NW機器

FortiOS v5.6.6におけるログ出力仕様の変更について

この記事は投稿日から3年以上経過しています。

FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われました。

当記事では、新しく追加された統計情報に関するログについて記載します。

FortiOS v5.6.6 における変更点

トラフィックログに「logid="0000000020"」という文字列を含むログが、新たに出力されるようになりました。

  • v5.6.5以前のバージョンの場合
    セッションが終了していない通信は該当通信のセッション終了を以てアクション"close"でロギングされていました。
  • v5.6.6の場合
    セッションが終了していない通信は該当通信のセッション終了を以てアクション"close"でロギングされますが、統計情報を出力する意味合いで一定時間セッションが終了していない通信が存在した場合は、action="accept"としてロギングされるようになりました。

「logid="0000000020"」は統計情報に関するログであり、セッションが    終了していない場合に、一定間隔でaction="accept"としてロギングされます。

※セッションが終了した場合は従来どおりアクション"close"でロギングされます。

ログの出力内容は以下のとおりです。

Apr 16 00:01:38 171.23.60.100 date=2019-04-16 time=00:01:38 devname="lsc-fw" devid="111111111111111" logid="0000000020" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1555340498 srcip=1.2.3.4 srcport=27214 srcintf="wan1" srcintfrole="undefined" dstip=1.2.3.4 dstport=161 dstintf="lan2" dstintfrole="undefined" poluuid="a4265a9c-32f9-51e8-94c3-0fe57163b6e5" sessionid=123456789 proto=17 action="accept" policyid=86 policytype="policy" service="SNMP" dstcountry="Reserved" srccountry="Reserved" trandisp="noop" duration=183 sentbyte=12865 rcvdbyte=15318 sentpkt=172 rcvdpkt=172

 

logid="0000000020"は長時間のセッションを見つけるためには有効ですが、ログ件数をカウントしたり、トラフィック量や通信時間等を集計する場合に、結果へ影響を及ぼす可能性がありますので、実際の通信に即したログをフィルタするためには該当のログ(logid="0000000020")を除外する必要があります。

「logid="0000000020"」のロギング停止手順

FortiGateのコンソール/SSHより下記設定を行っていただくことにより、該当のログ(logid="0000000020")を除外することができます。なお、本設定はお客様環境のご要件を考慮いただき、必要に応じて、設定いただくことを推奨します。

(例)FortiOS v5.6.6にて設定を行う場合

FGT-60D #config log syslogd filter
FGT-60D #set filter "logid(20)"
FGT-60D #set filter-type exclude
FGT-60D #end

 

なお、本記事の内容については弊社が独自で確認を行った結果に基づき記載しております。ご利用環境や、ご利用バージョンにより、動作が異なる場合がございます。詳細につきましては、ご契約いただいている機器の保守窓口へお問い合わせいただけますようお願いいたします。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【不具合】監視項目データベースをアップデートすると、OS情報が意図せず書き換わる前のページ

「LogStare Collector」デモサイトを公開しました!次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. Windows/Linux

    LinuxのFirewallログをLSCで収集する方法

    当記事では、LinuxのfirewallログをLogStare Col…

  2. NW機器

    FortiGateの送信元NAT/宛先NAT設定について

    当記事では、FortiGateにおける送信元NAT(Source NA…

  3. Windows/Linux

    Windows ServerのDHCPログをLSCにて収集する方法

    当記事では、Windows ServerのDHCPログをLogStar…

  4. A10 Thunderのアクセスログを収集する

    NW機器

    A10 Thunderのアクセスログを収集するためのForward Proxy、SYSLOGなどの設…

    当記事では、A10ネットワークス社  Thunder シリーズを、フォ…

  5. Nutanix Prism ElementにOVAファイルをインポートする方法

    NW機器

    Nutanix Prism ElementにOVAファイルをインポートする方法

    当記事では、Nutanix Prism ElementにOVAファイル…

  6. ログ分析・監視テクニック

    ZabbixヒストリデータをLSCにて収集する方法について

    当記事では、ZabbixヒストリデータをLogStare Collec…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  2. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  5. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
PAGE TOP