Fortigate Komut Satırları – Komutlar

, , Leave a comment

fortigate komutlari

Fortigate’de aygıt onarımı ve durum görüntüleme benzer biçimde birçok komutu bulabileceğiniz bir dökümanı sizlerle paylaşıyoruz. Bu komutlar ile aygıt hakkında tüm işlemleri yapabilirsiniz.

#get system status (Aygıt/UTM elemanlarının versiyonları)
#get system session status (Aygıt ürerindeki toplam session bilgisini verir)
#get system session list (Tüm session listesini gösterir, oldukca fazla çıktı üretebilir bunun yerine aşagıdaki
diag komutu kullanılabilir)
#diag sys session filter dst 172.20.120.222 (destination ip filitresi verilir)
#diag sys session filter policy 1 (policy filters verilebilir)
#diag sys session filter (hangi filitrelerin etken oldugu gözükür)
#diag sys session filter clear (ilgili filitreler silinir)
#diag sys session filter list (filitrelenen sessionlar görüntülenir !!!!Filitre yazılmadan kullanılmamalıdır!!!!)
#diag hardware deviceinfo nic port1 (ilgili interface durumunu gösterir)
#diag hardware sysinfo mem (memory durumunu gösterir)
#get system performance stat (cpu/memory istatistiklerini gösterir)
#diag sys top-summary (cpu/memory istatistiklerini gösterir)
#get system performance firewall statistics (sistem reboot’dan beri firewall ile ilgili istatistik bilgilerini verir)
#diag firewall statistic show (üsteki çıktının aynısını verir)
#diag firewall statistic clear (tüm yukarıdaki istatistikleri resetler)
#get webfilter ftgd-statistics (reboot’dan itibaren fortiguard baglantı istatistiklerini gösterir)
#get system performance firewall packet-distribution (sistem reboot’dan beri paket boyutlarına gore
dagılımı gösterir yukarıdaki clear komutu ile resetlenebilir)
#get system session-info full-stat (tüm session istatistiklerini gösterir)
#get system performance top 5 20 (her 5 sn’de bir 20 process’in durumu gözlemlenir)
#diag sys top-summary –sort=mem (memory kullanımına nazaran sort eder)
#diag test application http 4 (sistem kaynak tüketimleri gözükebilir)

#diagonise npu np6 port-list
#get hardware npu np4 list (yukarıdaki ile birlikte her iki komut np6/4 için port mapping’ini gösterir.)
npu tabanlı interface’lerde sniffer çalıştırması için trafigin ana CPU’a gönderilmesi
#diag npu np4 list (hangi portun hangi npu da oldugu anlaşılır <dev_id> verir)
#diag npu np4 fastpath disable <dev_id>
#diag npu np4 fast-path sniffer enable port1
#diag sys checkused system.interface.name port1 (ilgili objenin nerede kullanıldıgını verir)
#show full-configuration | grep -f port1 (tüm konfigrasyon içinden kullanımı görmek için -f yerini gösterir)
#diag sys checkused firewall.policy.policyid 1 (ilgili politikanın nerede kullanıldıgını verir)
#print tablesize (ile de check edilecek tablo degerleri gözükebilir.)
#get sys arp (ile arp cache gözükür ‘diag ip arp list’ de aynı şeklinde)
#execute clear system arp table (arp tablosu silinir)
#diag ip arp delete <interface_name><ip addr> (tekbir ip’ninki silinir)
#diag ip arp flush <interface_name> (ilgili interface’in arp cache’i flush edilir)
#config system arp table (tabloya arp eklemek için)
#diag debug config-error-log read (açılıştaki hataları gösterir)
#get system startup-error-log (açılıştaki hataları gösterir)
#diag system ntp status (ntp baglantı durumunu gösterir)
#diag ip address list (tüm interface ip listeleri gözükür)

standart bir ip adresinin trafik logunu almak
#diag debug enable
#diag debug flow filter addr 203.23.13.2
#diag debug flow show consol enable
#diag debug flow show function-name enable
#diag debug flow trace start 100
#diag debug flow trace stop
#diag debug reset
#diag debug disable
gui de meydana getirilen bir işlemin cli yansıması logunu görmek
#diag debug cli 8
tac raporu için log alınması ve tüm informasyon komutlarına buradan bakılabilir.
#exec tac report
npu tabanlı interface’lerde sniffer çalıştırması için trafigin ana CPU’a gönderilmesi
#diag npu np4 list (hangi portun hangi npu da oldugu anlaşılır <dev_id> verir)
#diag npu np4 fastpath disable <dev_id>
#diag npu np4 fast-path sniffer enable port1
direk sniffer açma
#diag sniffer packet <interface> <filter> <verbose> <count> <tsformat>
#diag sniffer packet port1 filter ‘ip src host 192.168.1.2 and dst host 192.168.2.3’
#diag sniffer packet port1 none 4 3 (4 numaralı verbocity’de 3 paket meblağ)
filter opsiyonları
‘[[src|dst] host <host_name_or_IP1>] [[src|dst] host <host_name_or_IP2>] [[arp|ip|ip6|gre|esp|udp|tcp] [port_no]] [[arp|ip|ip6|gre|esp|udp|tcp] [port_no]]’
count opsiyonları
The <count> value indicates the number of packets to sniff before stopping. If this variable is not included, or is
set to zero, the sniffer will run until you manually halt it with Ctrl-C.

Memory’nin durumu ve kullanımına dair logların yorumlanması
#diag sys top (en oldukca kullanılan process’ler) p’ye basarak CPU’a bakılırsa m’ye basarak memory kullanımına nazaran sort edilebilir.
En tepede aşagıdaki şeklinde bir çıktı gözükür,
0U, 0S, 98I; 1977T, 758F, 180KF
* U kısmı yüzde olarak CPU nun ne kadarını user space uygulamaların kullandıgını verir
* S kısmı yüzde olarak CPU nun ne kadarını sistem yada kernel’in kullandıgını verir
* I idle CPU
* T toplam memory alanı
* F Free memory alanı
* KF total shared memory pages demek
devamında aşagıdaki benzer biçimde çıktı gözükür
newcli 286 R 0.1 0.8
* newcli process adı
* 268 process id
* R (running) S (sleep) Z (zombie) D (Disk Sleep)
* 0.1 kullandıgı CPU oranı
* 0.8 kullandıgı memory oranı
Session timer’ların kullanılmayan session’ların süratli kapatılmasını saglamak için
config system global
set tcp-halfclose-timer 30
set tcp-halfopen-timer 30
set tcp-timewait-timer 0
set udp-idle-timer 60
end
Disk loglama gerekmiyorsa kapatılır (config log disk setting>set status disable)
Modem durumunu debug etmek için
diagnose sys modem history
USB modemi takmanın arkasından
#diag sys modem detect
#get system modem
#diag debug en
#diag debug application modemd
#diag debug application ppp
#execute modem dial

Kaydet

Daha önce de Prisma Mobil Uygulaması Nedir konusuna değinmiştik ona da bir gözatabilir, hakkında detaylı bilgiler alabilirsiniz.

16 kez okundu.

Paylaşın:
 

Leave a Reply

(*) Required, Your email will not be published