FortiGate
FortiGate Next Generation Firewall utilizes purpose-built security processors and threat intelligence security services from FortiGuard labs to deliver top-rated protection and high performance, including encrypted traffic.
Kenichi_Terashita_FT
Description
このKBでは、"Kernel enters conserve mode"の意味について解説しています。また、Conserve modeに対するソリューションについても解説しています。

Scope
All of FortiOS models
Solution
FortiGateのAntivirusシステムは、通常の動作モードとConserve modeのどちらかで動作していて、それはその機器のメモリ使用率に影響を受けます。もし、メモリ空き容量が全体の30%以上ある時は、通常のモード(非Conserve mode)で動作しています。しかし、メモリ空き容量が20%以下になった時、システムはKernel conserve modeに動作を切り替えます。その後メモリ空き容量が30%以上に戻った時、システムは通常のモードに戻ります。
 
Conserve modeになった時は、Antivirusの機能とパフォーマンスが影響を受けます。詳細については下記Related ArticlesにリストされているKB"Antivirus failopen and optimization"を参照してください。
 
FortiGateが頻繁にあるいは継続的にConserve modeで動作しているようなケースでは、ネットワークトラフィックのスキャンによる負荷が許容範囲を超えている可能性があります。その場合、その負荷を和らげるソリューションがいくつかあります。
不要な処理について無効とすることで、FortiGateのシステムが使用するメモリ領域の最適化を行うことが出来ます。
 
  • メモリへのLoggingを無効にする
    • Log&Report > Log Config > Log Setting
  • Antivirusのスキャン対象から、いくつかのProtocolを無効にする
    • 4.0MR1以前: Firewall > Protection Profile
    • 4.0MR2以降: UTM > Antivirus > Profile
  • Oversized Thresholdを下げる
    • 4.0MR1以前: Firewall > Protection Profile > Anti-Virus
    • 4.0MR2以降: Firewall > Policy > Protocol Options
    • 詳しくは下記Related ArticlesにリストされているKB"Maximum oversize threshold"を参照してください
  • DNS Serverを無効にする
    • 4.0MR1以前: System > DHCP
    • 4.0MR2以降: System > Network > DHCP Server
  • DNS Forwardingを無効にする
    • System > Network > Interface > Enable DNS Query
    • DNS ForwardingはFortiGate-100以下のモデルに提供されている機能です
  • IPSを無効にする
    • diagコマンドによって、IPS処理をBypassするかどうかを切り替えることが出来ます
      • diagnose test application ipsmonitor 5
    • IPS SensorのFilterによって、全てあるいは一部のシグネチャを無効にする
      • UTM > Intrusion Protection > IPS Sensor
  • DefaultのSession TTLを下げる
    • 例:
      config system session-ttl
        set default 300
      end
  • FortiGuard ServiceのCache TTLを下げる
    • 例:
      config system fortiguard
        set webfilter-cache-ttl 500
        set antispam-cache-ttl 500
      end
  • DNS Cache Entryを下げる
    • 例:
      config system dns
        set dns-cache-limit 300
      end
 
注意: いくつかの機能を無効にしたり許容量を下げる設定を行った後は、不要なメモリ使用領域を確実にクリアするために、FortiOSを再起動することを推奨します。
 
 
 

Keywords for search: FortiGate Conserve mode log antivirus free memory kernel Japan Japanese

Related Articles

Technical Note : Antivirus failopen and optimization ( conserve mode and proxy connection pools scen...

Technical Note: Maximum oversize threshold

FortiGuard updates fail on download (FortiGate)

Technical Note : Changing the TCP session TTL (time to live) on a FortiGate

Contributors