NW機器

FortiOS v5.6.6におけるログ出力仕様の変更について

この記事は投稿日から3年以上経過しています。

FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われました。

当記事では、新しく追加された統計情報に関するログについて記載します。

FortiOS v5.6.6 における変更点

トラフィックログに「logid="0000000020"」という文字列を含むログが、新たに出力されるようになりました。

  • v5.6.5以前のバージョンの場合
    セッションが終了していない通信は該当通信のセッション終了を以てアクション"close"でロギングされていました。
  • v5.6.6の場合
    セッションが終了していない通信は該当通信のセッション終了を以てアクション"close"でロギングされますが、統計情報を出力する意味合いで一定時間セッションが終了していない通信が存在した場合は、action="accept"としてロギングされるようになりました。

「logid="0000000020"」は統計情報に関するログであり、セッションが    終了していない場合に、一定間隔でaction="accept"としてロギングされます。

※セッションが終了した場合は従来どおりアクション"close"でロギングされます。

ログの出力内容は以下のとおりです。

Apr 16 00:01:38 171.23.60.100 date=2019-04-16 time=00:01:38 devname="lsc-fw" devid="111111111111111" logid="0000000020" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1555340498 srcip=1.2.3.4 srcport=27214 srcintf="wan1" srcintfrole="undefined" dstip=1.2.3.4 dstport=161 dstintf="lan2" dstintfrole="undefined" poluuid="a4265a9c-32f9-51e8-94c3-0fe57163b6e5" sessionid=123456789 proto=17 action="accept" policyid=86 policytype="policy" service="SNMP" dstcountry="Reserved" srccountry="Reserved" trandisp="noop" duration=183 sentbyte=12865 rcvdbyte=15318 sentpkt=172 rcvdpkt=172

 

logid="0000000020"は長時間のセッションを見つけるためには有効ですが、ログ件数をカウントしたり、トラフィック量や通信時間等を集計する場合に、結果へ影響を及ぼす可能性がありますので、実際の通信に即したログをフィルタするためには該当のログ(logid="0000000020")を除外する必要があります。

「logid="0000000020"」のロギング停止手順

FortiGateのコンソール/SSHより下記設定を行っていただくことにより、該当のログ(logid="0000000020")を除外することができます。なお、本設定はお客様環境のご要件を考慮いただき、必要に応じて、設定いただくことを推奨します。

(例)FortiOS v5.6.6にて設定を行う場合

FGT-60D #config log syslogd filter
FGT-60D #set filter "logid(20)"
FGT-60D #set filter-type exclude
FGT-60D #end

 

なお、本記事の内容については弊社が独自で確認を行った結果に基づき記載しております。ご利用環境や、ご利用バージョンにより、動作が異なる場合がございます。詳細につきましては、ご契約いただいている機器の保守窓口へお問い合わせいただけますようお願いいたします。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【仕様】監視項目データベースをアップデートすると、OS情報が意図せず書き換わる前のページ

「LogStare Collector」デモサイトを公開しました!次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. Zabbixヒストリデータのレポート生成について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. Windows/Linux

    Linux Server環境(CentOS)にSNMPv3の監視設定を行う

    当記事では、Linux Server環境にSNMPv3の設定を投入する…

  2. NW機器

    FortiGateの送信元NAT/宛先NAT設定について

    当記事では、FortiGateにおける送信元NAT(Source NA…

  3. Windows/Linux

    Windowsイベントログの監視について

    当記事では、LogStare Collector(以下、LSCと記載)…

  4. FORTIGATEのAUTOMATION機能を用いてTEAMSへ通知

    NW機器

    FortiGateのAutomation機能を用いてTeamsへ通知してみた

    当記事では、FortiGateのAutomation機能を設定し、Mi…

  5. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す

    当記事では、AWSマーケットプレイス上に無償版として出品されているLo…

  6. FortiGateの冗長化構成におけるha-direct設定方法について

    NW機器

    FortiGateの冗長化構成(HA構成)におけるha-direct設定について

    当記事では、冗長構成(HA構成)のFortiGateにおけるha-di…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP