【Fortigate】よく使用するCLIコマンド FortiOS6.4.3 (2022)

Fortigateでは、基本的にGUIで設定や稼働状態確認など実施することができますが、GUIでは実施できない操作や確認結果をログに残すなどする場合は、CLIの方が便利なことがあります。この記事では、Fortigateを使用する上で、よく使用するCLIコマンドを確認していきます。

スポンサーリンク

  1. 基本操作
    1. コマンド構造
    2. Configモードから抜ける場合(コンソール設定でページング設定で確認)
  2. 設定情報
    1. 設定全体の確認( show , show full-configuration )
    2. 階層内の設定情報の確認
    3. 設定出力のフィルタ( grep )
  3. バージョン情報 ( get system status )
  4. パフォーマンス情報( get system performance status )
  5. インターフェース情報
    1. get system interface physical
    2. get hardware nic [ポート番号]
    3. fnsysctl ifconfig / diagnose netlink interface list name
  6. ネットワーク情報
    1. ARPテーブル情報( get system arp /diagnose ip arp list )
    2. ルーティングテーブル情報 ( get router info routing-table all )
  7. ネットワーク診断 (execute ping / execute traceroute)
  8. セッション情報
    1. get system session status
    2. get system session list
    3. diagnose sys session list
  9. ログ情報(execute log)
    1. トラフィックログを取得
    2. Webフィルタのログ取得
    3. 出力ログ件数
    4. フィールドを指定したフィルタ
  10. 再起動、停止
  11. 参考

基本操作

コマンド構造

ログイン後、?を押下すると、実行できるコマンドの一覧が出力されます。

FortiGate # config Configure object.get Get dynamic and system information.show Show configuration.diagnose Diagnose facility.execute Execute static commands.alias Execute alias commands.exit Exit the CLI.

config は、稼働設定が格納されている階層へ移動します。情報取得には、getdiagnose が使用されます。 show は 設定情報を確認する際に使用します。最後、executeは何らか実行する(例えば、pingなど)場合に使用されます。

Configモードから抜ける場合(コンソール設定でページング設定で確認)

設定保存して抜ける場合、end を実行します。 ここでは、コンソールのページングの無効化設定で確認します。

デフォルトでは、CLIの出力結果が長い場合、途中で「–More–」が表示され、エンターキーにより残りの結果をスクロールしながら表示します。 「–More–」によるページングをさせずに表示させるには、set output standard を設定します。

config system consoleへ移動し、showを実行すると、コンソール関連の設定が確認できます。以下の例では何も設定されていません。

FortiGate # config system consoleFortiGate (console) # showconfig system consoleendFortiGate (console) #

では、ページングの無効化設定をします。

FortiGate # config system console  FortiGate (console) # set output standard  FortiGate (console) # end  

endを実行することで、設定が保存されます。設定内容を再度確認します。

FortiGate # config system consoleFortiGate (console) # showconfig system console set output standardendFortiGate (console) #

また、ページングさせるよう元に戻すには、set output more とすることで、元に戻ります。

FortiGate # config system console FortiGate (console) # set output more FortiGate (console) # end 

設定が元に戻っていることが確認できます。

FortiGate # config system console FortiGate (console) # show config system consoleendFortiGate (console) #

もう一度、ページングを無効にするset output standardを設定します。ただし、この設定が誤っていたなどの理由により設定を反映させたくない場合は、abortを実行します。

FortiGate # config system console FortiGate (console) # set output standard FortiGate (console) # abort 

設定が反映されていないことが確認できます。

FortiGate # config system console FortiGate (console) # show config system consoleendFortiGate (console) #

スポンサーリンク

設定情報

設定全体の確認( show , show full-configuration )

現在の稼働コンフィグを確認するには、show コマンド を実行します。

FortiGate # show#config-version=FGVMA6-6.4.3-FW-build1778-201021:opmode=1:vdom=0:user=admin#conf_file_ver=1850439415272169#buildno=1778#global_vdom=1config system global set allow-traffic-redirect disable set hostname "FortiGate" set language japanese set timezone 60end

デフォルト値など、すべての構成情報を取得するには、show full-configuration コマンドを実行します。

FortiGate # show full-configuration #config-version=FGVMA6-6.4.3-FW-build1778-201021:opmode=1:vdom=0:user=admin#conf_file_ver=1850439415272169#buildno=1778#global_vdom=1config system global set admin-concurrent enable set admin-console-timeout 0 set admin-hsts-max-age 15552000 set admin-https-pki-required disable set admin-https-redirect enable set admin-https-ssl-versions tlsv1-1 tlsv1-2 tlsv1-3 set admin-lockout-duration 60

階層内の設定情報の確認

設定情報は相当な長い出力のため、例えば、一部の階層のみに絞って設定情報を確認することができます。

例えば、インターフェース設定に関連する階層の設定情報だけを出力したい場合、config system interfaceへ移動し、showを実行します。

FortiGate # config system interface FortiGate (interface) # show config system interface edit "port1" set vdom "root" set mode dhcp set allowaccess ping https ssh fgfm set type physical set alias "Internet" set snmp-index 1 set dns-server-override disable set mtu-override enable set mtu 9001 

その他、ポリシー設定であれば、config firewall policy へ移動し、show を実行することで確認できます。

FortiGate # config firewall policyFortiGate (policy) # showconfig firewall policy edit 1 set name "Internet_to_LAN" set uuid a0bcf9c0-2198-51eb-31e7-0daada4bf22c set srcintf "port1" set dstintf "port2" set srcaddr "all" set dstaddr "DestNAT" set action accept set schedule "always" set service "PING" "RDP" "SSH" set logtraffic all set nat enable next

設定出力のフィルタ( grep )

grepにより特定のキーワードを含む行のみを抽出することができます。

例えば、設定情報の中に”Internet“という文字のみの行を抽出します。

FortiGate # show | grep Internet set alias "Internet" edit "Internet-Locator-Service" edit "AVG-Internet-Security-AV" edit "AVG-Internet-Security-FW"

設定情報の中に”Internet“もしくは””LANという文字のみの行を抽出します。

FortiGate # show | grep 'Internet\|LAN' set alias "Internet" set alias "LAN" edit "Internet-Locator-Service" edit "AVG-Internet-Security-AV" edit "AVG-Internet-Security-FW"

このように、特定のキーワードを含む行のみを抽出することができますが、-f オプションをつけることで、キーワードを含むツリー全体を表示することができます。

FortiGate # show | grep 'Internet\|LAN' -fconfig system interface edit "port1" set vdom "root" set mode dhcp set allowaccess ping https ssh fgfm set type physical set alias "Internet" <--- set snmp-index 1 set dns-server-override disable set mtu-override enable set mtu 9001 next

キーワードが含まれている行には、 <—が表示されています。 また、キーワードに関して、大文字、小文字などを区別せずに、抽出する場合は、-i オプションをつけます。

FortiGate # show | grep 'Internet\|LAN' -f -iconfig system global set alias "FortiGate-VM64-AWS" set allow-traffic-redirect disable set hostname "FortiGate" set language japanese <--- set timezone 60endconfig system interface edit "port1" set vdom "root" set mode dhcp set allowaccess ping https ssh fgfm set type physical set alias "Internet" <--- set snmp-index 1 set dns-server-override disable set mtu-override enable set mtu 9001 next edit "port2" set vdom “root"

スポンサーリンク

バージョン情報 ( get system status )

OSのバージョン情報やシリアル番号などは、get system status コマンドで確認できます。

FortiGate # get system status Version: FortiGate-VM64-AWS v6.4.3,build1778,201021 (GA)Virus-DB: 81.00984(2020-11-20 21:20)Extended DB: 81.00984(2020-11-20 21:20)Extreme DB: 1.00000(2018-04-09 18:07)IPS-DB: 6.00741(2015-12-01 02:30)IPS-ETDB: 16.00965(2020-11-19 01:14)APP-DB: 16.00965(2020-11-19 01:14)INDUSTRIAL-DB: 16.00965(2020-11-19 01:14)Serial-Number: FGTXXXXXXXXXXXXIPS Malicious URL Database: 2.00834(2020-11-20 05:27)License Status: ValidVM Resources: 4 CPU, 7653 MB RAMVM Instance ID: i-04059e4d5cfa10a35Log hard disk: AvailableHostname: FortiGateOperation Mode: NATCurrent virtual domain: rootMax number of virtual domains: 1Virtual domains status: 1 in NAT mode, 0 in TP modeVirtual domain configuration: disableFIPS-CC mode: disableCurrent HA mode: standaloneBranch point: 1778Release Version Information: GAFortiOS x86-64: YesSystem time: Sun Nov 29 13:56:58 2020

パフォーマンス情報( get system performance status )

現在のCPUやメモリ使用率を確認するには、get system performance status コマンドを実行します。

FortiGate # get system performance status CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirqCPU0 states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirqCPU1 states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirqCPU2 states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirqCPU3 states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirqMemory: 7837360k total, 1207584k used (15.4%), 6428976k free (82.0%), 200800k 
freeable (2.6%)Average network usage: 12 / 13 kbps in 1 minute, 12 / 18 kbps in 10 minutes,
17 / 47 kbps in 30 minutesAverage sessions: 31 sessions in 1 minute, 27 sessions in 10 minutes,
25 sessions in 30 minutesAverage session setup rate: 1 sessions per second in last 1 minute,
0 sessions per second in last 10 minutes, 0 sessions per second in last 30 minutesVirus caught: 0 total in 1 minuteIPS attacks blocked: 0 total in 1 minuteUptime: 0 days, 0 hours, 31 minutes

インターフェース情報

get system interface physical

インタフェースに付与されているIPアドレスやポート速度、デュプレックスを確認するには、get system interface physical コマンドを実行します。(仮想環境で情報取得したため、speed/duplexが表示されていませんが、物理アプライアンスであれば、表示されます)

FortiGate # get system interface physical == [onboard] ==[port1] mode: dhcp ip: 10.0.0.122 255.255.255.0 ipv6: ::/0 status: up speed: n/a (Duplex: n/a) ==[port2] mode: dhcp ip: 10.0.1.128 255.255.255.0 ipv6: ::/0 status: up speed: n/a (Duplex: n/a)

get hardware nic [ポート番号]

ポートのカウンター(送受信パケット、エラー、ドロップなど)を確認するには、get hardware nic [ポート番号]コマンドを実行します。

FortiGate # get hardware nic port1 Name: port1Driver: enaVersion: 2.1.1gBus: 0000:00:05.0Hwaddr: 0a:2c:e0:22:63:fcPermanent Hwaddr:0a:2c:e0:22:63:fcState: upLink: upMtu: 9001RX Ring: 1024TX Ring: 1024Rx packets: 20520Rx bytes: 4070485Rx compressed: 0Rx dropped: 0Rx errors: 0 Rx Length err: 0 Rx Buf overflow: 0 Rx Crc err: 0 Rx Frame err: 0 Rx Fifo overrun: 0 Rx Missed packets: 0Tx packets: 19542Tx bytes: 11005199Tx compressed: 0Tx dropped: 0Tx errors: 0 Tx Aborted err: 0 Tx Carrier err: 0 Tx Fifo overrun: 0 Tx Heartbeat err: 0 Tx Window err: 0Multicasts: 0Collisions: 0

fnsysctl ifconfig / diagnose netlink interface list name

fnsysctl ifconfig(内部コマンド) や diagnose netlink interface list nameコマンドもあります。

FortiGate # fnsysctl ifconfig port1port1 Link encap:Ethernet HWaddr 0A:2C:E0:22:63:FC inet addr:10.0.0.122 Bcast:10.0.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1 RX packets:21333 errors:0 dropped:0 overruns:0 frame:0 TX packets:20129 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:4221439 (4.0 MB) TX bytes:11174082 (10.7 MB)
FortiGate # diagnose netlink interface list name port1if=port1 family=00 type=1 index=3 mtu=9001 link=0 master=0ref=50 state=start present fw_flags=0 flags=up broadcast run multicast Qdisc=mq hw_addr=0a:2c:e0:22:63:fc broadcast_addr=ff:ff:ff:ff:ff:ffstat: rxp=22057 txp=20701 rxb=4375125 txb=11342128 
rxe=0 txe=0 rxd=0 txd=0 mc=0 collision=0re: rxl=0 rxo=0 rxc=0 rxf=0 rxfi=0 rxm=0te: txa=0 txc=0 txfi=0 txh=0 txw=0misc rxc=0 txc=0input_type=0 state=3 arp_entry=0 refcnt=50

ネットワーク情報

ARPテーブル情報( get system arp /diagnose ip arp list )

ARPテーブルを確認するには、get system arp コマンドで確認できます。

FortiGate # get system arpAddress Age(min) Hardware Addr Interface10.0.0.1 0 0a:34:d8:c4:fc:4c port110.0.1.1 1 0a:eb:80:77:4f:3c port2

より詳細を確認するには、diagnose ip arp list で確認します。

FortiGate # diagnose ip arp list index=3 ifname=port1 10.0.0.1 0a:34:d8:c4:fc:4c state=00000002 use=44 
confirm=41 update=2505 ref=27index=4 ifname=port2 10.0.1.1 0a:eb:80:77:4f:3c state=00000004 use=2527
confirm=8527 update=2527 ref=0index=5 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=2513
confirm=44 update=196209 ref=2

ルーティングテーブル情報 ( get router info routing-table all )

ルーティングテーブルを確認するには、get router info routing-table allコマンドで確認できます。

FortiGate # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate defaultRouting table for VRF=0S* 0.0.0.0/0 [5/0] via 10.0.0.1, port1C 10.0.0.0/24 is directly connected, port1C 10.0.1.0/24 is directly connected, port2

特定ルートの詳細を確認することもできます。0.0.0.0/0の詳細を確認するには以下のコマンドで確認できます。

FortiGate # get router info routing-table details 0.0.0.0/0Routing table for VRF=0Routing entry for 0.0.0.0/0 Known via "static", distance 5, metric 0, best * 10.0.0.1, via port1 distance 0

もし、存在しないネットワークを指定した場合は、% Network not in table と表示されます。

FortiGate # get router info routing-table details 172.31.0.0/16% Network not in table

ネットワーク診断 (execute ping / execute traceroute)

pingを実行するには、execute ping コマンドを実施します。

FortiGate # execute ping 8.8.8.8PING 8.8.8.8 (8.8.8.8): 56 data bytes64 bytes from 8.8.8.8: icmp_seq=0 ttl=104 time=1.5 ms64 bytes from 8.8.8.8: icmp_seq=1 ttl=104 time=1.5 ms64 bytes from 8.8.8.8: icmp_seq=2 ttl=104 time=1.5 ms64 bytes from 8.8.8.8: icmp_seq=3 ttl=104 time=1.5 ms^C--- 8.8.8.8 ping statistics ---4 packets transmitted, 4 packets received, 0% packet lossround-trip min/avg/max = 1.5/1.5/1.5 ms

pingを実行する際に、送信元インタフェースやデータサイズを変更するなど、いくつかのオプションを設定することができます。

FortiGate # execute ping-options adaptive-ping Adaptive ping .data-size Integer value to specify datagram size in bytes.df-bit Set DF bit in IP header yes | no.interface Auto | outgoing interface.interval Integer value to specify seconds between two pings.pattern Hex format of pattern, e.g. 00ffaabb.repeat-count Integer value to specify how many times to repeat PING.reset Reset settings.source Auto | source interface IP.timeout Integer value to specify timeout in seconds.tos IP type-of-service option.ttl Integer value to specify time-to-live.use-sdwan Use SD-WAN rules to get output interface yes | no.validate-reply Validate reply data yes | no.view-settings View the current settings for PING option.

ここでは、1000ByteのデータサイズでPingを実行してみます。

FortiGate # execute ping-options data-size 1000FortiGate # execute ping 8.8.8.8PING 8.8.8.8 (8.8.8.8): 1000 data bytes76 bytes from 8.8.8.8: icmp_seq=0 ttl=104 time=2.5 ms76 bytes from 8.8.8.8: icmp_seq=1 ttl=104 time=2.5 ms^C--- 8.8.8.8 ping statistics ---2 packets transmitted, 2 packets received, 0% packet lossround-trip min/avg/max = 2.5/2.5/2.5 ms

ping-optionをクリアするには、execut ping-options reset コマンドを実行します。

FortiGate # execut ping-options reset

tracerouteを実行するには、 execute traceroute コマンドを実行します。

FortiGate # execute traceroute 8.8.8.8traceroute to 8.8.8.8 (8.8.8.8), 32 hops max, 3 probe packets per hop, 84 byte packets 1 54.150.128.39  107.906 ms 51.061 ms 73.596 ms 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * 7 100.65.11.1 0.217 ms 6.843 ms 11.893 ms 8 52.93.73.223 2.859 ms 2.869 ms 3.140 ms 9 52.93.72.191 3.417 ms 3.284 ms 3.321 ms10 52.93.72.94 2.503 ms 2.523 ms 2.500 ms11 100.91.137.16 3.036 ms 3.129 ms 3.491 ms12 100.91.3.178 4.223 ms 3.984 ms 4.143 ms13 100.91.147.21 3.486 ms 3.481 ms 3.434 ms14 52.95.30.43 3.612 ms 5.829 ms 5.025 ms15 54.239.53.243 3.494 ms 16.693 ms 6.130 ms16 209.85.149.236 2.644 ms 2.535 ms 2.538 ms17 108.170.226.179 2.544 ms 2.568 ms 2.574 ms18 216.239.41.69 3.336 ms 3.338 ms 3.522 ms19 8.8.8.8  2.525 ms 2.526 ms 2.565 ms

pingと同様に、tracerouteにもオプションがいくつかあります。設定方法はpingと同様です。

FortiGate # execute traceroute-options device Auto | ifname.queries Integer value to specify number of queries per hop.source Auto | source interface IP.view-settings View the current options of traceroute.

セッション情報

get system session status

トータルセッション数を確認するには、get system session statusを実行します。

FortiGate # get system session status  The total number of IPv4 sessions for the current VDOM: 22

get system session list

FWのセッション情報を確認するには、get system session listコマンドを実行します。

FortiGate # get system session listPROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT tcp 3596 126.53.65.206:51029 - 10.0.0.122:443 - tcp 0 126.53.65.206:51013 - 10.0.0.122:443 - tcp 3595 126.53.65.206:51028 - 10.0.0.122:443 - tcp 0 126.53.65.206:51012 - 10.0.0.122:443 - udp 168 10.0.0.122:23608 - 96.45.33.65:8888 - udp 168 10.0.0.122:23608 - 96.45.33.66:8888 - udp 168 10.0.0.122:23608 - 96.45.33.64:8888 - tcp 3596 126.53.65.206:51027 - 10.0.0.122:443 - 

diagnose sys session list

より詳細なセッション情報を取得する場合は、diagnose sys session listコマンドを実行します。

FortiGate # diagnose sys session list session info: proto=17 proto_state=01 duration=1567 expire=172 timeout=0 
flags=00000000 socktype=0 sockport=0 av_idx=0 use=3origin-shaper=reply-shaper=per_ip_shaper=class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=255/255state=local nds statistic(bytes/packets/allow_err): org=1400/14/1 reply=1008/14/1 tuples=2tx speed(Bps/kbps): 0/0 rx speed(Bps/kbps): 0/0orgin->sink: org out->post, reply pre->in dev=0->3/3->5 gwy=0.0.0.0/10.0.0.122hook=out dir=org act=noop 10.0.0.122:2743->12.34.97.72:8888(0.0.0.0:0)hook=in dir=reply act=noop 12.34.97.72:8888->10.0.0.122:2743(0.0.0.0:0)misc=0 policy_id=0 auth_info=0 chk_client_info=0 vd=0serial=0000027b tos=ff/ff app_list=0 app=0 url_cat=0sdwan_mbr_seq=0 sdwan_service_id=0rpdb_link_id=00000000 rpdb_svc_id=0 ngfwid=n/anpu_state=00000000

特定のアドレス等、フィルタ条件に合致する情報のみ抽出することができます。

条件は以下の通り設定できます。

FortiGate # diagnose sys session filter  vd Index of virtual domain. -1 matches all.vd-name Name of virtual domain. -1 or "any" matches all.sintf Source interface.dintf Destination interface.src Source IP address.nsrc NAT'd source ip addressdst Destination IP address.proto Protocol number.sport Source port.nport NAT'd source portdport Destination port.policy Policy ID.expire expireduration durationproto-state Protocol state.session-state1 Session state1.session-state2 Session state2.ext-src Add a source address to the extended match list.ext-dst Add a destination address to the extended match list.ext-src-negate Add a source address to the negated extended match list.ext-dst-negate Add a destination address to the negated extended match list.clear Clear session filter.negate Inverse filter.

例えば、宛先IPアドレス 10.0.0.122 のみにフィルタをし、セッション情報を取得してみます。

まず、フィルタを初期化します。

FortiGate # diagnose sys session filter clear 

宛先IPアドレスを10.0.0.122にフィルタを設定し、結果を表示します。

FortiGate # diagnose sys session filter dst 10.0.0.122 FortiGate # diagnose sys session list session info: proto=6 proto_state=01 duration=257 expire=3599 timeout=3600 
flags=00000000 socktype=0 sockport=0 av_idx=0 use=3origin-shaper=reply-shaper=per_ip_shaper=class_id=0 ha_id=0 policy_dir=0 tunnel=/ vlan_cos=0/0state=local may_dirty statistic(bytes/packets/allow_err): org=24763/330/1 reply=37049/202/1 tuples=2tx speed(Bps/kbps): 79/0 rx speed(Bps/kbps): 165/1orgin->sink: org pre->in, reply out->post dev=3->5/5->3 gwy=10.0.0.122/0.0.0.0hook=pre dir=org act=noop 126.53.65.206:54532->10.0.0.122:443(0.0.0.0:0)hook=post dir=reply act=noop 10.0.0.122:443->126.53.65.206:54532(0.0.0.0:0)pos/(before,after) 0/(0,0), 0/(0,0)misc=0 policy_id=4294967295 auth_info=0 chk_client_info=0 vd=0serial=0000062e tos=ff/ff app_list=0 app=0 url_cat=0sdwan_mbr_seq=0 sdwan_service_id=0rpdb_link_id=00000000 rpdb_svc_id=0 ngfwid=n/anpu_state=00000000

ログ情報(execute log)

特定のカテゴリについて、ログを取得することができます。 カテゴリは以下の通りです。

FortiGate # execute log filter category Available categories: 0: traffic 1: event 2: utm-virus 3: utm-webfilter 4: utm-ips 5: utm-emailfilter 7: utm-anomaly 8: utm-voip 9: utm-dlp10: utm-app-ctrl12: utm-waf15: utm-dns16: utm-ssh17: utm-ssl18: utm-cifs19: utm-file-filter20: utm-icap

フィルタを設定する前に、まずフィルタ設定を初期化します。

FortiGate # execute log filter reset 

トラフィックログを取得

例えば、トラフィックログを取得する場合、カテゴリ番号は0となります。

FortiGate # execute log filter category 0 FortiGate # execute log display  541 logs found.10 logs returned.8.6% of logs has been searched.1: date=2020-11-21 time=14:39:37 eventtime=1605937177415146788 tz="+0900" 
logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=10.0.1.26
srcport=61468 srcintf="port2" srcintfrole="undefined" dstip=8.8.8.8 dstport=53
dstintf="port1" dstintfrole="undefined" srccountry="Reserved" dstcountry="United States"
sessionid=2012 proto=17 action="accept" policyid=2 policytype="policy"
poluuid="5cdfb3ea-2199-51eb-a077-6fc45b024eb9" policyname="LAN_to_Internet"
service="DNS" trandisp="snat" transip=10.0.0.200
transport=61468 appid=16195 app="DNS" appcat="Network.Service" apprisk="elevated"
applist="default" duration=180 sentbyte=82 rcvdbyte=157 sentpkt=1 rcvdpkt=1
utmaction="allow" countdns=1 utmref=65535-6414

Webフィルタのログ取得

Webフィルタだと、カテゴリ3になります。フィルタを一旦初期化してから、カテゴリ3を設定します。

FortiGate # execute log filter reset  FortiGate # execute log filter category 3 FortiGate # execute log display  22 logs found.10 logs returned.10.5% of logs has been searched.1: date=2020-11-21 time=14:23:25 eventtime=1605936205378552169 tz="+0900" 
logid="0316013056" type="utm" subtype="webfilter" eventtype="ftgd_blk"
level="warning" vd="root" policyid=2 sessionid=1760 srcip=10.0.1.26 srcport=49913
srcintf="port2" srcintfrole="undefined" dstintf="port1" dstintfrole="undefined" proto=6
service="HTTPS"
hostname="www.youtube.com" profile="default" action="blocked"
reqtype="direct" url="https://www.youtube.com/" sentbyte=204 rcvdbyte=0
direction="outgoing" msg="URL belongs to a denied category in policy"
method="domain" cat=25 catdesc=" ストリーミングメディア.ダウンロード"

出力ログ件数

上記の通り、デフォルトでログ出力は10件となります。この件数を増やすには、execute log filter view-linesで変更できます。以下の例では出力を100件まで増やします。

FortiGate # execute log filter resetFortiGate # execute log filter category 3FortiGate # execute log filter view-lines 100FortiGate # execute log display209 logs found.100 logs returned.1: date=2020-11-21 time=14:23:25 eventtime=1605936205378499234 
tz="+0900" logid="0316013056" type="utm" subtype="webfilter" eventtype="ftgd_blk"
level="warning" vd="root" policyid=2 sessionid=1761 srcip=10.0.1.26 srcport=49914
srcintf="port2" srcintfrole="undefined" dstip=216.239.38.119 dstport=443 dstintf="port1"
dstintfrole="undefined" proto=6 service="HTTPS" hostname="www.youtube.com"
profile="default" action="blocked" reqtype="direct" url="https://www.youtube.com/"
sentbyte=204 rcvdbyte=0 direction="outgoing"
msg="URL belongs to a denied category in policy" method="domain" cat=25
catdesc=" ストリーミングメディア.ダウンロード"

フィールドを指定したフィルタ

例えば、送信元IPアドレス(srcip)が10.0.1.25のみのWebフィルタログを抽出する場合は、以下のように設定します。

FortiGate # execute log filter reset FortiGate # execute log filter category 3 FortiGate # execute log filter free-style "srcip 10.0.1.25"FortiGate # execute log display 187 logs found.10 logs returned.1: date=2020-11-13 time=21:28:16 eventtime=1605270495993591440 tz="+0900" logid="0316013056" type="utm" subtype="webfilter" eventtype="ftgd_blk" level="warning" vd="root" policyid=2 sessionid=421 srcip=10.0.1.25 srcport=49722 srcintf="port2" srcintfrole="undefined" dstip=172.217.25.78 dstport=443 dstintf="port1" dstintfrole="undefined" proto=6 service="HTTPS" hostname="www.youtube.com" profile="default" action="blocked" reqtype="direct" url="https://www.youtube.com/" sentbyte=204 rcvdbyte=0 direction="outgoing" msg="URL belongs to a denied category in policy" method="domain" cat=25 catdesc=" ストリーミングメディア.ダウンロード"

再起動、停止

再起動する場合は、execute reboot 、停止する場合は、execute shutdown を実行します。

FortiGate # execute reboot This operation will reboot the system !Do you want to continue? (y/n) ySystem is rebooting...
FortiGate # execute shutdown This operation will shutdown the system !Do you want to continue? (y/n)ySystem is shutting down...

参考

  • Troubleshooting Tip: Network Interface Card NIC commands
  • Technical Tip: Displaying logs via CLI
  • Troubleshooting methodologies
  • Troubleshooting Tip: Using ‘grep’ and session list for session statistics
  • get system status
  • get system performance status
  • get system interface physical
  • get system arp
  • get system session list
  • get router info routing-table
  • execute ping
  • ping-options
  • execute traceroute
  • execute log filter
  • execute log display
  • execute reboot
  • execute shutdown
  • grep
  • FAQs

    FortiGateのライセンス確認コマンドは? ›

    CLI上で「execute update-now」コマンドを実行します。 「License status」が「Valid」と表示されていればライセンスアクティベーションは完了です。

    FortiGateのセッションレートは? ›

    大規模拠点用モデル
    機種名FortiGate-3200DFortiGate-6500F
    ファイアウォール新規セッション / 秒400,0003,000,000
    ファイアウォール ポリシー200,000
    IPSec VPNスループット50 Gbps160 Gbps
    8 more rows

    FortiGateのセッションクリアは? ›

    セッション情報は、CLIでは、diagnose sys session clear コマンドで削除することが出来ます。 diagnose sys session clear は、diagnose sys session filter で指定した条件に一致するセッション削除します。

    FortiGateのアドレス確認コマンドは? ›

    show system interface を実行します。 LANインターフェースの初期デフォルトのアドレスは 192.168.1.99 になっています。

    FortiGateのセーブコマンドは? ›

    FortigateのCUIで設定してるときの保存方法。 Fortigateは[end]と打つと保存される。 これで保存される。

    Forti60eのセッション数は? ›

    Fortigate-60E
    システム性能
    ファイアウォール スループット(パケット/ 秒)4.5 M
    ファイアウォール同時セッション1.3 M
    ファイアウォール新規セッション/秒30,000
    ファイアウォール ポリシー5,000
    18 more rows

    FortigateNATの確認コマンドは? ›

    get system session list コマンドNAT テーブルの確認ができます。

    FortigateVPNのセッション数は? ›

    本サービスにおいて、FortiGate へ同時にSSL-VPN接続できる最大のセッション数は16です。 ごく稀に、セッションを管理する情報に不整合が生じることでこの上限を超えた状態となり、急にSSL-VPN接続ができなくなるケースがあります。

    Fortigate500eのセッション数は? ›

    Fortigate-500E
    システム性能
    ファイアウォール同時セッション8 M
    ファイアウォール新規セッション/秒300,000
    ファイアウォール ポリシー10,000
    IPSec VPNスループット20 Gbps
    22 more rows

    Fortigate100eのセッション数は? ›

    Fortigate-100E
    システム性能
    ファイアウォール スループット(パケット/ 秒)6.6 M
    ファイアウォール同時セッション2 M
    ファイアウォール新規セッション/秒30,000
    ファイアウォール ポリシー10,000
    21 more rows

    セッションの確認方法は? ›

    Google Chromeのデベロッパーツールでセッションで使用したクッキーを確認できます。 「F12」キーを押してデベロッパーツールを開き、「Application」→「Cookies」→「http://localhost」をクリックします。 クッキーの内容は、セッションIDのみ確認できます。

    FortiGateの文字コードは? ›

    文字コードの変更 FortiOS4.0MR3 では FortiGate 内部で使用する文字コードが UTF-8 に統一されました。

    FortiGateの設定表示コマンドは? ›

    設定全体の確認( show , show full-configuration )

    現在の稼働コンフィグを確認するには、show コマンド を実行します。 デフォルト値など、すべての構成情報を取得するには、show full-configuration コマンドを実行します。

    FortiGateの停止方法は? ›

    FortiGate FAQ - 初期設定 / 基本設定

    CLIで "execute shutdown" コマンド実行するか、GUIで、シャットダウンボタンを押し、機器をシャットダウンさせて下さい。

    FortiGateの名前解決コマンドは? ›

    FortiGate では nslookup のような名前解決コマンドが存在しないため、ping の宛先をドメインで指定して実行し、応答があるかどうかで名前解決の正常性を確認します。

    FortiGateのインターフェース名は? ›

    FortiGate の物理インターフェイスの種類について
    • LAN インターフェース
    • WAN インターフェース
    • DMZ インターフェース
    • HA インターフェース
    • MGMT インターフェイス
    • SFP インターフェース
    18 Jun 2020

    FortiGateの起動手順は? ›

    ログイン画面に、「ユーザ名」と「パスワード」を入力し、「ログイン」をクリックします。 右上のユーザ名をクリックし、「システム」にカーソルをあわせ「再起動」をクリックします。 「OK」をクリックします。 再起動が始まると「STATUS」ランプが消灯し、数分後点滅に切り替わります。

    UTMの電源オフは? ›

    UTMは停電時に電源オフ状態になり、復電時に自動で起動します。 そのため、UTM電源オン/オフの操作は基本的に不要です。 停電中、UTM電源オフ状態となるため、UTMを経由した通信は行えません。

    Fortigate-80eの電源は? ›

    Fortigate-80E
    ハードウェア仕様
    AC電源100 ~ 240 V AC、50 ~ 60 Hz
    最大電流100 V AC / 0.25 A、240 V AC / 0.11 A
    消費電力 (平均)18 W
    消費電力 (最大)25 W
    4 more rows

    FortiGateのポリシー数は? ›

    FortiGate の一つのポリシーで設定できるのは片方向の通信についてのみのため、双方向通信を実現するためには 2 つのポリシー設定が必要となります。

    FortiGateのログアウト時間は? ›

    Fortigateのセッションタイムアウトのデフォルト値はすべてのプロトコル共通で3600秒(1時間)です。

    FortiGateの最大接続数は? ›

    FortiGate へ同時に接続できる SSL-VPN 接続数の上限を教えて下さい。 SSL-VPN ネットワーク に割り当てられている IP アドレスレンジをご確認いただき、IP アドレスから 2 を引いたまで同時接続が可能です。

    Fortigateのタイムアウト値は? ›

    Fortinet(公開)

    デフォルトのセッションタイムアウトの時間は1時間(3600秒)です。

    VPNの自動切断時間は? ›

    デフォルトでは15分間 無通信状態が続くと、自動的に切断されるようになっています。 PCがスタンバイ状態になっている場合は無通信状態となるため、15分経過しますと切断されます。 切断されてしまった場合、タスクトレイの[F5]アイコンが以下の通りグレー表示に変わります。

    VPN なぜ切れる? ›

    VPN接続が途切れる主な原因として、セキュリティソフトなどのセキュリティシステムの影響であることが多いです。 ほかにも、VPNへ同時接続するユーザーが多かったりすると、一時的に接続が切断されやすくなります。

    FortigateVPNの時間制限は? ›

    5)SSL-VPN接続タイムアウト時間の調整

    SSL-VPNのデフォルトのタイムアウト時間が8時間に設定されているようで、 テレワークなどで長時間接続利用する場合には問題が生じます。

    FortiClientの切断時間は? ›

    ※3 FortiClient の接続後、20時間で一旦切断されます。

    FortiGateのIPSスループットは? ›

    FortiGate/FortiWiFi 仕様比較
    機種名FortiGate/WiFi-40FFortiGate/WiFi-60F
    ファイアウォール ポリシー5,0005,000
    IPSec VPNスループット4.4 Gbps6.5 Gbps
    IPSスループット (エンタープライズトラフィック混合)1 Gbps1.4 Gbps
    7 more rows

