FortiGate排错工具详解

  FortiGate排错工具  版本1.0时间2013年7月支持的版本FortiOSv5.0.x状态已审核反馈support_cn@fortinet.com   目录 简介...........................................................................................................................................3FortiOS 诊断.............................................................................................................................3FortiGate 端口.......................................................................................................................30FortiAnalyzer/FortiManager 端口..........................................................................................31FortiGuard 排错.....................................................................................................................32   简介 FortiOS提供了一系列用来排查软硬件故障的工具。这些工具包含诊断和端口；当你需要查看在某个具体应用的进出流量时就会用到端口，例如，UDP 53端口就是FortiGate用来做DNS和RBL查询的端口。 FortiOS 诊断 FortiOS中的许多诊断命令都可以用来排查故障和监控系统状态。在CLI命令行中主要有两组命令集，get和diagnose。这两组命令集可以显示系统信息，连接状态和相关配置，这些信息可以帮助锁定和排除故障，监控系统状态。 一个例外的命令是exec tac report。这个执行命令会启动许多diagnose命令。它会检查许多功能，例如HA，VPN。命令输出的结果需要几分钟才能全部显示完成。可以将这些结果记录到文本文档中，以便查看并熟悉相关命令。 当您致电飞塔技术支持中心时，您会被要求提供您使用设备的相关信息，同时使用诊断命令输出的相关信息。 检查日期和时间 系统日期和时间对于FortiGuard服务，记录日志和发送报警信息都非常重要。错误的时间设置会让日志不能被准确理解和使用。 尽量使用网络时间协议（NTP）设置日期和时间。这是一种自动时间更新方式，不需要手工干预。您需要确定NTP使用的端口不被上游设备阻断。在许多情况下FortiToken同步都需要NTP。 如何查看日期和时间—web管理方式 1，在系统管理—面板—status菜单下，查看系统信息窗口 其中有一行系统日期显示了当前的日期和时间。 对应的CLI命令是execute date和execute time 2，点击更改按钮可以修改日期和时间参数 在命令行中修改时区和NTP设置的参数如下 config system global  set timezone 55    （中国时区，用？替代命令中的55可以显示时区列表） end config system ntp config ntpserver edit 1 set server “ntp1.fortinet.net” next edit 2 set server “ntp2.fortinet.net” next end set ntpsync enable set syncinterval 60 end 系统资源使用 电脑中每个运行的程序都会有一个或多个进程。例如打开一个telnet程序，会对应启动一个相关的进程。FortiOS也是如此。所有进程都会共享FortiOS的内存和CPU资源。 使用如下命令可以查看CPU/内存被进程占用的情况； get system performance top 延时 昀大行数 输出的信息包含进程名称，进程ID，进程是休眠还是运行状态；CPU/内存使用比例。 如何排查高内存使用情况 FortiOS的系统资源是有限的。所有运行的进程都会占用内存。根据负载的大小每个进程都会使用更多或更少的内存，通常高流量会消耗更多内存。如果某些进程占用了所有可用内存，其他进程将因无内存可用而失效。当内存占用高时，您会觉得连接丢失或新建连接被拒绝。 如果您看到系统资源中内存的使用量很高，可能是防火墙正在处理高流量。如果防火墙的某个代理功能正在处理高流量，有可能该代理功能会使用过量 的链接资源。当该代理功能可使用的资源到达0时，问题就发生了。 使用如下的命令可以让防火墙针对杀毒功能的连接资源做优化，设置为idledrop后会丢弃拥有昀多连接数client的连接。 config system global set av_failopen idledrop end 使用如下命令可以查看当前内存的使用情况 diagnose hardware sysinfo memory 输出信息如下： total:   used:       free:  shared: buffers:  cached:   shm: Mem: 2074185728 756936704 1317249024 0 20701184 194555904 161046528 Swap: 0 0 0 MemTotal: 2025572 kB MemFree: 1286376 kB MemShared: 0 kB Buffers: 20216 kB Cached: 189996 kB SwapCached: 0 kB Active: 56644 kB Inactive: 153648 kB HighTotal: 0 kB HighFree: 0 kB LowTotal: 2025572 kB LowFree: 1286376 kB SwapTotal: 0 kB SwapFree: 0 kB 如何排查高CPU使用情况 FortiOS有许多功能，当大部分功能在同一时刻使用时，CPU资源会迅速耗尽。