Traffic Processing
Applikations Debugging
diag debug application
zeigt mir den Ablauf eines Prozesses. Ich erhalte detaillierte Informationen über den Ablauf, die ich für die Fehlersuche benötige. Debug Level ist eine Bitmaske.
diag debug application [application name] [debug level]
Debug Level ist eine Bitmaske. -1 oder 255 zeigt im Normalfall immer alles an.
Zusätzlich kann das Datum und die Zeit angezeigt werden.
diag debug console timestamp enable
Die Anzeige starten oder anhalten
diag debug enable diag debug disable
Alle Debugging Einstellungen zurückstellen
diag debug reset
diag test application
zeigt mir den Status und die Einstellungen von Prozessen an. Damit kann ich Einstellungen von Prozessen verändern und anschauen.
diag test application [application name] [test]
Der Parameter Test führt eine Aktion aus, oder zeigt einen Wert an.
Test Level „0“ gibt normalerweise eine Liste aller möglichen Parameter aus.
diag test application ipsmonitor 0
ergibt
2018-03-10 08:09:00 IPS Engine Test Usage: 2018-03-10 08:09:00 1: Display IPS engine information 2018-03-10 08:09:00 2: Toggle IPS engine enable/disable status 2018-03-10 08:09:00 3: Display restart log 2018-03-10 08:09:00 4: Clear restart log 2018-03-10 08:09:00 5: Toggle bypass status 2018-03-10 08:09:00 6: Submit attack characteristics now 2018-03-10 08:09:00 10: IPS queue length 2018-03-10 08:09:00 11: Clear IPS queue length 2018-03-10 08:09:00 12: IPS L7 socket statistics 2018-03-10 08:09:00 13: IPS session list 2018-03-10 08:09:00 14: IPS NTurbo statistics 2018-03-10 08:09:00 15: IPSA statistics 2018-03-10 08:09:00 16: Display device identification cache 2018-03-10 08:09:00 17: Clear device identification cache 2018-03-10 08:09:00 18: Display session info cache 2018-03-10 08:09:00 19: Clear session info cache 2018-03-10 08:09:00 21: Reload FSA malicious URL database 2018-03-10 08:09:00 22: Reload whitelist URL database 2018-03-10 08:09:00 24: Display Flow AV statistics 2018-03-10 08:09:00 25: Reset Flow AV statistics 2018-03-10 08:09:00 96: Toggle IPS engines watchdog timer 2018-03-10 08:09:00 97: Start all IPS engines 2018-03-10 08:09:00 98: Stop all IPS engines 2018-03-10 08:09:00 99: Restart all IPS engines and monitor
Achtung: Unsachgemässe Nutzung von diag test application kann unerwünschte Nebenwirkungen haben.
Paket Sniffer
Die FortiGate verfügt über einen eingebauten Sniffer.
diag sniffer packet [interface] '[filter]' [verbose level] [count] [tsformat]
Interface: ‚any‘ oder das jeweilige Interface
Filter: entspricht dem ⇒libcap Format wie bei tcpdump.
Verbose Level:
| 1 | packet header |
| 2 | packet header, IP data |
| 3 | packet header, IP data, ethernet header |
| 4 | interface, direction, packet header |
| 5 | interface, direction, packet header, IP data |
| 6 | interface, direction, packet header, IP data, ethernet header |
Count: 0 – unlimitert oder Anzahl Pakete
Tsformat: a oder l, GMT oder Localtime. Wird tsformat nicht angegeben, erhalte ich Sekunden seit Programm-Start.
Achtung: Von beschleunigten Policies sehe ich nur das erste und das letzte Paket. Innerhalb einer Firewall Policy kann die Hardware Beschleunigung ausgeschaltet werden.
config firewall policy
edit <id>
set auto-asic-offload disable
next
endAktivieren Sie die Hardware Beschleunigung nach dem Sniffen wieder!
Flow Trace
Mit dem Sniffer sehe ich die Pakete an den Interfaces. diag debug flow zeigt mir, was dazwischen passiert. Was genau blockiert das Paket.
Eventuelle Filter zurücksetzen
diag debug flow filter clear
Entsprechende Filter setzen
diag debug flow filter [filter]
Function Name anzeigen
diag debug flow show function-name enable
Anzeige auf dem Terminal aktivieren
diag debug enable
Trace starten
daig debug flow trace start [packet count]
Packet Count: 0 – unlimitiert oder Anzahl
Trace stoppen
diag debug flow trace stop
Session Table Troubleshooting
Eventuelle Filter löschen
diag sys session filter clear
Nur bestimmte Sessions anzeigen
diag sys session filter [filter]
Die Filter Einträge sind kumulativ. Es können mehrere Filter gesetzt werden. Adresse, Port, Interface, etc.
Gewählte Filter anzeigen
diag sys session filter
Die gewünschten Sessions anzeigen
diag sys session list [expect]
Der Parameter expect bewirkt, dass temporäre Regeln die von einem Session Helper ermittelt wurden, angezeigt werden.
Die gewünschten Sessions löschen
diag sys session clear
Es werden die Sessions, die dem gesetzten Filter entsprechen, gelöscht. Ohne Filter werden alle Sessions gelöscht.
Statistiken zu meinen Sessions kann ich mir auch anzeigen lassen
diag sys session stat
Der Befehl „diag sys session list“ zeigt die Interface Indizes an. Mit dem Befehl:
diagnose netlink interface list
ist die Verbindung zwischen den Interface Namen und dem Interface Index ersichtlich.
Will ich meine Counter auf dem CLI für alle Policies oder für spezifische Policies zurücksetzen
diag firewall iprope clear 00100004 [<id>]