会话统计命令
2025/10/29大约 3 分钟
会话统计命令
通过diagnose sys session full-stat命令,可以查看 FortiGate 整机会话的统计信息。
如下所示diagnose sys session full-stat命令的输出结果。
FortiGate # diagnose sys session full-stat
session table: table_size=524288 max_depth=1 used=252
misc info: session_count=127 setup_rate=0 exp_count=0 reflect_count=0 clash=0
memory_tension_drop=0 ephemeral=0/239104 removeable=0 extreme_low_mem=0
npu_session_count=55
nturbo_session_count=21
delete=0, flush=16, dev_down=64/174
session walkers: active=0, vf-397, dev-64, saddr-0, npu-0, wildcard-0
TCP sessions:
58 in ESTABLISHED state
2 in SYN_SENT state
5 in CLOSE state
firewall error stat:
error1=00000000
error2=00000000
error3=00000000
error4=00000000
tt=00000000
cont=00103420
ips_recv=002aff57
policy_deny=000e0704
av_recv=01a29d3a
fqdn_count=0000000a
fqdn6_count=00000000ephemeral:当前处于 ephemeral(临时)状态的会话数量。ephemeral 会话指处于建立阶段的 TCP 会话,或仅接收单向数据包且未双向通信的 UDP 会话。- 由于 FortiGate 需要分配内存来管理会话,此类半连接会话是常见的 DoS 攻击形式。
- 为避免此类攻击,FortiGate 将处于这些状态的会话归类为 ephemeral 会话,并根据设备型号设定同时存在的会话数量上限,以防止内存耗尽。其核心目的是提供一种 DoS 防护。
memory_tension_drop:因系统内存不足而删除的会话数量,将删除最旧的会话,TCP 本地会话不会被删除。removeable:当可用内存不足以支持创建新会话时,统计现有防火墙会话中可供删除的候选会话数量。npu_session_count:当前被 NP 芯片加速转发的会话数量。nturbo_session_count:当前被 nturbo 加速的会话数量。flush:统计因用户操作或某些功能删除的会话数量,例如:- 管理员使用 GUI 删除特定会话。
- 被 IPS 规则阻断的会话。
- 当 SIP ALG 会话因通话结束而被删除时,若该通话通过 UDP 建立,SIP ALG 将删除对应的会话,以避免该会话被意外重复用于其他 SIP 呼叫。
dev_down:统计当 IPSec 接口被管理性关闭时,删除的相关 IPSec 接口会话。cont:统计被发送到 IPS 并由 IPS 检测后继续放通的报文数量。计数结果以十六进制形式显示。ips_recv:统计发往 IPS 处理的报文数量。若设备支持 nTurbo 且该功能已启用,则通过 nTurbo 传递至 IPS 的数据包不计入此统计。计数结果以十六进制形式显示。av_recv:统计发往 AV 处理的数据包数量。统计结果以十六进制形式显示。fqdn_count:统计内核中当前存在,且与config firewall address、config firewall address6和config firewall service中配置对应的 FQDN 条目数量。计数结果以十六进制形式显示。error1:统计接收到的数据包加密状态与其所属会话不匹配。例如:- 当会话要求解密数据包时,该数据包仍为明文(例如在欺骗攻击)。
- 数据包已正确解密,但会话未关联任何 IPsec 隧道。
error2:统计在数据包出站时,所选接口与关联会话中的出接口不匹配的次数。error3:ALG 的 expectation 会话用于在防火墙上建立针孔(如 FTP 协议),并始终关联至生成该 expectation 的父会话。系统为每个父会话设定了可同时关联的 expectation 上限;一旦达到该上限,error3 计数器递增一次。