FortiManager_04_Device config and installation.pptx

Last Modified: June 8, 2025
© Copyright Fortinet Inc. All rights reserved. Last Modified: June 8, 2025
Device-Level Configuration and Installation
FortiManager
FortiManager 7.2

Lesson Overview
2
© Fortinet Inc. All Rights Reserved.
Device-Level Settings and Managed Device Status
Installing Configuration Changes
Revision History
Scripts and Device Groups

3
Objectives
• Understand changes related to device-level settings
• Understand FortiManager and FortiGate configuration status
• What actions administrators can take based on
configuration status
• Understand the sync and device settings status of a managed
FortiGate
• Preview configuration changes from FortiManager for managed
FortiGate devices
• Describe the refresh command
• Filter devices based on status

4
Device-Level Settings
• As configurações no nível do dispositivo podem ser visualizadas ou configuradas para
dispositivos gerenciados individuais

5
Configuring CLI-Only Objects for Managed Devices
• Pode ser configurado através da GUI do FortiManager
• Desativado por padrão
• Pode ativar em Display Options

6
Virtual Domains (VDOMs)
• Pode adicionar VDOMs ao FortiGate gerenciado de Device Manager
Novo VDOM
adicionado

7
Managed Device Status
Device Manager
Device-Level
Database
Revision History
Database
FortiGate
Retrieve
Auto-Update
Config Status
Synchronized / / Auto-Update
Pending / Modified
Out-of-Sync
Conflict
Unknown
Install
Config Status
Synchronized
Out-of-sync
Unknown
Config Status
Modified
Auto-Updated
Install
Reload device-level
settings
Indica se o histórico de revisão
atual corresponde à configuração
do FortiGate
Indica se a configuração
gerenciada do FortiGate foi
alterada no banco de dados em
nível de dispositivo
O administrador pode
realizar ações com base
no status
Instalar alterações
Recuperar
alterações

8
Configuration Status
• Indica se a configuração do FortiGate corresponde ao histórico de revisões atual
• Principais status:
• Synchronized
• Out-of-Sync
• Unknown
Revision History FortiGate
Configuration
Revision History
FortiGate
Configuration
Configuration
1
2
3
Conflict
• Instalação falhada
• As configurações são modificadas no
FortiManager e no dispositivo
gerenciado e não são sincronizadas
automaticamente com o FortiManager
Configuration

9
Configuration Status (Contd)
• Indica se a configuração do FortiGate no banco de dados em nível de dispositivo
corresponde ao histórico de revisão atual
• Principais status:
• Modified
• Auto-updated
Revision history
FortiGate configuration at
device-level database
Modified (recent auto-
updated)
Revision history
Revision history

10
Installation Preview
• Exibe alterações no nível do dispositivo aplicadas ao FortiManager
• Não exibe alterações no nível do ADOM
• Exemplo: alterações feitas nas políticas de firewall
• As mudanças ainda não foram instaladas Dashboard > Configuration and Installation Status
Selecione o dispositivo gerenciado

11
Device List
• diagnose dvm device list
• Fornece detalhes de todos os dispositivos gerenciados e não registrados
• Cada configuração do FortiGate é armazenada em seu próprio banco de dados em nível de dispositivo
• Isso é representado por um ID de objeto (OID)
FMG-VM64# diagnose dvm device list
--- There are currently 2 devices/vdoms managed ---
TYPE OID SN HA IP NAME ADOM IPS FIRMWARE
fmg 270 FGVM01.. - 10.200.1.1 Local-FortiGate root 6.0.. 7.0 MR2 (1254)
faz-managed (extended)
|- STATUS: dev-db: modified; conf: in sync; cond: modified; dm: autoupdated; conn: up
|- vdom:[3]root flags:0 adom:root pkg:[imported]Local-FortiGate_root
Nome da ADOM
O ID do objeto é usado para
fazer referência ao dispositivo
gerenciado para vários
comandos CLI
HA: Em branco se estiver
no modo autônomo, caso
contrário, o modo FGT HA
será exibido
FortiGate
conectando
endereço IP
Versão do firmware
rodando no FortiGate

12
Device List (Contd)
FMG-VM64# diagnose dvm device list
There are currently 1 devices/vdoms managed:
TYPE OID SN HA IP NAME ADOM IPS FIRMWARE
fmg 160 FGVM01.. - 10.200.1.1 Local-FortiGate root 6.0.. 7.0 MR2 (1254)
faz-managed (extended)
|- STATUS: db: modified; conf: in sync; cond: pending; dm: retrieved; conn: up
|- vdom:[3]root flags:0 adom:root pkg:[imported]Local-FortiGate_root
Device Setting Status
Alterações de configuração
feitas no FortiManager
Config Status
As alterações de configuração
precisam ser instaladas
Connection status
com dispositivo
gerenciado
Sync Status
Histórico de revisões mais recente
sincronizado com a configuração
em execução do FortiGate

13
FGFM Session List and Refresh Connection
• Lista o status dos túneis FGFM para todos os dispositivos gerenciados
• Conectando endereço IP
• Tempo de atividade
• Endereços em nível de link
• Restabeleça a conexão usando o botão Atualizar
• Recupera informações básicas sobre o dispositivo gerenciado
More > Refresh Device
# diagnose fgfm session-list
Session count = 1
Local-FortiGate(270) sn(FGVM010000064692) ip(10.200.1.1)
state(3) tunnel(169.254.0.7) uptime:Mon Aug 29 13:12:04 2022

Lesson Progress
14
Revision History

15
Objectives
• Describe different installation options available on the Install
Wizard
• Install device-level changes on FortiGate using the Install
Wizard
• Describe the purpose of the Install Config option

16
Installation Process
• As alterações feitas no painel Device Manager são feitas no banco de dados do
dispositivo
• Uma nova revisão é gerada e as alterações são instaladas
• As alterações do painel Policy & Object são feitas no banco de dados do dispositivo

17
Install Wizard
• Instala configurações em um ou mais dispositivos FortiGate
• Duas opções em Install Wizard
• Inicie o Install Wizard no Device Manager
• Selecione Install Device Settings (only) para instalar alterações no nível do dispositivo
Install Policy Package & Device Settings
• Instalar um pacote de políticas selecionado
• Quaisquer configurações específicas de dispositivos
associados ao pacote também são instaladas
Install Device Settings (only)
• Instale apenas configurações de dispositivo para um
conjunto selecionado de dispositivos
• As alterações de política e objeto não estão
instaladas

18
Install Wizard—Device Selection and Validation
• Indique onde instalar as alterações
• Pode selecionar vários dispositivos, se forem feitas alterações em vários dispositivos
• Verifica as configurações do dispositivo que será instalado
• Prepara uma prévia dessas mudanças

19
Install Wizard—Multiple Device Selection and Preview
• Pode selecionar vários dispositivos, se forem feitas alterações em vários dispositivos
• Pré-visualização de instalação consolidada para até 10 dispositivos

20
Install Wizard—Install
• Indica onde as alterações foram instaladas
• Status da instalação
• Fornece Install Log

21
Managed FortiGate—Quick Install
• Instala alterações no nível do dispositivo no FortiGate sem iniciar o Install Wizard
• Não fornece:
• Install preview Se não tiver certeza sobre as alterações, use o Install
Wizard para ver uma prévia das alterações

Lesson Progress
22
Revision History

23
Objectives
Revision History
• Understand when and why a new revision history is
created
• Troubleshoot managed device configuration issues using
revision history features
• Identify which action created the revision history
• Compare revision histories to find differences
• View the install log
• Use the retrieve feature to update the FortiGate configuration in the
revision history
• Understand how an auto update happens
• Revert the FortiGate configuration to a previous revision

24
Conditions for Revision History and Troubleshooting
• FortiManager cria um histórico de revisão quando:
• FortiGate é adicionado ao FortiManager
• As alterações do dispositivo estão instaladas
• A configuração do FortiGate é recuperada do FortiManager
• Uma mudança local no FortiGate causa uma atualização automática
• Os scripts executados diretamente em dispositivos remotos também causam atualizações automáticas e criam
um histórico de revisões
• Você reverte para uma revisão anterior e instala as alterações
• Como verificar problemas de configuração gerenciada do FortiGate:
• Visualize e baixe a revisão de configuração do FortiGate
• Compare as diferenças entre as revisões
• Veja quem fez as alterações
• Veja o que foi instalado no dispositivo gerenciado

25
Revision History
• O repositório armazena todas as revisões de configuração para dispositivos
• Marca cada revisão com um número de identificação
• Identifica qual administrador ou processo criou a revisão
• Você pode:
• Ver o histórico da versão
• Baixar configuração
• Compare diferentes revisões
• Ver registro de instalação
Dashboard > Configuration and Installation widget
Histórico de
Revisão
Selecione o dispositivo
gerenciado

26
Revision History—View and Compare Revisions
Instalado
Recuperado

27
View Install Log—View and Download
• Mostra o administrador que fez a alteração
• Mostra comandos que foram instalados no FortiGate
Installed by admin administrator

28
Resolving Configuration Issues
• Recuperar a configuração de um dispositivo gerenciado
• Atualização automática
• Modifique a configuração localmente em um dispositivo gerenciado
• Instale alterações de configuração no FortiGate após modificar no FortiManager
• Reverter para a configuração de trabalho anterior
• Importar configuração de um computador local
• Pode importar apenas arquivos de configuração baixados do FortiManager; caso contrário, a
importação falhará

29
Revision History—Retrieve
• Verifica a configuração atual no dispositivo
• Atualiza o repositório de revisões do FortiManager

30
Revision History—Automatic Update
• Modificar a configuração diretamente em um dispositivo gerenciado cria automaticamente uma
nova revisão
• Pode desativar o comportamento de atualização automática da CLI do FortiManager
• Padrão ativado
• Se desativado – pode aceitar ou rejeitar as alterações
• O status de configuração é atualizado automaticamente no Gerenciador de dispositivos
config system admin settings
set auto-update disable
end

31
Revision History—Revert
• Normalmente, a entrada de revisão superior corresponde à configuração do banco de dados do
gerenciador de dispositivos, que é sincronizada com a configuração do FortiGate
• Pode reverter para um histórico de revisão anterior
• Reverterá apenas o banco de dados do dispositivo para a revisão anterior
• Reverter não reverte políticas e objetos, deve importar políticas e objetos
• Deve instalar essas alterações revertidas no FortiGate

Lesson Progress
32
Revision History

33
Objectives
• Understand the capabilities of scripts
• Identify the types of scripts supported by FortiManager
• Understand the use of device groups
• Configure device groups

34
Scripts
• Pode fazer muitas alterações em muitos dispositivos gerenciados
• Pode ser usado para provisionar dispositivos FortiGate
• Pode ser usado para automatizar alterações de configuração
• Ajude a simplificar alterações de configuração em massa e manter a consistência
• Existem dois tipos de scripts:
• Interface de linha de comando (CLI)
• Uma sequência de comandos da CLI do FortiGate, como você digitaria na CLI do FortiGate
• Tool Command Language (TCL)
• Uma linguagem de script dinâmica que fornece mais funcionalidades aos seus scripts, incluindo variáveis globais e estruturas
de decisão
• Os scripts estão habilitados por padrão
• Os scripts TCL podem ser habilitados na CLI do FortiManager
config system admin setting
set show_tcl_script enable
end
Scripts TCL habilitados
na CLI do FortiManager
Os scripts TCL não são executados
através do túnel FGFM como os
scripts CLI. Eles usam SSH e exigem
autenticação SSH para funcionar.

35
Best Practices for CLI Scripts
• Use comandos CLI completos do FortiOS
• Sintaxe incompleta pode causar falha no script
• Uma linha de comentário que começa com o sinal numérico (#) não será executada
• Certifique-se de que a saída do console no FortiGate CLI esteja definida como padrão,
caso contrário, scripts e outras saídas maiores que o tamanho da tela não serão
executadas ou exibidas corretamente
config router static con rou stat
#config system dns
config system console
set output standard
end
Definido como padrão no
FortiGate CLI

36
Configuring Scripts
• Os scripts podem ser executados em:
• Device database
• Policy package, ADOM database
• FortiGate remoto diretamente (através da
CLI)
• Por padrão, os scripts são executados
no banco de dados do dispositivo
• Pode selecionar filtros avançados para
restringir a execução do script em
dispositivos que correspondam aos
critérios definidos
Exemplo de script CLI
Selecionando onde
executar o script

37
FortiGate—FortiManager Interactions
• Visão simplificada dos bancos de dados e módulos internos do FortiManager
• Interação com FortiGate para diversas operações, como recuperação, importação, instalação e
execução de script
Policy &
Objects
ADOM Level
Database
FortiGate
Assign
install
Device Manager
Device-Level
Database
Revision
History
Database
Global
Policy &
Objects
Global Level
Database
Device Manager
Scripts
Install
(copy)
Run script on
policy package /
ADOM database
Run script on
device database Run script on
remote FortiGate
directly
Retrieve
auto update
Install
(save)
Import policy
AP Manager
VPN Manager
FortiSwitch Manager
Install
SD-WAN
Provisioning Templates

38
Running and Scheduling Scripts
• Duas maneiras de executar scripts
• Run script now
• Schedule scripts
• A instalação deverá ser executada se um
script for executado no banco de dados do
dispositivo, no pacote de políticas ou no
banco de dados ADOM
• Pode clonar, exportar ou importar scripts de
um computador local
• Os agendamentos não podem ser usados
em scripts com o pacote de políticas de
destino ou banco de dados ADOM
config system admin setting
set show_schedule_script enable
end
Agendar scripts
habilitados na CLI do
FortiManager

39
Script History
• Fornece detalhes para os scripts do painel do dispositivo
Configuration and Installation widget
Execute o script
novamente

40
Advanced Use of CLI Scripts
• Sintaxe CLI especial para comandos CLI
de mapeamentos dinâmicos
• Usado para criar mapeamento dinâmico para
objetos, interfaces
• Deve ser executado Policy Package, ADOM
Database
• Obtendo informações do FortiGate
• Normalmente envolve uma linha de script
para visualizar a configuração do FortiGate
• O script deve ser executado em Remote
FortiGate Directly (via CLI)
• A execução em bancos de dados não fornece
nenhuma informação útil
Executado diretamente no FortiGate
remoto (através da CLI) mostra as rotas
estáticas
Executado no banco de dados do
dispositivo – nenhuma
informação útil
Criando mapeamento dinâmico
para endereço de firewall
usando sintaxe CLI especial do
FortiManager
Regular FortiOS
CLI syntax

41
Real-Time Debugs
• Pode depurar a execução de scripts em tempo real
# diagnose debug application depmanager 255
# diagnose debug enable
Request:
{ "id":,.... "scope": [ { "name": "Local-FortiGate", "vdom": "global" } ], "script": 204...
startInstallScript_ ==> Inst-Tcl/Ondb-Script (scriptid=204, CLI script, OnDb)
==INST SCRIPT==>init state: start to run-on-db
..
.... "script-name": "Static Routes", "target": 295 },
Response:
{ "id": 1034, "result": [{ "status": { "code": 0, "message": "OK"}, "url": "install/script"}]}
==INST SCRIPT==>running on_db script succeeded
==INST SCRIPT==>Script Static Routes executed on local db of Local-FortiGate.
View Script Execution History log file for result.
Script CLI
executado no
banco de dados do
dispositivo
Nome do script
Resultados da
execução do script

42
Common Script Execution Errors
* Não deve haver pontuação no início ou no final das linhas.
* Apenas espaços em branco são permitidos na mesma linha do comando. Isso é
útil para alinhar os comandos end e next para uma depuração rápida e fácil do
script.
Common errors Common causes Common solution
erro de análise de
comando
Palavra-chave com erro ortográfico ou
formato de comando incorreto*
Verifique a saída do script
ação desconhecida A linha anterior do script não foi
executada
Device <name>
failed-1
Problema com o final do script.
Geralmente o script não tem instrução
final
FortiGate não está sincronizado com o
FortiManager
Adicione uma instrução final
Ressincronize o FortiGate recuperando a
configuração

43
Troubleshooting Scripts
• Pode visualizar os detalhes do script no histórico do script
• Útil para ver se o script foi executado com sucesso ou com erros
• Task monitor
• Pode clicar no ícone View Details > View Script Execution History para visualizar a execução do script
• Dos logs de eventos – se o nível de
depuração estiver definido como debug
config system locallogs disk settings
type=event subtype=dm pri=information desc="Script install status" user="admin" msg="script Static Routes install on Local-FortiGate succeed"
device="Local-FortiGate" adom="root" status="successfully" script="Static Routes"
type=event subtype=dm pri=information desc="Script install status" user="admin" msg="Install script failed:
Script Training executed on local db of Local-FortiGate failed. Reason: invalid value …
device="Local-FortiGate" adom="root" status="failed" script=“Training"

44
Useful CLI Commands
• Você pode usar a árvore de comandos execute fmscript no FortiManager
para scripts
CLI Command Used for
clean-sched • Não é possível excluir scripts agendados se um dispositivo
associado tiver sido excluído
• Limpa a tabela de agendamento de scripts para todos os
dispositivos inexistentes
copy • Copiar scripts entre ADOMS
import • Importe um script para o FortiManager
list <adom name> • Listar scripts em ADOMS
showlog <devicename> • Mostrar um log de script de execução para um dispositivo

46
Device Groups
• Execute uma operação em vários dispositivos em vez de em um único dispositivo
• Por exemplo, você pode instalar alterações de dispositivos, executar scripts em vários dispositivos ao mesmo tempo
• Útil quando você atualiza o firmware em um grupo de dispositivos gerenciados
Exemplo de execução
de script no grupo
Clique em Add e
selecione dispositivos
para adicionar a um
grupo

Lesson Progress
47
Revision History

Review
48
 Configure device-level settings
 Understand FortiGate configuration status and synchronization
behavior
 Push configuration changes to FortiGate
 Use revision history for diagnosing and troubleshooting
 Configure and install scripts on managed devices
 Use device groups for simplifying management of FortiGate devices

FortiManager_04_Device config and installation.pptx

Mais conteúdo relacionado

Destaque

FortiManager_04_Device config and installation.pptx

Notas do Editor