FMC perdeu a referência de todos os objetos: uma experiência real de troubleshooting

William Neumann Cisco, Security, Troubleshooting

Durante um troubleshooting recente em um Firepower Management Center (FMC), me deparei com um problema crítico e, ao mesmo tempo, pouco intuitivo: o FMC simplesmente perdeu a referência de todos os objetos.

Esse artigo nasce de uma experiência real em ambiente de produção. Se esse relato ajudar ao menos uma pessoa a economizar algumas horas (ou dias) de análise, já terá cumprido seu papel.

🔎 Sintoma observado

O comportamento inicial foi estranho e desesperador:

  • Objetos existiam, mas:
    • Não apareciam nas buscas do Object Manager
    • Não podiam ser selecionados ou utilizados em:
      • Regras de firewall
      • Rotas
      • NAT
      • Políticas em geral
  • Ao navegar página por página, os objetos até apareciam visualmente, mas o FMC se comportava como se eles não fossem válidos

Na prática, o FMC “enxergava” os objetos, mas não conseguia indexá-los corretamente.

🧠 Análise inicial

A princípio, parecia:

  • Problema de GUI
  • Bug de cache
  • Inconsistência na base de dados

Reiniciar serviços específicos não resolveu. O impacto era alto, pois nenhuma política nova conseguia referenciar objetos existentes.

🐞 O bug por trás do problema (CSCvp11760)

Após investigação mais profunda (e algumas batalhas), o problema foi associado ao bug conhecido da Cisco:

CSCvp11760 — Search-Index update fails due to missing Activity Event publish

👉 Detalhes oficiais do bug podem ser consultados diretamente no Bug Search Tool da Cisco:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvp11760

Descrição resumida do bug:

  • O índice de busca do FMC não é atualizado
  • Objetos novos não aparecem corretamente
  • O arquivo search.info não sofre atualização

Diretório afetado:

/opt/CSCOpx/MDC/search/

⚠️ Causa raiz

A causa principal está relacionada a esgotamento de recursos, especificamente:

  • Alto consumo de memória RAM
  • Falta de swap disponível
  • O kernel passa a encerrar processos automaticamente para tentar se recuperar

Esse cenário é comum em FMC virtual configurado com apenas 8 GB de RAM, mas também já foi observado em FMC físico, como aconteceu no meu ambiente.

Workaround aplicado (via TAC)

⚠️Importante: este procedimento deve ser realizado com acompanhamento do TAC.

1. Remover o cache de busca do FMC

sudo rm -r /opt/CSCOpx/MDC/search/

Essa ação remove o cache responsável pelo índice de objetos.

2. Reboot completo do FMC

  • Apenas reiniciar os processos não é suficiente
  • É necessário reiniciar todo o FMC
  • Após o reboot:
    • O diretório /opt/CSCOpx/MDC/search/ é recriado
    • O arquivo search.info volta a ser atualizado corretamente

Após esse procedimento, os objetos voltaram a:

  • Aparecer nas buscas
  • Ser referenciados em regras, NATs e rotas
  • Funcionar normalmente no FMC

Conclusão 🧘‍♂️

Esse foi um daqueles problemas clássicos de troubleshooting:

  • Sintoma estranho
  • Impacto alto
  • Causa não óbvia

Mais uma vez, ficou evidente que recursos de infraestrutura importam tanto quanto a configuração lógica. Um FMC sem memória suficiente pode gerar comportamentos extremamente confusos e difíceis de diagnosticar.

Esse artigo reflete uma experiência real em campo. Se esse relato for útil para alguém que esteja passando por um problema parecido, já terá valido muito a pena compartilhar.

Deixe um comentário