FortiGate

FortiGateのCPU使用率が高い時の対応

この記事は投稿日から1年以上経過しています。

FortiGate(フォーティゲート)のCPU使用率の上昇時に確認するべき事項をまとめました。

対象バージョン

FortiOS 7.0,7.2

※上記に合致しない場合であっても同一の方法で対応できる可能性があります。

FortiGateのCPU使用率

FortiGateのCPU使用率は同時に利用しているFortiOS機能が多い場合に上昇します。
FortiNet社より、以下が例として挙げられています。

・VPN 高レベル暗号化
・すべてのトラフィックの集中スキャン
・すべてのトラフィックとパケットのロギング
・データ更新を頻繁に実行するダッシュボード ウィジェット

CPU使用率が過度に上昇した時の影響

・ネットワークが遅くなる可能性があります。

・通信に問題が出る可能性があります。

CPU使用率が上昇した時の対応方法

GUIもしくはCLIより、上昇原因となっているプロセスを特定します。
CLIのほうが詳細に結果を表示できるほか、CPUにも負荷をかけにくいとも思われます。
CLIにログインして、以下のコマンドを実行します。

get system performance top

上記のコマンドを実行して、上位に表示されるプロセスを原因と疑います。
表示されるエントリにおいて、右から2番目の値がCPU使用率です。

負荷をかけているプロセスを確認し、それに合わせた対応方法を検討します。
よく表示されるプロセスは以下の通りです。

ipsengine: トラフィックの侵入をスキャンする IPS エンジン
scanunitd: ウイルス対策スキャナー
httpsd: セキュア HTTP
iked: IPsec VPN トンネルで使用中のインターネット鍵交換 (IKE)
newcli: CLI にアクセスしているときは常にアクティブ
sshd: アクティブなセキュア ソケット接続があります
cmdbsrv: コマンド データベース サーバー アプリケーション

CPU使用率の無駄のなくしかた

次回の筐体購入時に、型番を上げるというのはよい考えですが、設定などを見直すことで改善することがあります。以下に例を記述します。

・ロギング量を減らす
必要のないログメッセージを残さないように設定するほか、ロギング対象とする重大度を一つ上げることを検討します。

・メモリロギングを無効化する
ログを全く残さないことは推奨されないため、Syslogなどを用いて、筐体上にログを残さないことを検討します。

LogStare Collectorを用いることでFortiGateのsyslogを収集することができます。

こちらの記事をご覧ください。

・パケットロギングを無効化する

・同一のトラフィックを2度精査することを避ける
ネットワーク構成によっては、同一のトラフィックがFortiGateにおいて
インターフェースA=>インターフェースB
インターフェースB=>インターフェースC
というように流れることがあります。
SSL復号などを行っている可能性なども鑑みながら、精査を無効化することを検討します。

・セッションを維持する数を減らす
セッションタイマーを減らすことで、CPU負荷を下げられることがあります。
config system globalにおいて、tcp-timewaitの時間を短くすることを検討します。
(デフォルトではtcp-timewaitは10秒が暗黙的に加算されます。)
・System > Feature Visibility(表示機能)より必要ない機能を無効化します。

CPU使用率上昇時に自動的にデバッグコマンドを実行する

FortiGate6.4系よりCPU/メモリ使用率が任意の閾値を上回った場合にスクリプトを実行したうえで、その結果を電子メールで送る方法があります。以下をご参照ください。

Execute a CLI script based on CPU and memory thresholds

 

関連記事

障害発生時にCPU負荷理由を調査する流れが文面で確認できます。

【現場SE奮闘記 vol.1】社内ネットワークで「嵐」が起きたその日

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

DNSキャッシュポイズニングやってみた前のページ

Q.【FortiGate】GUIのテーブル設定における表示カラムの変更はコンフィグに影響しますか?次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. FortiGate

    FortiGateをREST APIを用いて監視しよう(後編)

    本記事では前後編にわたり、REST APIを使ってFortiGateを…

  2. FortiGate

    FortiGate 取得するべきSNMPトラップの種類と監視方法

    本記事では、以下の内容を取り上げています。- FortiGateに…

  3. NW機器

    FortiGateのコンサーブモードについて

    UTMにはコンサーブモード(節約モード)に切り替わる製品があります…

  4. FortiGate

    【現場SE奮闘記 vol.2 】「天狗となったエンジニア」~FortiGate NATの仕様編~

    筆致についてはタイトル毎に統一されていません。あらかじめご了承ください…

  5. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP