Cómo solucionar desconexiones intermitentes de FortiGate con FortiAnalyzer

En este artículo se aborda un problema conocido que los usuarios pueden enfrentar con FortiGate al conectarse a FortiAnalyzer. El FortiGate almacena el número de serie del FortiAnalyzer en una lista en caché junto con marcas de tiempo. Estas marcas de tiempo se utilizan para verificar la expiración de las entradas del número de serie. Comprender y resolver este problema es crucial para asegurar que la conectividad entre FortiGate y FortiAnalyzer se mantenga operativa. A continuación, se detallan los pasos para diagnosticar y solucionar este problema.

Índice

1 Descripción del problema
2 Alcance
3 Diagnóstico paso a paso
4 Solución recomendada
5 Comandos CLI utilizados
6 Buenas prácticas y recomendaciones
7 Notas adicionales

Descripción del problema

El problema se presenta cuando la entrada del número de serie del FortiAnalyzer expira en la lista en caché debido a un problema conocido, lo que a su vez elimina el número de serie de la configuración del FortiGate y desconecta el FortiAnalyzer. Esto puede causar interrupciones en el registro y la analítica, afectando la operatividad general del sistema.

Alcance

Este problema afecta a usuarios que utilizan FortiGate versión 7.6.0 o anterior.

Diagnóstico paso a paso

Para diagnosticar el problema, es necesario verificar el estado de la conexión y el número de serie del FortiAnalyzer. Use el siguiente comando:

diagnose test app fgtlogd 1

Este comando permite comprobar el estado de la conexión entre FortiGate y FortiAnalyzer. La salida que se espera incluirá información sobre el estado de la conexión y el número de serie del FortiAnalyzer.

fortilog:
faz: global , enabled
        server=A.B.C.D, alt-server=, active-server=A.B.C.D, realtime=1, ssl=3, state=connected
        server_log_status=Log is allowed.
        src=, mgmt_name=FGh_Log_root_A.B.C.D, reliable=1, sni_prefix_type=none,
        required_entitlement=none, region=ca-west-1,
        logsync_enabled:1, logsync_conn_id:65535, seq_no:21746
        disconnect_jiffies:0
                status: ver=7, used_disk=0, total_disk=0, global=0, vfid=0 conn_verified=Y
                SNs: last sn update:46 seconds ago.
                Sn list:    
                (FAZAAABBBCCCDDDD,age=46s)
        queue: qlen=0.

Es importante observar que si el número de serie aparece en la salida, indica que la conexión es válida. Sin embargo, si el número de serie está ausente, es probable que se haya desconectado el FortiAnalyzer.

Solución recomendada

Si se confirma que el número de serie está ausente de la configuración de FortiGate, puede reconfigurar lo siguiente:

config log fortianalyzer setting
    set status enable
    set server "A.B.C.D"
    set serial "FAZAAABBBCCCDDDD"
    set upload-option realtime
    set reliable enable
end

En caso de que el número de serie esté ausente, su configuración debería verse así:

config log fortianalyzer setting
    set status enable
    set server "A.B.C.D"
    set upload-option realtime
    set reliable enable
end

Este comportamiento se debe a los problemas conocidos #1083537 y #1088385, que fueron resueltos en la versión 7.6.1 de FortiOS. Para más información, consulte: Problemas resueltos en FortiOS 7.6.1.

Comandos CLI utilizados

Los siguientes comandos son necesarios para recabar los registros requeridos por el TAC de FortiGate para investigar el problema:

Salidas CLI de los siguientes comandos:

diagnose debug app fgtlogd 255

diagnose debug app miglogd 255

diagnose debug cli 8

diagnose debug console timestamp enable

diagnose debug enable

Informe de depuración de FortiCare o informe TAC:

execute tac report

Archivo de configuración del FortiGate.

Buenas prácticas y recomendaciones

Acepte nuevamente el certificado de FortiAnalyzer desde la GUI en Security Fabric -> Fabric Connector -> Logging & Analytics.
Configure una automatización para añadir el número de serie del FortiAnalyzer a la configuración.

Notas adicionales

Asegúrese de mantenerse al día con las actualizaciones de firmware de FortiGate y FortiAnalyzer para evitar la reaparición de problemas de conectividad. Revisar periódicamente la documentación oficial de Fortinet también es recomendable para obtener mejores prácticas y detalles sobre nuevas implementaciones.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre <a href="https://todoforti.net/fortigate/">FortiGate</a>

Cómo resolver problemas con el estado de actualización automática de FortiGuard en Fortinet
En el mundo de la ciberseguridad, es esencial mantener todos los dispositivos actualizados para garantizar su protección. Este artículo aborda problemas relacionados con el servicio de actualización automática de FortiGuard en un dispositivo FortiGate. Proporcionaremos comandos de la CLI que le ayudarán a verificar el estado de este servicio y asegurar que su configuración es Leer
FSSO – Habilitación de la comunicación segura entre el Agente Colector y el Agente DC
Descripción Este artículo describe cómo habilitar la comunicación segura entre el Colector y los Agentes DC para solucionar la vulnerabilidad de CVE-2021-26088. https://www.fortiguard.com/psirt/FG-IR-20-191 Alcance FSSO Collector y DC Agent 5.0.297 o superior. Solución Por defecto, la comunicación entre los Agentes DC FSSO y los Agentes Colectores se realiza en paquetes UDP de texto plano en Leer
Cómo solucionar el problema de carga parcial de un sitio web bloqueado por el filtro de URL estático en el perfil de Web Filter de Fortinet
Este artículo aborda un problema común relacionado con la carga parcial de sitios web cuando se permite una categoría específica, lo que puede causar frustraciones en los usuarios. El contenido se centra en cómo utilizar el filtro de URL estático en el perfil de filtro web de FortiGate para identificar y solucionar estos inconvenientes, garantizando Leer
Cómo solucionar el acceso a la Web GUI en FortiGate al habilitar FortiToken Mobile en el mismo puerto
En este artículo se describe un comportamiento conocido que puede ocurrir al habilitar FortiToken Mobile Push (también conocido como ‘FTM-Push’ y ‘FTM’ en la GUI/CLI) en una interfaz de red que utiliza el mismo puerto de escucha que la GUI web administrativa. Este problema es significativo ya que puede afectar la funcionalidad de la autenticación Leer
Alerta por correo electrónico cuando la interfaz WAN se cae
Hola amig@s 👏, soy César Sánchez y hoy os vengo a contar: ⤵️ Alerta por correo electrónico cuando la interfaz WAN se cae Configuración. 1) Activación de la automatización: Especifique el identificador de eventos de registro y es posible filtrar por una interfaz específica, por ejemplo: WAN1. 2) Acción de automatización: Especifica la acción tomada Leer