Cómo solucionar la pérdida intermitente del número de serie de FortiAnalyzer en FortiGate

Introducción

Este artículo se centra en un problema que afecta a los dispositivos FortiGate, específicamente cuando el número de serie de FortiAnalyzer se pierde de la configuración. Este asunto es crucial porque puede comprometer la supervisión y gestión de eventos y registros en la red, afectando así la seguridad y la operatividad del sistema. A lo largo de este artículo, se proporcionará una guía detallada para diagnosticar y resolver este inconveniente.

Descripción del problema

Los dispositivos FortiGate pueden experimentar un problema donde el número de serie de FortiAnalyzer desaparece de la configuración de los registros, lo que puede causar fallos en la sincronización y en el envío de logs y eventos de seguridad.

Alcance

Este problema es relevante para los dispositivos FortiGate que están gestionados a través de FortiManager.

Diagnóstico paso a paso

En el caso descrito, FortiGate opera en la versión v7.2.8, gestionada por FortiManager v7.2.5, donde se ha configurado la dirección IP y el número de serie de FortiAnalyzer utilizando una plantilla del sistema de FortiManager. Este comportamiento puede ocurrir de manera aleatoria, y cuando FortiManager detecta que el número de serie ha desaparecido, intenta restablecerlo.

config log fortianalyzer setting

set status enable

set server «10.10.10.10»

set upload-option realtime

set reliable enable

end

Considerando que el comportamiento es intermitente, el problema puede reproducirse utilizando uno de los métodos a continuación:

1. Deteniendo el demonio OFTP en FortiGate.
2. Buscando y limpiando la sesión de FortiAnalyzer en la CLI de FortiGate:

diag sys session filter dst x.x.x.x  <—–  Reemplace con la dirección IP de FortiAnalyzer.

diag sys session clear

Una nueva sesión será visible con:

diag sys session list

Verifique si el número de serie de FortiAnalyzer está faltante con el siguiente comando:

show full log fortianalyzer setting

Cuando se encuentra el problema, aparecerá un nuevo aviso para verificar el número de serie y el certificado de FortiAnalyzer.

Solución recomendada

Verifique y acepte el certificado de FortiAnalyzer nuevamente, o empuje el número de serie utilizando un script de CLI:

execute batch start
config system central-management
    set type fortimanager
    set serial-number "FMG-XXXXXXXXXXXX"
    set fmg "FMG IP"
end
config log fortianalyzer setting
    set status enable
    set server "FAZ IP"
    set serial "FAZXXXXXXXXXXX"
    set upload-option realtime
    set reliable enable
end
execute batch end

Si se cumplen los requisitos, ejecute los siguientes comandos de depuración y genere un ticket con el equipo de soporte TAC para un análisis más detallado del resultado:

diag debug reset

diag debug console timestamp enable
diag debug enable
diag debug app fgtlogd -1

Tan pronto como ocurra el problema, detenga la depuración de fgtlogd con los comandos a continuación:

diag debug disable

diag debug app fgtlogd 0
diag debug reset

Revise las salidas de depuración:

write config file success, prepare to save ‘/tmp/system.conf.8075.MyEyZO’ to ‘/data/./config/sys_global.conf.gz’ on flash
flash: block_sz=4096, free_blocks=31059
[__create_file_new_version:293] the new version config file ‘/data/./config/sys_global.conf.gz.v000002957’ is created
[symlink_config_file:360] a new version of ‘/data/./config/sys_global.conf.gz’ is created: /data/./config/sys_global.conf.gz.v000002957
[symlink_config_file:404] the old version ‘/data/./config/sys_global.conf.gz.v000002956’ is deleted
[symlink_config_file:406] ‘/data/./config/sys_global.conf.gz’ has been symlink’ed to the new version ‘/data/./config/sys_global.conf.gz.v000002957’. The old version ‘/data/./config/sys_global.conf.gz.v000002956’ has been deleted
zip config file /data/./config/sys_global.conf.gz success!

Este problema está registrado bajo bug 1083537 y se ha resuelto en las versiones v7.2.11, v7.4.8, v7.6.1 (y versiones más recientes).