FortiGate

FortiGateのCPU使用率が高い時の対応

この記事は投稿日から1年以上経過しています。

FortiGate(フォーティゲート)のCPU使用率の上昇時に確認するべき事項をまとめました。

対象バージョン

FortiOS 7.0,7.2

※上記に合致しない場合であっても同一の方法で対応できる可能性があります。

FortiGateのCPU使用率

FortiGateのCPU使用率は同時に利用しているFortiOS機能が多い場合に上昇します。
FortiNet社より、以下が例として挙げられています。

・VPN 高レベル暗号化
・すべてのトラフィックの集中スキャン
・すべてのトラフィックとパケットのロギング
・データ更新を頻繁に実行するダッシュボード ウィジェット

CPU使用率が過度に上昇した時の影響

・ネットワークが遅くなる可能性があります。

・通信に問題が出る可能性があります。

CPU使用率が上昇した時の対応方法

GUIもしくはCLIより、上昇原因となっているプロセスを特定します。
CLIのほうが詳細に結果を表示できるほか、CPUにも負荷をかけにくいとも思われます。
CLIにログインして、以下のコマンドを実行します。

get system performance top

上記のコマンドを実行して、上位に表示されるプロセスを原因と疑います。
表示されるエントリにおいて、右から2番目の値がCPU使用率です。

負荷をかけているプロセスを確認し、それに合わせた対応方法を検討します。
よく表示されるプロセスは以下の通りです。

ipsengine: トラフィックの侵入をスキャンする IPS エンジン
scanunitd: ウイルス対策スキャナー
httpsd: セキュア HTTP
iked: IPsec VPN トンネルで使用中のインターネット鍵交換 (IKE)
newcli: CLI にアクセスしているときは常にアクティブ
sshd: アクティブなセキュア ソケット接続があります
cmdbsrv: コマンド データベース サーバー アプリケーション

CPU使用率の無駄のなくしかた

次回の筐体購入時に、型番を上げるというのはよい考えですが、設定などを見直すことで改善することがあります。以下に例を記述します。

・ロギング量を減らす
必要のないログメッセージを残さないように設定するほか、ロギング対象とする重大度を一つ上げることを検討します。

・メモリロギングを無効化する
ログを全く残さないことは推奨されないため、Syslogなどを用いて、筐体上にログを残さないことを検討します。

LogStare Collectorを用いることでFortiGateのsyslogを収集することができます。

こちらの記事をご覧ください。

・パケットロギングを無効化する

・同一のトラフィックを2度精査することを避ける
ネットワーク構成によっては、同一のトラフィックがFortiGateにおいて
インターフェースA=>インターフェースB
インターフェースB=>インターフェースC
というように流れることがあります。
SSL復号などを行っている可能性なども鑑みながら、精査を無効化することを検討します。

・セッションを維持する数を減らす
セッションタイマーを減らすことで、CPU負荷を下げられることがあります。
config system globalにおいて、tcp-timewaitの時間を短くすることを検討します。
(デフォルトではtcp-timewaitは10秒が暗黙的に加算されます。)
・System > Feature Visibility(表示機能)より必要ない機能を無効化します。

CPU使用率上昇時に自動的にデバッグコマンドを実行する

FortiGate6.4系よりCPU/メモリ使用率が任意の閾値を上回った場合にスクリプトを実行したうえで、その結果を電子メールで送る方法があります。以下をご参照ください。

Execute a CLI script based on CPU and memory thresholds

 

関連記事

障害発生時にCPU負荷理由を調査する流れが文面で確認できます。

【現場SE奮闘記 vol.1】社内ネットワークで「嵐」が起きたその日

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

DNSキャッシュポイズニングやってみた前のページ

Q.【FortiGate】GUIのテーブル設定における表示カラムの変更はコンフィグに影響しますか?次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. ログフォワーダー「okurun.jar」について
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. NW機器

    【FortiGate】インスペクションモードについて

    インスペクションモードとはスループットよりセキュリティを優先させる…

  2. NW機器

    FortiGate・Palo AltoのSyslogが取得できない時の確認事項

    FortiGate・Palo Alto側での確認事項FortiGa…

  3. NW機器

    FortiGate にSNMP (v1, v2c) / Syslog 設定を追加する

    当記事では、FortiGate からSNMP 並びにSyslog を取…

  4. FortiGate

    [FortiGate]Webフィルタの設定方法と確認方法について

    新人社員のINAです。本記事ではFortiGateでWebフィルタ…

  5. NW機器

    FortiOS v5.6.6におけるログ出力仕様の変更について

    FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われ…

  6. NW機器

    【仕様】VPNトンネルの認証方式においてIKE2を使用した場合、「FortiGuard_VPNステー…

    当記事の内容は、以下の記事に統合しました。LogStare C…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  5. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
PAGE TOP