Solucionar problemas de recarregamentos inesperados do ASA ou do FTD

Introdução

Este documento descreve como solucionar problemas em cenários onde um dispositivo FTD ou ASA é recarregado sem uma razão óbvia.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Entenda os conceitos básicos das plataformas de hardware Firepower Threat Defense (FTD) e Adaptive Security Appliance (ASA)
• Entender os dispositivos lógicos em plataformas Firepower

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• ASA 5500-X com software ASA versão 9. x
• ASA 5500-X com software FTD versão 6.2.3 e posterior
• Firepower 1000, 1100, 2100, 4100 e 9300 Series com software ASA versão 9. x
• Firepower 1000, 1100, 2100, 4100 e 9300 Series com software FTD versão 6.2.3 e posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Neste documento, o dispositivo se refere ao ASA ou Firepower Next-Generation Firewalls (NGFW), renomeados como Cisco Secure Firewalls, que executam uma imagem do ASA ou do FTD nele como um dispositivo lógico.

Os Cisco Secure Firewalls incluem várias versões de hardware e software. A família ASA inclui firewalls da série 5500-X e a família Firepower inclui dispositivos das séries FPR 1000, 2100, 4100 e 9300. Este documento discute a abordagem inicial para identificar o nível em que o dispositivo ou software travou em todas as plataformas mencionadas e se o travamento foi real ou não. Ele também lista todos os artefatos a serem coletados, onde encontrá-los e como usá-los para encontrar a causa raiz do travamento.

Itens comuns a serem verificados em todas as plataformas e dispositivos lógicos

Confirme se o dispositivo (lógico ou chassi) foi reinicializado ou travou

Para o ASA, use o comando do modo de configuração para verificar o tempo de atividade do dispositivo: # show version | in Up

No hardware Firepower, use estes comandos para verificar o tempo de atividade do dispositivo e o tempo de atividade do chassi (nível FXOS):

FP4100-3# connect fxos
FP4100-3(fxos)# show system uptime

System start time:          Thu Oct 31 22:50:09 2019

System uptime:              391 days, 19 hours, 30 minutes, 45 seconds

Kernel uptime:              391 days, 19 hours, 34 minutes, 34 seconds

Active supervisor uptime:   391 days, 19 hours, 30 minutes, 45 seconds

Observação: se você observar que o dispositivo está ativado apenas no momento do problema, isso confirma que o dispositivo foi reinicializado.

Verifique e confirme se há problemas relacionados à energia que possam levar a reinicializações repentinas do dispositivo.

Se o tempo de atividade não estiver relacionado ao registro de tempo de inatividade na rede (ou failover ou unidade saindo do cluster), isso significa que o problema não ocorreu devido à recarga do dispositivo e o diagnóstico deve navegar em uma direção completamente diferente.

Verifique se há informações de travamento no caso de travamento do ASA SoftwareLina (no FTD)

Um travamento do sistema é uma situação em que o sistema detectou um erro irrecuperável e se reiniciou. Quando um firewall trava, ele cria um arquivo de formato de texto especial conhecido como crashinfo  arquivo. Esse arquivo fornece informações de diagnóstico e registros que ajudam a determinar a análise da causa raiz de um travamento. Para um ASA, o arquivocrashinfo é um texto simples armazenado no Flash: e contém o conteúdo do registro de memória com uma longa lista de outras informações - versão de software, dados coletados e assim por diante.

Insira o comandoshow crashinfo na CLI do ASA no modo exec privilegiado. Você pode ver a saída em qualquer editor de texto ou até mesmo no próprio console ASA.

show flash | in crash

Compartilhe essa saída com o Cisco Technical Assistance Center (TAC) em uma solicitação de serviço e eles podem decodificá-la com ferramentas internas. Esta saída fornece informações úteis sobre os processos e threads, o que ajuda os desenvolvedores a revisar e correlacionar o travamento com outros eventos dentro do dispositivo.

Observação: geralmente, quando você coleta show tech-support saída do ASA ou Lina (no FTD), show crashinfo está idealmente presente nessa saída. No entanto, muitas vezes a saída é diferente ou incompleta em comparação com a execução direta do show crashinfo comando. Portanto, é recomendável sempre inserir o comandoshow crashinfo diretamente no ASA ou na CLI da Lina.

Além dos detalhes comuns a serem verificados, há mais informações e artefatos a serem coletados que dependem dos vários níveis de travamentos que podem ocorrer. Em plataformas ASA, pode haver apenas um único nível de travamento. No entanto, as plataformas Firepower podem ter um travamento de nível de dispositivo lógico (FTD ou software ASA) ou um travamento de nível de chassi (FXOS).

Depois que o tempo de atividade confirmar que o dispositivo travou, um coredump arquivo será gerado, o que é necessário para uma análise mais profunda pelo Cisco TAC. O arquivocoredump pode ser de tipos diferentes com base no componente do software que travou. Os coredump arquivos também são salvos em diferentes diretórios/partes do disco, com base no componente que travou.

Itens a serem verificados nas plataformas ASA

As plataformas ASA têm apenas um componente que pode ser ASA ou FTD.

Todas as plataformas ASA que executam uma imagem ASA

Os corefiles relacionados ao travamento são armazenados em disk0 da unidade flash interna. Para verificar o corefiles, insira o dir disk0:/coredumpfsys comando:

ciscoasa# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

1071057 drwx 4096 23:14:58 Aug 30 2021 sysdebug
12 -rw- 87580218 04:49:23 Jun 04 2021 core_lina.1227726922.258.11.gz
11 drwx 16384 23:13:37 Aug 30 2021 lost+found

1 file(s) total size: 87580218 bytes
16106127360 bytes total (15749222400 bytes free/97% free)

Insira o show coredump filesystem  comando para exibir todos os arquivos no sistema de arquivoscoredump, que também mostra o espaço em disco. Recomenda-se arquivar os coredump arquivos quando conveniente, pois é possível que um subsequente coredump possa remover o anterior coredump(s) para se ajustar ao núcleo atual.

ciscoasa# show coredump filesystem

Coredump Filesystem Size is 100 MB

Filesystem type is FAT for disk0

Filesystem           1k-blocks      Used Available Use% Mounted on
/dev/loop0              102182     75240     26942  74% /mnt/disk0/coredumpfsys

Directory of disk0:/coredumpfsys/

246    -rwx  20205386    19:16:44 Nov 26 2021  core_lina.1227726922.258.11.gz
247    -rwx  36707919    19:21:56 Nov 26 2021  core_lina.1227727222.258.6.gz
248    -rwx  20130838    19:26:36 Nov 26 2021  core_lina.1227727518.258.11.gz

Se você não vir um coredump arquivo no disk0, há uma grande chance de que o coredump não esteja habilitado, o que significa que a revisão não pode ser concluída para essa ocorrência. Para habilitar coredump para ocorrências futuras, insira este comando:

ciscoasa(config)#coredump enable

WARNING: Enabling coredump on an ASA5505 platform will delay the reload of the system in the   
event of software forced reload. The exact time depends on the size of the coredump generated.

Proceed with coredump filesystem allocation of 60 MB 
on 'disk0:' (Note this may take a while) ? [confirm]
 
Making coredump file system image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Coredump file system image created & mounted successfully

/dev/loop0 on /mnt/disk0/coredumpfsys type vfat 
(rw,fmask=0022,dmask=0022,codepage=cp437,iocharset=iso8859-1)

Plataformas ASA que Suportam a Execução da Imagem FTD

As plataformas ASA 5506-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X e ASA 5555-X suportam a execução da imagem FTD, além de torná-la um firewall de próxima geração.

Em todas essas plataformas ASA suportadas que executam a imagem do FTD, corefiles estão localizadas em /var/data/cores ou /ngfw/var/data/cores através do modo especialista. Eles também são espelhados sob o diretóriodisk0:/coredumpfsys do flash Lina.

root@firepower:/var/data/cores# ls -l
total 59660
-rw-r--r-- 1 root root 4815651 Mar 14 17:07 core.SFDataCorrelato.2035.1552608478.gz
-rw-r--r-- 1 root root 56198339 Mar 14 16:47 core.lina.2113.1552607243.gz
root@firepower:/var/data/cores#


firepower# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

2498562 -rw- 56198339 23:47:26 Mar 14 2019 core.lina.2113.1552607243.gz
2498563 -rw- 4815651 00:07:58 Mar 15 2019 core.SFDataCorrelato.2035.1552608478.gz

2 file(s) total size: 61013990 bytes
42949672960 bytes total (39523602432 bytes free/92% free)

Itens a serem verificados em plataformas Firepower

As plataformas Firepower vêm com dois componentes de software. O primeiro é o FXOS, que é o sistema operacional do chassi, e o segundo é a instância do aplicativo, também conhecida como dispositivo lógico, que pode ser ASA ou FTD. Portanto, é importante identificar que peça travou para determinar em que local fazer o download do corefiles

Se a instância do aplicativo travar no Firepower 1000/2000/4100 e 9300, as informações de travamento e corefiles serão sempre geradas por padrão. No entanto, o dump central pode ser desativado em alguns casos.

Para verificar se o dump central está habilitado em 4100/9300, insira estes comandos:

connect module 1 console Firepower-module1>show platform coredumps

Habilitar ou desabilitar despejos de núcleo do módulo Firepower:

Ative os dumps principais em um módulo Firepower para ajudar a solucionar problemas no caso de um travamento do sistema ou para enviar ao Cisco TAC, se solicitado.

Firepower# connect module 1 console show coredump detail

A saída do comando mostra as informações atuais do status do dump central e inclui se a compactação do dump central está habilitada.

Firepower-module1>show coredump detail Configured status: ENABLED. ASA Coredump: ENABLED. Bootup status: ENABLED. Compress during crash: DISABLED.

Use o comandoconfig coredump para habilitar ou desabilitar dumps de núcleo e para habilitar ou desabilitar a compactação de dump de núcleo durante um travamento.

• Insira o comandoconfig coredump enable para habilitar a criação de um dump central durante um travamento.
• Insira o comandoconfig coredump disable para desabilitar a criação de dump central durante um travamento.
• Insira o comando enableconfig coredump compress para habilitar a compactação de dumps principais.
• Insira o comando disableconfig coredump compress para desabilitar a compactação de dump central.

Este exemplo mostra como ativar o dump central:

Firepower-module1>config coredump enable Coredump enabled successfully. ASA coredump enabled, do 'config coredump disableAsa' to disable Firepower-module1>config coredump compress enable WARNING: Enabling compression delays system reboot for several minutes after a system failure. Are you sure? (y/n):y Firepower-module1>

Observação: os arquivos de dump central consomem espaço em disco e, se o espaço for insuficiente e a compactação não estiver habilitada, um arquivo de dump central não será salvo, mesmo que os dumps principais estejam habilitados.

Os arquivos de travamento e principais devem ser carregados para uma análise completa, pois é possível que o arquivo de travamento não contenha todos os dados.

FP9300/FP4100 FXOS

No FP9300/FP4100, os FXOS corefiles estão localizados no diretóriolocal-mgmt cores.

firepower-4110# connect local-mgmt
firepower-4110(local-mgmt)# dir cores

1 9337521 Apr 30 11:28:15 2016 1462040896_0x101_snm_log.5289.tar.gz
1 1067736 Oct 09 10:38:49 2017 1507570679_firepower-4110_BC01_MEZZ0101_mcp_log.122.tar.gz
1 798663 Oct 10 18:05:54 2017 1507683913_firepower-4110_BC01_MEZZ0101_mcp_log.122.tar.gz
1 348160 Feb 11 23:53:25 2019 core.21845

Usage for workspace://
3999125504 bytes total
64200704 bytes used
3730071552 bytes free
firepower-4110(local-mgmt)#

Para copiar o arquivo principal do FXOS para o computador local, digite este comando:

firepower-4110(local-mgmt)# copy workspace:/cores:/<file>.tar.gz scp://username@x.x.x.x

No FP9300/FP4100 executando o FTD

No FP9300/FP4100 executando o FTD, corefiles estão localizados em /var/data/cores ou /ngfw/var/data/cores através do modo especialista. Eles também são espelhados sob o diretóriodisk0:/coredumpfsys do flash Lina.

root@firepower:/var/data/cores# ls -l
total 59660
-rw-r--r-- 1 root root 4815651 Mar 14 17:07 core.SFDataCorrelato.2035.1552608478.gz
-rw-r--r-- 1 root root 56198339 Mar 14 16:47 core.lina.2113.1552607243.gz
root@firepower:/var/data/cores#


firepower# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

2498562 -rw- 56198339 23:47:26 Mar 14 2019 core.lina.2113.1552607243.gz
2498563 -rw- 4815651 00:07:58 Mar 15 2019 core.SFDataCorrelato.2035.1552608478.gz

2 file(s) total size: 61013990 bytes
42949672960 bytes total (39523602432 bytes free/92% free)

No FP9300/FP4100 executando ASA

No FP9300/FP4100 executando ASA, corefiles estão localizados no diretóriodisk0:/coredumpfsys.

asa# dir disk0:/coredumpfsys

Directory of disk0:/coredumpfsys/

11 drwx 16384 17:34:50 Sep 10 2018 lost+found
12 -rw- 317600388 16:43:40 Mar 14 2019 core.lina.6320.1552607012.gz

1 file(s) total size: 317600388 bytes
21476089856 bytes total (21255872512 bytes free/98% free)

No FP2100 FXOS/ASA/FTD

No FP2100 FXOS/ASA/FTD, corefiles estão localizados sob o local-mgmt cores diretório se você usa o ASA ou o FTD. No FTD, eles também são espelhados em /ngfw/var/data/cores (ou /var/data/cores) e /ngfw/var/common/ através do modo especialista. No entanto, observe que as plataformas FP2100 não têm o diretório disk0:/coredumpfsys.

Observação: o bug da Cisco ID CSCvh01912 foi enviado para tornar o FP2100 consistente com a plataforma FP9300/4100. Até que isso seja resolvido, use o local descrito para encontrar o corefiles.

Local dos arquivos principais do Firepower quando o FTD estiver no Firepower 2100, 1000, no dispositivo ASA e no dispositivo ISA 3000:

Para todas essas plataformas, use este procedimento para localizar os arquivos principais relacionados a todos os processos do Firepower.

Sob /ngfw/var/common/:

1. Conecte-se ao CLI do equipamento via SSH ou console.

2. Informe-o como o modo especialista:

> expert admin@firepower:~$

3. Torne-se um usuário raiz.

admin@firepower:~$ sudo su Password: root@firepower:/home/admin#

4. Navegue até a pasta/ngfw/var/common/ onde os arquivos principais estão localizados.

root@firepower:/home/admin# cd /ngfw/var/common/

5. Verifique a pasta do arquivo.

root@firepower:/ngfw/var/common# ls -l | grep -i core total 21616 -rw-r--r-- 1 root root 22130788 Nov 6 2020 process.core.tar.gz

FTD no FP2100: sob /ngfw/var/data/cores:

> expert
admin@firepower:~$ sudo su
[cut]
root@firepower:/home/admin# ls -l /ngfw/var/data/cores
total 133740
-rw-r--r-- 1 root root 4761622 Jun 4 05:13 core.SFDataCorrelato.28634.1622783636.gz
-rw-r--r-- 1 root root 132014190 Jun 4 05:17 core.lina.11.1378.1622783800.gz
drwx------ 2 root root 16384 Nov 5 2019 lost+found
drwxr-xr-x 3 root root 4096 Nov 5 2019 sysdebug


> connect fxos
[cut]
firepower# connect local-mgmt
firepower(local-mgmt)# dir cores

1 4761622 Jun 04 05:13:56 2021 core.SFDataCorrelato.28634.1622783636.gz
1 132014190 Jun 04 05:17:25 2021 core.lina.11.1378.1622783800.gz
2 16384 Nov 05 22:35:15 2019 lost+found/
3 4096 Nov 05 22:36:05 2019 sysdebug/

Usage for workspace://
85963259904 bytes total
15324155904 bytes used
70639104000 bytes free
firepower(local-mgmt)#

ASA no FP2100:

firepower-2110(local-mgmt)# dir cores

1 167408075 Jul 04 00:43:25 2018 core.lina.6.2025.1530657764.gz
2     16384 Mar 28 16:17:56 2018 lost+found/
3      4096 Mar 28 16:18:43 2018 sysdebug/

Observação: os FXOS corefiles são armazenados no mesmo diretório cores a partir da conexãolocal-mgmt.

No FP1000 FXOS/ASA/FTD

No FP1000 FXOS/ASA/FTD, esse processo é semelhante ao FP2100. Além disso, o diretóriodisk0:/coredumpfsys está disponível no lado Lina.

FTD no FP1000:

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

FP1010> ena
Password:
FP1010# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

13 -rw- 86493184 19:59:39 Jun 03 2021 core.lina.18707.1622750370.gz
1071057 drwx 4096 23:14:58 Aug 30 2019 sysdebug
14 -rw- 4770749 20:19:24 Jun 03 2021 core.SFDataCorrelato.7098.1622751564.gz
12 -rw- 197689 23:01:08 May 19 2021 core.top.6163.1621465268.gz
16 -rw- 4752067 20:28:03 Jun 03 2021 core.SFDataCorrelato.28195.1622752083.gz
11 drwx 16384 23:13:37 Aug 30 2019 lost+found
15 -rw- 5048839 20:20:32 Jun 03 2021 core.SFDataCorrelato.18952.1622751632.gz

5 file(s) total size: 101262528 bytes
123418959872 bytes total (110302621696 bytes free/89% free)


> connect fxos
[cut]

FP1010# connect local-mgmt
FP1010(local-mgmt)# dir cores

1 5048839 Jun 03 20:20:32 2021 core.SFDataCorrelato.18952.1622751632.gz
1 4752067 Jun 03 20:28:03 2021 core.SFDataCorrelato.28195.1622752083.gz
1 4770749 Jun 03 20:19:24 2021 core.SFDataCorrelato.7098.1622751564.gz
1 86493184 Jun 03 19:59:39 2021 core.lina.18707.1622750370.gz
1 197689 May 19 23:01:08 2021 core.top.6163.1621465268.gz
2 16384 Aug 30 23:13:37 2019 lost+found/
3 4096 Aug 30 23:14:58 2019 sysdebug/

Usage for workspace://
159926181888 bytes total
17475063808 bytes used
142451118080 bytes free


> expert
admin@FP1010:~$ sudo su
Password:
root@FP1010:/home/admin# ls -l /var/data/cores
total 99048
-rw-r--r-- 1 root root 5048839 Jun 3 20:20 core.SFDataCorrelato.18952.1622751632.gz
-rw-r--r-- 1 root root 4752067 Jun 3 20:28 core.SFDataCorrelato.28195.1622752083.gz
-rw-r--r-- 1 root root 4770749 Jun 3 20:19 core.SFDataCorrelato.7098.1622751564.gz
-rw-r--r-- 1 root root 86493184 Jun 3 19:59 core.lina.18707.1622750370.gz
-rw-r--r-- 1 root root 197689 May 19 23:01 core.top.6163.1621465268.gz
drwx------ 2 root root 16384 Aug 30 2019 lost+found
drwxr-xr-x 3 root root 4096 Aug 30 2019 sysdebug

ASA no FP1000:

ciscoasa# dir disk0:/coredumpfsys
Directory of disk0:/coredumpfsys/

1071057 drwx 4096 23:14:58 Aug 30 2019 sysdebug
12 -rw- 87580218 04:49:23 Jun 04 2021 core.lina.27515.1622782155.gz
11 drwx 16384 23:13:37 Aug 30 2019 lost+found

1 file(s) total size: 87580218 bytes
16106127360 bytes total (15749222400 bytes free/97% free)


ciscoasa# connect fxos
[cut]
FP1010# connect local-mgmt
FP1010(local-mgmt)# dir cores

1 87580218 Jun 04 04:49:23 2021 core.lina.27515.1622782155.gz
2 16384 Aug 30 23:13:37 2019 lost+found/
3 4096 Aug 30 23:14:58 2019 sysdebug/

Usage for workspace://
159926181888 bytes total
5209071616 bytes used
154717110272 bytes free

Observação: FXOScorefiles são armazenados no mesmo diretório de núcleos da conexão local-mgmt.

Faça download dos arquivos principais

Há um copy  comando em e Lina/ASA CLIconnect local-mgmt. Para o modo especialista em FTD, use o scp  comando.

Outros itens a serem verificados (específicos para plataformas Firepower 4100 e 9300)

Verifique a saída do comandoshow pmon state em local-mgmt no FXOS. Este exemplo mostra a saída desejada quando nenhum dos processos travou. Essa saída captura não apenas travamentos em nível de dispositivo, mas travamentos de módulo de interface/DME e assim por diante.

fp1120-v-1(local-mgmt)# show pmon state SERVICE NAME STATE RETRY(MAX) EXITCODE SIGNAL CORE ------------ ----- ---------- -------- ------ ---- svc_sam_dme running 0(4) 0 0 no svc_sam_dcosAG running 0(4) 0 0 no svc_sam_portAG running 0(4) 0 0 no svc_sam_statsAG running 0(4) 0 0 no httpd.sh running 0(4) 0 0 no svc_sam_sessionmgrAG running 0(4) 0 0 no sam_core_mon running 0(4) 0 0 no svc_sam_svcmonAG running 0(4) 0 0 no svc_sam_serviceOrchAG running 0(4) 0 0 no svc_sam_appAG running 0(4) 0 0 no svc_sam_envAG running 0(4) 0 0 no

Se você não encontrar nenhum arquivo principal nos diretórios FTD/ASA relacionados, os arquivos principais podem estar presentes na CLI de inicialização em 4100/9300.

Exibir arquivos principais dentro do módulo

Insira este comando para se conectar ao console do módulo:

/ssa # connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'. CISCO Serial Over LAN:
Close Network Connection to Exit Firepower-module1>support filelist ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: Transient_Core_Files
-----------files------------
[No files] ([b] to go back)
Type a sub-dir name to list its contents: b ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: Crashinfo_and_Core_Files
----------sub-dirs----------
lost+found
-----------files------------
2017-03-20 20:45:06 | 40639151 | core.lina.48857.1490042695.gz
2017-03-20 20:48:47 | 40638054 | core.lina.18113.1490042915.gz
2017-03-20 20:52:28 | 40638186 | core.lina.18112.1490043137.gz
2017-03-20 20:56:10 | 40638466 | core.lina.18123.1490043359.gz
2017-03-20 20:59:53 | 40638345 | core.lina.18262.1490043582.gz
2017-03-20 21:03:35 | 40638120 | core.lina.18476.1490043803.gz
2017-03-20 21:07:22 | 40638335 | core.lina.18529.1490044031.gz ([b] to go back)
Type a sub-dir name to list its contents: b ============================
Directory: /
Downloads_Directory
CSP_Downloaded_Files
Archive_Files
Crashinfo_and_Core_Files
Boot_Files
ApplicationLogs
Transient_Core_Files Type a sub-dir name to list its contents, or [x] to Exit: x
Firepower-module1>

Se não houver arquivos principais no bootCLI, você poderá verificar os registros no nível FXOS:

connect fxos
1(fxos)# show logging onboard obfl-logs 2-(fxos)# show logging onboard stack-trace 3-(fxos)# show logging onboard kernel-trace 4-(fxos)# show logging onboard exception-log 5-(fxos)# show logging onboard internal kernel 6-(fxos)# show logging onboard internal platform
7-(fxos)#show logging onboard internal kernel | no-more
8-(fxos)#show logging onboard internal kernel-big | no-more
9-(fxos)#show logging onboard internal platform | no-more
10-(fxos)#show logging onboard internal reset-reason | no-more

If logging at fxos level is enabled, you can check the logs on fxos. 
It contains the syslog buffer and OBFL logs stored in NVRAM 

Connect fxos
show logging log --------------------This is a non-persistent syslog buffer
show logging onboard oblf-logs ------Non-volatile storage for history of boot up and reset occurrences. Look here when software crashes or reboots, etc are reported.
show logging nvram ------------------Non-volatile storage for critical logs.Important for historical issues.

On FXOS CLI, at the top-level scope use following command.

show fault detail or show fault

If you want to view faults for a specific object, scope to that object and then enter the show fault command.

You can check for audit-logs which is a persistent store of user operations. 

This moreover stores the sequence of user operations done.

firepower# scope security 
firepower# /security # show audit-logs 

Às vezes, o dispositivo trava silenciosamente e não gera nenhum arquivo de travamento ou núcleo. Nesse caso, você pode verificar os logs:

At FTD instance or device level:
###############################

# Navigate to the /ngfw/var/log or /var/log and open the messages log file. Check all the logs generated before the device rebooted.
 You can search for following messages (in /ngfw/var/log or /var/log) to confirm if device rebooted without generating crash and core files:

firepower shutdown[2313]: shutting down for system reboot
Stopping Cisco Firepower 2130 Threat Defense
pm:process [INFO] Begin Process Shutdown

# Check for syslogs messsages (specific to device up and down )generated when the device rebooted. 
You can check for syslogs messages generated 15-30 min before and after the device reboot to know if there are some related messages which could have caused the device reboot/crash.

Erros conhecidos relacionados ao travamento do sistema

Consulte estas páginas para obter informações adicionais sobre o travamento do sistema:

• ID de bug Cisco CSCvu84127 - Falha silenciosa de FTD sem gerar o núcleo ou o arquivo de falha
• ID de bug Cisco CSCwa35845 - ASA 5516 recarregado gerando arquivos de núcleo
• ID de bug Cisco CSCvw99444 - FTD travado com crashinfo/corefile
• ID de bug Cisco CSCv86926 - Geração de FTD travada crashfile
• ID de bug da Cisco CSCvp16482 - O ASA travou ao gerar um arquivo de núcleo
• ID de bug Cisco CSCvm53545 - O ASA pode rastrear e recarregar sem gerar um crashinfo arquivo