目录
Ⅰ 基础检查
1 高CPU、内存占用处理
系统资源占用较高的处理
1.降低会话等待时间。使用如下命令可以降低tcp/udp 会话等待时间,从而减少系统资源占用。
config system global
set tcp-halfclose-timer 30
set tcp-halfopen-timer 30
set tcp-timewait-timer 0
set udp-idle-timer 60
end
2. 降低dns会话等待时间
config system session-ttl
config port
edit 53
set protocol 17
set timeout 10
set start-port 53
set end-port 53
next
end
end
3. 删除dns-udp session-helper,具体操作如下:
config system session-helper
delete 14
end
4.开启代理模式的防病毒功能时,会带来较高的资源损耗输入如下命令可进行优化:
config system global
set av_failopen idledrop
end
5.其他一些建议
1).尽量避免使用系统—面板中的某些组件,例如会话排行榜。这些组件会频繁使用CPU 和其他资源。
2).在系统空闲的状态下升级杀毒库,IPS 库和软件版本。
3).查看日志告警级别和日志设置。去掉不必要的日志类别,适当的调高告警级别。
4).尽量使用syslog 记录日志。使用内存记录日志会消耗内存资源;使用硬盘记录日志会降低系统整体的性能。尽量不记录数据包日志。
5).减少使用命令行的抓包和trace 操作。
2 基础检查
一、基础检查
基础检查需要查看CPU、内存和系统连接数、接口流量是否正常,操作步骤如下:
1、在“系统管理”--“状态”界面,通过添加“微件”的方式,添加接口流量和会话历史-到状态页面,如下图,查看接口连接状态、cpu、内存、磁盘利用率,接口流量和会话数。
二、检查标准
1、CPU利用率:由于防火墙有芯片,正常的流量都走芯片转发,不走cpu,只有开了utm相关的应用层防护功能和DDOS之类的,才回走cpu,所以一般cpu都不会占用太多,甚至很
多时间都是0%,如果cpu过高,肯定是开了应用防护功能或者DDOS功能、还有一种可能就是新建连接太多,大多是攻击引起。正常情况下,CPU的占用率应低于80%。如果CPU占用
率长时间过高,应检查设备,分析原因。
3、内存利用率:正常情况下,内存的占用率应低于80%。如果长时间过高,应检查设备,查询原因
4、系统连接数:正常情况下,硬盘的占用率在90%以下,如果硬盘剩余容量太小,应检查设备, 清理硬盘空间
Ⅱ 运行情况
一、查看系统当前运行状态
输入命令:get system performance status
RG-WALL # get system performance status
CPU states: 0% user 0% system 0% nice 100% idle //CPU占用率
CPU0 states: 0% user 0% system 0% nice 100% idle //cpu占用率
Memory states: 16% used //内存使用率
Average network usage: 10 kbps in 1 minute, 108 kbps in 10 minutes,73kbps in 30 minutes //不同时间区间网络使用率
Average sessions: 19 sessions in 1 minute, 16 sessions in 10 minutes, 18 sessions in 30 minutes //不同时间区间的平均会话数
Average session setup rate: 80 sessions per second in last 1 minute, 10 sessions per second in last 10 minutes, 5 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute //最近一分钟病毒查杀数
IPS attacks blocked: 0 total in 1 minute //最近一分钟攻击行为阻断数
Uptime: 0 days, 1 hours, 21 minutes //系统运行时间
二、CPU、内存使用情况查看
输入命令:diag sys top
举例输出:
Run Time: 13 days, 13 hours and 58 minutes
0U, 0S, 98I; 123T, 25F, 32KF
newcli 903 R 0.5 5.5
sshd 901 S 0.5 4.0
输出第二行的意思如下:
U 是用户应用占用 CPU 百分比。 0U 意味着用户应用占用 CPU 百分之零。
S 是系统进程占用 CPU 百分比。 0S 意味着系统进程占用 CPU 百分之零。
I 是 CPU 空闲百分比。 98I 表示 CPU 百分之九十八空闲。
T 是系统内存总数( Mb)。 123T 表示系统有 123Mb 内存。
F 是空闲内存( Mb)。 25F 表示有 25 Mb 内存空闲。
KF 是共享内存页面。 32KF 表示系统使用 32K 共享内存页面。
第二行以下的每一行表示一个单独的进程,第三行的输出是:
newcli 903 R 0.5 5.5
newcli 是进程名称。
903 是进程 ID。
R 是当前进程状态。进程有几种状态: R 运行; S 休眠; Z 僵死; D 磁盘休眠。
0.5 是该进程占用 CPU 的百分比。
5.5 是该进程占用内存的百分比。
当使用命令 diag sys top 时,可以输入以下几个键值
输入 q 键可以退出
输入 p 键按 C P U 使用情况从高到低排列
输入 m 键按内存使用情况从高到低排列
查看哪些进程使用了最多的 CPU资源
通过 diag sys top 命令可以查看占用系统资源多的进程名称, 一些进程名称解释如下:
Ipsengine‐‐‐‐IPS 引擎
Scanunitd‐‐‐‐杀毒引擎
Httpsd‐‐‐‐安全的 http
Iked‐‐‐‐IPSec VPN 中使用的 IKE
Newcli‐‐‐‐使用的 cli(命令行)
Sshd‐‐‐‐ssh 进程
Cmdbsrv‐‐‐‐命令数据库服务器应用
Ⅲ 日志查看
一、查看统日志信息是否正常
进入“日志与报告”--“事件日志,查看各个模块是否有异常日志,如果发现异常日志可联系在线客服或4008111000支持热线反馈情况并确认后续操作。
进入“日志与报告”--“流量日志”--“本地流量”查看是否有异常日志,如果发现异常日志可联系在线客服或4008111000支持热线反馈情况并确认后续操作。
流量日志--转发流量,可以查看经过设备转发的流量