FortiGateのメモリ使用率が高い時の対処法について

FortiGateのメモリ使用率が高い場合、それはパフォーマンス低下や予期せぬ再起動、セッションドロップ、管理画面へのアクセス不能などの深刻な問題に発展する可能性があります。

この問題に対処するためには、原因の特定と適切な対応が不可欠です。

以下に、段階的な対処法とベストプラクティスを詳細に解説します。

【STEP 1】現在のメモリ使用状況を確認する

CLIでの確認方法

get system performance top

このコマンドは、CPU・メモリ・セッション数などをリアルタイムで表示します。

Mem 欄が 80%以上を超えていたら注意が必要です。

または、以下のコマンドでより詳細なメモリ使用状況を確認できます。

diagnose hardware sysinfo memory

【STEP 2】メモリ使用率が高い原因を特定する

代表的な原因は以下の通りです

【STEP 3】基本的な対処方法とチューニング

不要なセッションの制限

• 長時間アイドル状態のセッションを削除

config system session-ttl  
set default 300  
end

• ポリシーごとにTTLを短縮するのも有効です。

ログ出力を最適化

• 不必要なログを停止または出力先を変更する（例：内部ストレージ → FortiAnalyzer）

config log setting  
set status disable  
end

IPS/アンチウイルス/SSL検査の見直し

• 必要最小限のトラフィックのみに適用
• HTTPSトラフィックに対してSSL Inspectionを行っている場合は、「certificate-inspection」モードに変更することでメモリ使用量を削減可能。

リアルタイムのプロセス監視

プロセス別のメモリ使用量を確認

diagnose sys top

特定のプロセス（例：ipsengine, wad, scanunitd）が異常な量のメモリを消費している場合、その機能を一時停止または設定を見直します。

セッション数を制限

config system global  
set udp-idle-timer 60  
set tcp-idle-timer 600  
end

ファームウェアの更新

• メモリリークやプロセス暴走がファームウェアのバグによって発生している場合があります。
• 最新の安定バージョンにアップグレードすることを検討してください。
• Fortinet公式サイトでリリースノートを確認し、「memory leak」「high memory usage」などの修正履歴を参照しましょう。

【STEP 4】恒久的な対策とベストプラクティス

【STEP 5】緊急時の回避策（GUIにアクセスできない・操作不能）

CLIからプロセスを再起動（GUIでできない場合）

diagnose test application wad 99
diagnose test application ipsmonitor 99

これにより、特定のプロセスが再起動しメモリが一時的に回復する場合があります。

【補足】再起動による回復は「根本解決」ではない

FortiGateはメモリ使用量が90%以上に達すると、conserve mode（節約モード）に入ります。

この状態では一部の機能が停止し、FortiGateの挙動が不安定になります。

再起動によって一時的に回復しても、根本原因（設定・運用）を改善しない限り再発します。

そのため、「一時しのぎではなく本質的なチューニングと設定見直し」が求められます。

まとめ

以上、FortiGateのメモリ使用率が高い時の対処法についてでした。

最後までお読みいただき、ありがとうございました。