    FortiGateの利用者数は? ›

    ユーザFortiGateの機種選定の目安となります。 FortiGate300Eまでの機種の場合は、型番の数字=目安のユーザとなります。 つまり、FortiGate300Eではユーザ300人程度の拠点向けということになります。 型番の数字以上のユーザでも対応可能となります。

    Fortivate60dの速度は? ›

    Fortigate-60D
    システム性能
    クライアント-ゲートウェイ間 IPSec VPNトンネル500
    IPSスループット200 Mbps
    SSL-VPNスループット30 Mbps
    同時SSL VPNユーザ (推奨)100
    18 more rows

    セッション いつ切れる? ›

    セッションは、訪問数のことですが、どういったタイミングでセッションが開始され終了するのかがポイントです。 時間的なことであれば、操作しない状態で30分経過したときや日付が変わったときは、セッション切れるタイミングです。 また、外部サイトのリンクからアクセスがあった場合、クリックされるたびに、セッションが開始されます。

    Sessionの存在チェックは? ›

    “request.getSession(false);”からセッションを取得すると、この関数は存在していればセッションを返し、そうでない場合はnull値が返されます。 + – 後でセッションオブジェクトで “ヌル”チェックを行うことができます。 ヌルは存在するセッション存在しないことを意味します。

    Sessionの確認コマンドは? ›

    共有フォルダーを開いているなど、マシンに接続しているユーザーを調べるには「net sessionコマンドを実行します。

    FortiGateの設定表示コマンドは? ›

    設定全体の確認( show , show full-configuration )

    現在の稼働コンフィグを確認するには、show コマンド を実行します。 デフォルト値など、すべての構成情報を取得するには、show full-configuration コマンドを実行します。

    FortiGate ライセンス切れ どうなる? ›

    ライセンス期限が切れたらどうなるのか

    データベースが更新出来なくなりますが、最後に更新されたデータベースを使用し動作は継続します。 Webフィルタプロファイルの設定で、「レーティングエラー発生時にWebサイトを許可する」が「無効」だと、全てのWebアクセスがブロックされます。

    FortiGateの停止方法は? ›

    FortiGate FAQ - 初期設定 / 基本設定

    CLIで "execute shutdown" コマンド実行するか、GUIで、シャットダウンボタンを押し、機器をシャットダウンさせて下さい。

    Fortigateのデフォルト値は? ›

    Fortigateのセッションタイムアウトのデフォルト値はすべてのプロトコル共通で3600秒(1時間)です。

    FortiGateの保証期間は? ›

    初年度 : 機器出荷日の翌月1日から1年間がサポート対象期間となります。 次年度以降 : 前年度契約終了日から1年間がサポート対象期間となります。 ※契約日を過ぎ購入する場合は遡りで金額が計算されます。 ただし、機器の販売終了後の製品に関しましては、契約終了日を過ぎ購入する事はできません。

    FortiGateの保守年数は? ›

    保守は初年度起算で最長5一括契約可能です。

    FortiGateのパーツナンバーは? ›

    FortiGate FAQ - 初期設定 / 基本設定

    ハードウェアに貼付されているシールの「PN:」に続く文字列がSystem Part-Numberです。 尚、シール上ではP24589-20-04のように、CLIで表示したものに「-XX」(XXは数字)が追加されていることがあります。

    UTMの電源オフは? ›

    UTMは停電時に電源オフ状態になり、復電時に自動で起動します。 そのため、UTM電源オン/オフの操作は基本的に不要です。 停電中、UTM電源オフ状態となるため、UTMを経由した通信は行えません。

    Fortigateの起動手順は? ›

    ログイン画面に、「ユーザ名」と「パスワード」を入力し、「ログイン」をクリックします。 右上のユーザ名をクリックし、「システム」にカーソルをあわせ「再起動」をクリックします。 「OK」をクリックします。 再起動が始まると「STATUS」ランプが消灯し、数分後点滅に切り替わります。

    Fortigate-80eの電源は? ›

    Fortigate-80E
    ハードウェア仕様
    AC電源100 ~ 240 V AC、50 ~ 60 Hz
    最大電流100 V AC / 0.25 A、240 V AC / 0.11 A
    消費電力 (平均)18 W
    消費電力 (最大)25 W
    4 more rows

    Top Articles

    You might also like

    Latest Posts

    Article information

    Author: Ray Christiansen

    Last Updated: 09/13/2022

    Views: 6012

    Rating: 4.9 / 5 (49 voted)

    Reviews: 80% of readers found this page helpful

    Author information

    Name: Ray Christiansen

    Birthday: 1998-05-04

    Address: Apt. 814 34339 Sauer Islands, Hirtheville, GA 02446-8771

    Phone: +337636892828

    Job: Lead Hospitality Designer

    Hobby: Urban exploration, Tai chi, Lockpicking, Fashion, Gunsmithing, Pottery, Geocaching

    Introduction: My name is Ray Christiansen, I am a fair, good, cute, gentle, vast, glamorous, excited person who loves writing and wants to share my knowledge and understanding with you.