto-upload &
Stappen voor het oplossen
Als de URL in de opdracht van de e-mail iets anders is dan https://cxd.cisco.com/public/ctfr/firepower.py, dan is de URL waarschijnlijk herschreven tijdens het transport. Om dit probleem op te lossen, moet u de URL vervangen voordat u de opdracht uitvoert.
DNS-fout
Deze krulfout wordt vaak gezien wanneer het apparaat niet in staat is om de URL op te lossen om het script te downloaden:
curl: (6) Could not resolve host: cxd.cisco.com
Stappen voor het oplossen
Om dit probleem te verhelpen, controleert u de DNS-instellingen op het apparaat om er zeker van te zijn dat u de URL goed kunt verhelpen om verder te gaan.
Logbestand niet openen / maken
Een van de eerste dingen die het script probeert te doen is het aanmaken (of openen, als het al bestaat) van een logbestand met de naam first-responder.log in de huidige werkmap. Als deze operatie mislukt, wordt een fout die een eenvoudige toestemming aangeeft weergegeven:
Permission denied while trying to create log file. Are you running this as root?
Als onderdeel van deze bewerking worden alle andere fouten geïdentificeerd en op het scherm afgedrukt in deze indeling:
Something unexpected happened while trying to create the log file. Here is the error:
----------
<EXCEPTION BODY>
----------
Stappen voor het oplossen
Om deze fout te repareren, voert u het script simpelweg uit als een beheergebruiker zoals admin of root.
Bestand niet openen / schrijven Melden bestand
Als onderdeel van de scriptuitvoering wordt een 0-byte bestand met de naam first_responder_notification op het systeem gemaakt. Dit bestand wordt vervolgens naar de case geüpload als deel van de automatisering voor dit programma. Dit bestand wordt naar de map "/var/common" geschreven. Als de gebruiker die het script uitvoert niet over voldoende rechten beschikt om bestanden naar deze map te schrijven, dan geeft het script de fout weer:
Failed to create file -> `/var/common/first_responder_notify`. Permission denied. Are you running as root?
Stappen voor het oplossen
Om deze fout te repareren, voert u het script simpelweg uit als een beheergebruiker zoals admin of root.
Opmerking: als er een fout wordt aangetroffen die verband houdt met niet-machtigingen, wordt er een catch-all fout op het scherm
"Unexpected error while trying to open file -> `/var/common/first_responder_notify`. Please check first-responder.log file for full error" afgedrukt. De volledige uitzondering lichaam kan worden gevonden in de first-responder.log .
Kan het bestand sf_troubleshoot.pid niet vergrendelen
Om er zeker van te zijn dat er slechts één probleemoplossingsgeneratieproces tegelijkertijd wordt uitgevoerd, probeert het probleemoplossingsgeneratiescript het /var/sf/run/sf_troubleshoot.pid bestand te vergrendelen voordat u doorgaat. Als het script het bestand niet kan vergrendelen, verschijnt er een fout:
Failed to run the `sf_troubleshoot.pl` command - existing sf_troubleshoot process detected. Please wait for existing process to complete.
Stappen voor het oplossen
Meestal betekent deze fout dat er al een afzonderlijke taak voor het genereren van probleemoplossing in uitvoering is. Soms is dit het resultaat van gebruikers die per ongeluk twee keer op een rij de opdracht met één regel uitvoeren. Om dit probleem op te lossen, wacht u tot de huidige generatie probleemoplossing is voltooid en probeer het later opnieuw.
Opmerking: Als er een fout in het script sf_troubleshoot.pl zelf optreedt, dan wordt deze fout weergegeven op het scherm "
Unexpected PROCESS error while trying to run `sf_troubleshoot.pl` command. Please check first-responder.log file for full error"
. De volledige uitzondering lichaam kan worden gevonden in de first-responder.log .
Problemen met uploaden
Er is een algemene uploadfunctie in het script die verantwoordelijk is voor alle geüploade bestanden gedurende de hele scriptuitvoering. Deze functie is simpelweg een python wrapper om een curl upload opdracht uit te voeren om de bestanden naar de case te sturen. Daarom worden fouten die tijdens de uitvoering worden aangetroffen, als curlfoutcode teruggegeven. In het geval van een uploadfout wordt deze fout op het scherm weergegeven:
[FAILURE] Failed to upload `/var/common/first_responder_notify` to 666666666. Please check the first-responder.log file for the full error
Controleer het bestand first-responder.log om de volledige fout te zien. Meestal ziet het bestand first-responder.log er als volgt uit:
08/29/2022 06:51:57 PM - WARNING - Upload Failed with the following error:
----------
Command '['curl', '-k', '--progress-bar', 'https://666666666:aBcDeFgHiJkLmNoP@cxd.cisco.com/home/',
'--upload-file', '/var/common/first_responder_notify']' returned non-zero exit status 6
----------
Stappen voor het oplossen
In dit geval, keerde curl een exit status van 6 terug wat betekent Kan gastheer niet oplossen. Dit is een eenvoudige DNS fout terwijl u probeert om de hostname cxd.cisco.com op te lossen. Raadpleeg de documentatie bij de curl om onbekende uitgangsstatussen te decoderen.
Gerelateerde informatie
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
3.0 |
07-May-2024 |
Hercertificering |
2.0 |
27-Sep-2022 |
Eerste vrijgave |
1.0 |
27-Sep-2022 |
Eerste vrijgave |