FortiGate Logs per CLI ausgeben

Author: vla Category: Fortinet

Zuletzt aktualisiert: 30.04.2026

Von Zeit zu Zeit ist es notwendig, die Logs eines FortiGates per CLI auszulesen. Dies kann beispielsweise dann von Nöten sein, wenn die FortiGate nur per CLI erreichbar ist oder der Inhalt eines Logs von einem Script ausgewertet werden soll.

Ausgeben der Logs via CLI

  • SSH Verbindung zur FortiGate aufbauen (Seriell funktioniert auch, da sind jedoch einige unnötige Zeilenumbrüche im Logfile und die Übertragung ist deutlich langsamer)
  • Die Filter per Befehl konfigurieren (Siehe Beispiele weiter unten)
  • Aufzeichnung in ein Logfile im SSH Client aktivieren
  • Logs per Befehl ausgeben:
    exec log display
  • Aufzeichnung ins Logfile beenden und das erstellte Logfile auswerten
  • SSH Verbindung beenden

Zu beachten

  • Die Datumsformate sind im amerikanischen Layout
  • Alle Eingaben auf dem FortiGate sind CASE SENSITIVE
  • Es werden maximal 1000 Zeilen ausgegeben.

Beispiele für Log Filter

Authentifizierungs Events für einen Benutzer in einer Zeitspanne von einigen Tagen ausgeben:

exec log filter category 1
exec log filter field user username
exec log filter field date 2019/02/08-2019/02/11
exec log display

Authentifizierungs Events für einen Benutzer in einer Zeitspanne von einigen Stunden an einem bestimmten Datum ausgeben:

exec log filter category 1
exec log filter field user username
exec log filter field date 2019/02/11
exec log filter field time 15:22:00-15:23:00
exec log display

Vor der Ausgabe der Logs kann der Filter mit

gw01 # exec log filter dump
category: traffic
device: memory
start-line: 1
view-lines: 1000
max-checklines: 0
HA member: 
log search mode: on-demand
pre-fetch-pages: 2
Oftp search string:

angezeigt und überprüft werden.
Die Anzahl anzuzeigender Logeinträge kann mit

exec log filter view-lines 1000

festgelegt werden. Default ist 10, maximal sind 1000.
Nach der Ausgabe der Logs kann der Filter mit

exec log filter reset

zurückgesetzt werden.

Weitere Informationen und Inspirationen für eigene Filter sind in diesem Hilfeartikel zu finden: how-to-narrow-down-specific-logs-from-cli

Folgende Filterkriterien können festgelegt werden:

gw01 # exec log filter ?
category             Category.
device               Device to get log from.
dump                 Dump current filter settings.
field                Filter by field.
free-style           Filter by free-style expression.
ha-member            HA member.
local-search-mode    local log search mode
max-checklines       Maximum number of lines to check.
pre-fetch-pages      Number of pages to check in advance under on-demand log search mode.
reset                Reset filter.
start-line           Start line to display.
view-lines           Lines per view.

Die Kategorien welche zur Auswahl stehen sind:

gw01 # exec log filter category 
Available categories:
 0: traffic
 1: event
 2: utm-virus
 3: utm-webfilter
 4: utm-ips
 5: utm-emailfilter
 7: utm-anomaly
 8: utm-voip
 9: utm-dlp
10: utm-app-ctrl
12: utm-waf
15: utm-dns
16: utm-ssh
17: utm-ssl
19: utm-file-filter
20: utm-icap
22: utm-sctp-filter
23: forti-switch
24: utm-virtual-patch
25: utm-casb

Spannend ist auch der free-style Filter:

gw01 # exec log filter free-style 
Please enter a free-style expression. For example:
"srcip 172.16.1.1"
"(srcip 172.16.1.1) or (dstip 172.16.1.2)"
"(srcip 172.16.1.1) and (dstip 172.16.1.2)"
"((srcip 172.16.1.1) or (dstip 172.16.1.2)) and (dstport 80 443 50-60)"

Auch im HA Cluster gibt es ab und zu die Notwendigkeit, die Logs auf der Konsole auszugeben, welche HA relevante Themen betreffen. Glücklicherweise sind alle HA Logs in einer eigenen Sub-Kategorie abgelegt und können so ganz einfach gefiltert werden:

exec log filter category 1
exec log filter free-style "subtype = ha"
exec log display

Weitere praktische Befehle im Umgang mit Logs

Backup aller memory-logs auf einen FTP server

gw01 # execute backup memory alllogs ftp
{ftp server}[:ftp port]   FTP server IP or FQDN, can be attached with port.
{Enter}|{user}   FTP username may be needed.
{passwd}   FTP password.

Backup aller memory-logs auf einen TFTP server

gw01 # execute backup memory alllogs tftp
{ip}   IP address of TFTP server.

Backup ausgewählter memory log files auf einen FTP server

execute backup memory log ftp
{ftp server}[:ftp port]   FTP server IP or FQDN, can be attached with port.
{user}   ftp username
{passwd}   FTP password.
{string}   , traffic, event, virus, webfilter, ips, emailfilter, anomaly, voip, dlp, app-ctrl, waf, dns, ssh

Backup ausgewählter memory log files auf einen TFTP server

gw01 # execute backup memory log tftp
{ip}   IP address of TFTP server.
{string}   , traffic, event, virus, webfilter, ips, emailfilter, anomaly, voip, dlp, app-ctrl, waf, dns, ssh

Weitere Informationen zum Backup der Logs auf einen FTP Server sind in diesem Artikel zu finden: technical-tip-how-to-download-disk-logs-in-plaintext-format-avoid-performing-lz4-decompression-using-cli-118672

Leave a Reply

Your email address will not be published. Required fields are marked *