NW機器

FortiOS v5.6.6におけるログ出力仕様の変更について

この記事は投稿日から4年以上経過しています。

FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われました。

当記事では、新しく追加された統計情報に関するログについて記載します。

FortiOS v5.6.6 における変更点

トラフィックログに「logid="0000000020"」という文字列を含むログが、新たに出力されるようになりました。

  • v5.6.5以前のバージョンの場合
    セッションが終了していない通信は該当通信のセッション終了を以てアクション"close"でロギングされていました。
  • v5.6.6の場合
    セッションが終了していない通信は該当通信のセッション終了を以てアクション"close"でロギングされますが、統計情報を出力する意味合いで一定時間セッションが終了していない通信が存在した場合は、action="accept"としてロギングされるようになりました。

「logid="0000000020"」は統計情報に関するログであり、セッションが    終了していない場合に、一定間隔でaction="accept"としてロギングされます。

※セッションが終了した場合は従来どおりアクション"close"でロギングされます。

ログの出力内容は以下のとおりです。

Apr 16 00:01:38 171.23.60.100 date=2019-04-16 time=00:01:38 devname="lsc-fw" devid="111111111111111" logid="0000000020" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1555340498 srcip=1.2.3.4 srcport=27214 srcintf="wan1" srcintfrole="undefined" dstip=1.2.3.4 dstport=161 dstintf="lan2" dstintfrole="undefined" poluuid="a4265a9c-32f9-51e8-94c3-0fe57163b6e5" sessionid=123456789 proto=17 action="accept" policyid=86 policytype="policy" service="SNMP" dstcountry="Reserved" srccountry="Reserved" trandisp="noop" duration=183 sentbyte=12865 rcvdbyte=15318 sentpkt=172 rcvdpkt=172

 

logid="0000000020"は長時間のセッションを見つけるためには有効ですが、ログ件数をカウントしたり、トラフィック量や通信時間等を集計する場合に、結果へ影響を及ぼす可能性がありますので、実際の通信に即したログをフィルタするためには該当のログ(logid="0000000020")を除外する必要があります。

「logid="0000000020"」のロギング停止手順

FortiGateのコンソール/SSHより下記設定を行っていただくことにより、該当のログ(logid="0000000020")を除外することができます。なお、本設定はお客様環境のご要件を考慮いただき、必要に応じて、設定いただくことを推奨します。

(例)FortiOS v5.6.6にて設定を行う場合

FGT-60D #config log syslogd filter
FGT-60D #set filter "logid(20)"
FGT-60D #set filter-type exclude
FGT-60D #end

 

なお、本記事の内容については弊社が独自で確認を行った結果に基づき記載しております。ご利用環境や、ご利用バージョンにより、動作が異なる場合がございます。詳細につきましては、ご契約いただいている機器の保守窓口へお問い合わせいただけますようお願いいたします。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【仕様】監視項目データベースをアップデートすると、OS情報が意図せず書き換わる前のページ

「LogStare Collector」デモサイトを公開しました!次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. ログフォワーダー「okurun.jar」について
  3. Zabbixヒストリデータのレポート生成について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. Windows/Linux

    Windows Server 2016 (2019,2012) /Windows 10,11 にて、…

    当記事では、WMI における各種監査ログを出力するまでの設定方法を記載…

  2. A10ThunderをSNMPで監視する

    NW機器

    A10 ThunderをSNMPで監視するための設定方法

    当記事では、A10ネットワークス社  Thunder シリーズのSNM…

  3. Windows/Linux

    LSCサーバのWindowsファイアウォールにてWMI、Syslog、SNMP、PING通信を許可す…

    当記事では、LSCサーバのWindowsファイアウォールにてWMI、S…

  4. NW機器

    D-Link製DGS-3000シリーズ及びDGS-3120シリーズにおけるSYSLOG/SNMP設定…

    当記事では、D-Link製DGS-3000シリーズ及びDGS-3120…

  5. PaloAlto

    【2022/04/07更新】Spring Frameworkの脆弱性(CVE-2022-22965)…

    ※本記事の内容は、2022年4月5日現在の公開情報をもとに記載しており…

  6. FortiGate

    FortiGateのSD-WAN設定について

    FortiGateのSD-WAN設定について当記事では、Forti…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP