CLI命令可以从crontab运行FortiGate吗？

Question

我每天晚上02:30 (凌晨2:30)重复出现DNS名称解析失败的情况。

我想在02:20在我们的FortiGate 60D上运行以下CLI命令，所以我将有一些数据来调试DNS问题：

dia debug reset 
dia de flow filter port 53 
dia de consol time en 
dia de flow show fun en 
dia de flow trace start 100000000 
dia de en

我正在考虑使用crontab来执行CLI脚本或CLI命令列表，如下所示：

ssh <my_fortigate_ip> "dia debug reset ; dia de flow filter port 53 ; dia de consol time en ; dia de flow show fun en ; dia de flow trace start 100000000 ; dia de en" 

1. 可以在CLI行上输入多个CLI命令吗？CLI命令之间的分隔符是什么？
2. 可以执行ssh密钥交换(或等效的)，这样我就可以从特定的机器登录到FortiGate，而无需提示输入密码？
3. 是否有另一种方法可以在特定时间内以非交互方式收集FortiGate上的数据？

Answer 1

60D有点棘手，因为它在本地记录的不多。我从来不明白为什么它不能登录到本地USB卡。我建议设置一个syslog服务器。

可以在CLI行上输入多个CLI命令吗？CLI命令之间的分隔符是什么？

不，我认为FortiOS不支持这一点。你需要在中间发送中断线路。

可以执行ssh密钥交换(或等效的)，这样我就可以从特定的机器登录到FortiGate，而无需提示输入密码？

是。您可以通过运行

config system admin
    edit admin
      set ssh-public-key1 "<key-type> <key-value>"

详情请参见https://kb.fortinet.com/kb/documentLink.do?externalID=11985。

是否有另一种方法可以在特定时间内以非交互方式收集FortiGate上的数据？

我只需运行一个带有过滤器集的数据包捕获，这样它就不会在该问题发生之前耗尽。

您可以从GUI或CLI中运行数据包捕获

diag sniffer packet <interface> <'filter'> <verbose> <count> a

详情请参见https://kb.fortinet.com/kb/documentLink.do?externalId=11186。

您也可以安排一个脚本，但我还没有真正这么做。