Bilişim

Fortigate Komut Satırları – Komutlar

fortigate komutlari

Fortigate’de cihaz onarımı ve durum görüntüleme gibi birçok komutu bulabileceğiniz bir dökümanı sizlerle paylaşıyoruz. Bu komutlar ile cihaz hakkında tüm işlemleri yapabilirsiniz.

#get system status (Cihaz/UTM elemanlarının versiyonları)
#get system session status (Cihaz ürerindeki toplam session bilgisini verir)
#get system session list (Tüm session listesini gösterir, çok fazla çıktı üretebilir bunun yerine aşagıdaki
diag komutu kullanılabilir)
#diag sys session filter dst 172.20.120.222 (destination ip filitresi verilir)
#diag sys session filter policy 1 (policy filters verilebilir)
#diag sys session filter (hangi filitrelerin aktif oldugu gözükür)
#diag sys session filter clear (ilgili filitreler silinir)
#diag sys session filter list (filitrelenen sessionlar görüntülenir !!!!Filitre yazılmadan kullanılmamalıdır!!!!)
#diag hardware deviceinfo nic port1 (ilgili interface durumunu gösterir)
#diag hardware sysinfo mem (memory durumunu gösterir)
#get system performance stat (cpu/memory istatistiklerini gösterir)
#diag sys top-summary (cpu/memory istatistiklerini gösterir)
#get system performance firewall statistics (sistem reboot’dan beri firewall ile ilgili istatistik bilgilerini verir)
#diag firewall statistic show (üsteki çıktının aynısını verir)
#diag firewall statistic clear (tüm yukarıdaki istatistikleri resetler)
#get webfilter ftgd-statistics (reboot’dan itibaren fortiguard baglantı istatistiklerini gösterir)
#get system performance firewall packet-distribution (sistem reboot’dan beri paket boyutlarına göre
dagılımı gösterir yukarıdaki clear komutu ile resetlenebilir)
#get system session-info full-stat (tüm session istatistiklerini gösterir)
#get system performance top 5 20 (her 5 sn’de bir 20 process’in durumu gözlemlenir)
#diag sys top-summary –sort=mem (memory kullanımına göre sort eder)
#diag test application http 4 (sistem kaynak tüketimleri gözükebilir)

#diagonise npu np6 port-list
#get hardware npu np4 list (yukarıdaki ile beraber her iki komut np6/4 için port mapping’ini gösterir.)
npu tabanlı interface’lerde sniffer çalıştırması için trafigin ana CPU’a gönderilmesi
#diag npu np4 list (hangi portun hangi npu da oldugu anlaşılır <dev_id> verir)
#diag npu np4 fastpath disable <dev_id>
#diag npu np4 fast-path sniffer enable port1
#diag sys checkused system.interface.name port1 (ilgili objenin nerede kullanıldıgını verir)
#show full-configuration | grep -f port1 (tüm konfigrasyon içinden kullanımı görmek için -f yerini gösterir)
#diag sys checkused firewall.policy.policyid 1 (ilgili politikanın nerede kullanıldıgını verir)
#print tablesize (ile de check edilecek tablo degerleri gözükebilir.)
#get sys arp (ile arp cache gözükür ‘diag ip arp list’ de aynı gibi)
#execute clear system arp table (arp tablosu silinir)
#diag ip arp delete <interface_name><ip addr> (tekbir ip’ninki silinir)
#diag ip arp flush <interface_name> (ilgili interface’in arp cache’i flush edilir)
#config system arp table (tabloya arp eklemek için)
#diag debug config-error-log read (açılıştaki hataları gösterir)
#get system startup-error-log (açılıştaki hataları gösterir)
#diag system ntp status (ntp baglantı durumunu gösterir)
#diag ip address list (tüm interface ip listeleri gözükür)

standart bir ip adresinin trafik logunu almak
#diag debug enable
#diag debug flow filter addr 203.23.13.2
#diag debug flow show consol enable
#diag debug flow show function-name enable
#diag debug flow trace start 100
#diag debug flow trace stop
#diag debug reset
#diag debug disable
gui de yapılan bir işlemin cli yansıması logunu görmek
#diag debug cli 8
tac raporu için log alınması ve tüm bilgi komutlarına buradan bakılabilir.
#exec tac report
npu tabanlı interface’lerde sniffer çalıştırması için trafigin ana CPU’a gönderilmesi
#diag npu np4 list (hangi portun hangi npu da oldugu anlaşılır <dev_id> verir)
#diag npu np4 fastpath disable <dev_id>
#diag npu np4 fast-path sniffer enable port1
direk sniffer açma
#diag sniffer packet <interface> <filter> <verbose> <count> <tsformat>
#diag sniffer packet port1 filter ‘ip src host 192.168.1.2 and dst host 192.168.2.3’
#diag sniffer packet port1 none 4 3 (4 numaralı verbocity’de 3 paket tutar)
filter opsiyonları
‘[[src|dst] host <host_name_or_IP1>] [[src|dst] host <host_name_or_IP2>] [[arp|ip|ip6|gre|esp|udp|tcp] [port_no]]
[[arp|ip|ip6|gre|esp|udp|tcp] [port_no]]’
count opsiyonları
The <count> value indicates the number of packets to sniff before stopping. If this variable is not included, or is
set to zero, the sniffer will run until you manually halt it with Ctrl-C.

Memory’nin durumu ve kullanımına dair logların yorumlanması
#diag sys top (en çok kullanılan process’ler) p’ye basarak CPU’a göre m’ye basarak memory kullanımına göre sort edilebilir.
En tepede aşagıdaki gibi bir çıktı gözükür,
0U, 0S, 98I; 1977T, 758F, 180KF
* U kısmı yüzde olarak CPU nun ne kadarını user space uygulamaların kullandıgını verir
* S kısmı yüzde olarak CPU nun ne kadarını sistem veya kernel’in kullandıgını verir
* I idle CPU
* T toplam memory alanı
* F Free memory alanı
* KF total shared memory pages demek
devamında aşagıdaki gibi çıktı gözükür
newcli 286 R 0.1 0.8
* newcli process ismi
* 268 process id
* R (running) S (sleep) Z (zombie) D (Disk Sleep)
* 0.1 kullandıgı CPU oranı
* 0.8 kullandıgı memory oranı
Session timer’ların kullanılmayan session’ların hızlı kapatılmasını saglamak için
config system global
set tcp-halfclose-timer 30
set tcp-halfopen-timer 30
set tcp-timewait-timer 0
set udp-idle-timer 60
end
Disk loglama gerekmiyorsa kapatılır (config log disk setting>set status disable)
Modem durumunu debug etmek için
diagnose sys modem {cmd | com | detect | history | external-modem| query| reset}
USB modemi takmanın ardından
#diag sys modem detect
#get system modem
#diag debug en
#diag debug application modemd
#diag debug application ppp
#execute modem dial

Serkan Çataltaş

1987 Yılında Malatya'da doğdu. Netaş'ta çalışmalarına devam etmektedir.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir