FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われました。
当記事では、新しく追加された統計情報に関するログについて記載します。
FortiOS v5.6.6 における変更点
トラフィックログに「logid="0000000020"」という文字列を含むログが、新たに出力されるようになりました。
- v5.6.5以前のバージョンの場合
セッションが終了していない通信は該当通信のセッション終了を以てアクション"close"でロギングされていました。 - v5.6.6の場合
セッションが終了していない通信は該当通信のセッション終了を以てアクション"close"でロギングされますが、統計情報を出力する意味合いで一定時間セッションが終了していない通信が存在した場合は、action="accept"としてロギングされるようになりました。
「logid="0000000020"」は統計情報に関するログであり、セッションが 終了していない場合に、一定間隔でaction="accept"としてロギングされます。
※セッションが終了した場合は従来どおりアクション"close"でロギングされます。
ログの出力内容は以下のとおりです。
Apr 16 00:01:38 171.23.60.100 date=2019-04-16 time=00:01:38 devname="lsc-fw" devid="111111111111111" logid="0000000020" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1555340498 srcip=1.2.3.4 srcport=27214 srcintf="wan1" srcintfrole="undefined" dstip=1.2.3.4 dstport=161 dstintf="lan2" dstintfrole="undefined" poluuid="a4265a9c-32f9-51e8-94c3-0fe57163b6e5" sessionid=123456789 proto=17 action="accept" policyid=86 policytype="policy" service="SNMP" dstcountry="Reserved" srccountry="Reserved" trandisp="noop" duration=183 sentbyte=12865 rcvdbyte=15318 sentpkt=172 rcvdpkt=172
logid="0000000020"は長時間のセッションを見つけるためには有効ですが、ログ件数をカウントしたり、トラフィック量や通信時間等を集計する場合に、結果へ影響を及ぼす可能性がありますので、実際の通信に即したログをフィルタするためには該当のログ(logid="0000000020")を除外する必要があります。
「logid="0000000020"」のロギング停止手順
FortiGateのコンソール/SSHより下記設定を行っていただくことにより、該当のログ(logid="0000000020")を除外することができます。なお、本設定はお客様環境のご要件を考慮いただき、必要に応じて、設定いただくことを推奨します。
(例)FortiOS v5.6.6にて設定を行う場合
FGT-60D #config log syslogd filter FGT-60D #set filter "logid(20)" FGT-60D #set filter-type exclude FGT-60D #end
なお、本記事の内容については弊社が独自で確認を行った結果に基づき記載しております。ご利用環境や、ご利用バージョンにより、動作が異なる場合がございます。詳細につきましては、ご契約いただいている機器の保守窓口へお問い合わせいただけますようお願いいたします。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。