当这种情况发生时，您会发现防火墙不会处理新的请求，或则有更糟糕的情 况发生。 对CPU敏感的功能有，使用高级别的VPN加密，UTM功能全开，记录所有流量日志，系统状态中的面板不停的刷新。 1，查看CPU使用情况     有两个方法。简单的是在系统管理—面板—状态中查看系统资源的使用情况。当指针在红色区域时就需要采取行动了。另一个方法是输入命令     diag sys top     举例输出：     Run Time: 13 days, 13 hours and 58 minutes 0U, 0S, 98I; 123T, 25F, 32KF newcli   903 R 0.5 5.5 sshd     901 S 0.5 4.0 输出第二行的意思如下： U是用户应用占用CPU百分比。0U意味着用户应用占用CPU百分之零。 S是系统进程占用CPU百分比。0S意味着系统进程占用CPU百分之零。 I是CPU空闲百分比。98I表示CPU百分之九十八空闲。 T是系统内存总数（Mb）。123T表示系统有123Mb内存。 F是空闲内存（Mb）。25F表示有25 Mb内存空闲。 KF是共享内存页面。32KF表示系统使用32K共享内存页面。 第二行以下的每一行表示一个单独的进程，第三行的输出是： newcli   903 R 0.5 5.5 newcli是进程名称。 903是进程ID。 R是当前进程状态。进程有几种状态：R 运行；S 休眠；Z 僵死；D 磁盘休眠。 0.5是该进程占用CPU的百分比。 5.5是该进程占用内存的百分比。 当使用命令diag sys top时，可以输入以下几个键值 输入q键可以退出  输入p键按CPU使用情况从高到低排列 输入m键按内存使用情况从高到低排列 2．查看哪些进程使用了昀多的CPU资源 通过diag sys top命令可以查看占用系统资源多的进程名称，一些进程名称解释如下： Ipsengine‐‐‐‐IPS引擎 Scanunitd‐‐‐‐杀毒引擎 Httpsd‐‐‐‐安全的http Iked‐‐‐‐IPSec VPN中使用的IKE Newcli‐‐‐‐使用的cli（命令行） Sshd‐‐‐‐ssh进程 Cmdbsrv‐‐‐‐命令数据库服务器应用 3. 检查无用的CPU“浪费” 即时目前的CPU使用正常，也可以尝试优化CPU的使用情况。 使用NP硬件加速可以减轻CPU的压力，NP硬件可以用于VPN中的加密工作。 尽量避免使用系统—面板中的某些组件，例如会话排行榜。这些组件会频繁使用CPU和其他资源。 在系统空闲的状态下升级杀毒库，IPS库和软件版本。这些操作不会占用太多CPU，但会打断系统的正常工作状态。 查看日志告警级别和日志设置。去掉不必要的日志类别，适当的调高告警级别。 尽量使用syslog记录日志。使用内存记录日志会消耗内存资源；使用硬盘记录日志会降低系统整体的性能。 尽量不记录数据包日志。 不用命令行的抓包和trace操作。 降低会话等待时间。使用如下命令可以降低tcp/udp会话等待时间，从而减少系统资源占用。tcp‐timewait‐timer默认会被系统加上10秒 config system global set tcp‐halfclose‐timer 30  set tcp‐halfopen‐timer 30 set tcp‐timewait‐timer 0  set udp‐idle‐timer 60 end 删除dns‐udp session‐helper，具体操作如下 config system session‐helper delete 14 end 4. 当CPU的使用率在可控范围内，使用SNMP监控CPU使用率。 您应该使用SNMP监视CPU的使用情况。SNMP可以监视FortiOS的许多参数，而且可以发出告警信息。可以在电脑上安装SNMP软件。在系统管理—配置—SNMP中可以启用该功能，同时配置一个SNMP团体。 系统应用进程 使用如下命令监视应用进程： diag test application application option 这个application可以是以下表中的内容 acd汇聚控制器ddnscdDDNS客户端进程dhcp6cDHCP6客户端.进程dhcprelayDHCP转发进程dlpfingerprintDLP指纹进程dlpfpcacheDLP指纹缓存进程dnsproxyDNS代理dsdDLP状态进程.forticlddFortiCloud进程forticronForticron进程fsdFortiExplorer进程 ftpdFTP代理harelayHA转发进程httpHTTP代理imapIMAP代理.info-sslvpndSSL-VPN进程ipldbdIPloadbalancing进程ipsengineips传感器ipsmonitorips监视器ipsufdIPSurlfilter进程l2tpcdL2TP客户端进程.ltedUSBLTE进程miglogdMigloglogging进程nat64dNAT64进程nntpNNTP代理pop3POP3代理pptpcdPPTP客户端proxyacceptorProxyacceptor.proxyworkerProxyworker.quarantinedQuarantine进程radiusdRADIUS进程re