No veo los logs historicos

Para temas referentes al almacenamiento de logs, creación de resumenes y otros temas referentes a los productos FortiAnalyzer
Responder
dcrosio
Mensajes: 33
Registrado: 23 May 2012, 17:49

No veo los logs historicos

Mensaje por dcrosio »

Hola, a ver si alguien puede darme una idea o voy directo a abrir un ticket en fortinet.

Tengo un FAZ-100C al cual reportaba un equipo (FGT-80C) sin problemas, funcionando correctamente.
Debia realizar 2 tareas, agregar un nuevo 80C y realizar upgrade de firmware ya que estaba en 4.0 MR3 Patch3
Comienzo intentando agregar el equipo y si bien me aparecia registrado en el FAZ si oprimia TEST en el FGT me aparecia como que no llegaba, y en el FAZ la "luz" (indicador de recepcion) de logs aparecia en rojo
Cambio y comienzo con el upgrade realice 4 saltos para llegar a la ultima.
Al quedar con la ultima el indicador de logs cambia a verde y parece que queda funcionando, pero leo en el Release Note que se debe realizar una conversion de base de datos, para lo cual hay que deshabilitar la base de datos, aparece una notificacion de conversion y la acepto.
A partid de ahi desaparecieron todos los logs del equipo que funcionaba incluisve, asumo que esta realizando una reindexacion de la base por lo que la dejo trabajando.
24 hs despues seguia con la CPU al 100% y los logs no aparecian
Busco nuevamente en support y leo que hay veces que la base se corrompe y hay que crearla nuevamente, ejecuto ambos comandos (borrado de base y reindex) desde el CLI
Sigue la CPU al 100%, los logs no aparecen, solo se los ve y se que llegan al equipo cuando pongo la opcion de "Real Time", pero si selecciono Time 1 hs o mas, no aparece o aparece, 2 o 3 registros dependiendo que tipo de log elijo

Mis preguntas son:
Dandole mas tiempo terminara algun proceso y aparecera todo nuevamente?
Abro un ticket en fortinet?

Como dato adicional, lo ultimo que hice fue agregar un tercer equipo, lo reconocio sin problemas, los logs los recibe si veo en REAL TIME pero los historicos no aparecen

Gracias

Daniel
dcrosio
Mensajes: 33
Registrado: 23 May 2012, 17:49

Re: No veo los logs historicos

Mensaje por dcrosio »

Corrijo un dato que me equivoque, la version original del FAZ era una MR2 Patch3

Gracias
Inveral
Mensajes: 13
Registrado: 25 Sep 2012, 16:11

Re: No veo los logs historicos

Mensaje por Inveral »

Yo tengo el mismo problema, pero tengo un FA-100B que le da apoyo a un FG-200B, pensé que el problema era el firmware y lo actualice a la última versión v4.0,build0680 (MR3 Patch 5) pero nada, sigo sin poder ver los registros y para colmo el CPU esta al 100%. Alguna sugerencia?. Gracias.
Inveral
Mensajes: 13
Registrado: 25 Sep 2012, 16:11

Re: No veo los logs historicos

Mensaje por Inveral »

Me dieron una solución abriendo un ticket en Fortinet y ya se resolvió mi problema, les digo que hicieron para si alguna vez lo requieren:

Solución:

A) Dar de baja la base de datos

B) Correr la siguiente sentencia: execute sql-local remove-db

C) Correr ahora esta: exec reset-sqllog.transfer

D) Levantar la base de datos local nuevamente y poner una fecha para que empiece a realizar consultas.

Y santo remedio.

Buen día!
dariohg89
Mensajes: 26
Registrado: 19 Nov 2012, 14:23

Re: No veo los logs historicos

Mensaje por dariohg89 »

Reavivo este tema para una consulta,

Como dar de baja la base del analyzer?

Gracias!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: No veo los logs historicos

Mensaje por gabyrossi »

hola, estabas trabajando con los logs index y cambiaste a sql.
En ese modo cambia todo, hasta la forma de elaborar los reportes ya que hay qyue armar los datasets.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
mateualc
Mensajes: 22
Registrado: 23 Mar 2010, 14:58

Re: No veo los logs historicos

Mensaje por mateualc »

Hola,

A mi también me pasa lo mismo, no puedo ver los históricos, pero en la versión actual del FLC 5.0.10 no aparece el comando exec reset-sqllog.transfer que comentaba el compañero en el hilo. Es decir, puedo borrar y crear de nuevo la base de datos pero no puedo ejecutar ese comando, que se supone es la clave.

Alguna idea?

Gracias y saludos,
Mateu
Responder