D2 / Fortinet NOC Bootcamp

Linux evidence + FortiGate monitoring

Цель: за 10–15 минут собрать доказательства по Linux-сервису, связать их с FortiGate Operator Lesson 12 System Maintenance and Monitoring и передать инцидент следующей смене без догадок.

Цели дня

  • Отличать symptom от root cause: service down, DNS, disk, CPU/RAM, route/firewall.
  • Собирать Linux evidence минимальным набором команд: статус, логи, порты, ресурсы, resolver.
  • Маппить Linux-наблюдения на FortiGate monitoring: system status, event/traffic/VPN logs, interfaces, sessions.
  • Писать NOC handover: impact, evidence, hypothesis, next owner.

Allowed tools

  • systemctl status, journalctl -u
  • ss -tulpn, curl -v --connect-timeout
  • df -h, du -xhd1, free -m, top/ps
  • resolvectl, dig, ip route get
  • FortiGate GUI/CLI evidence: dashboard/system status, interfaces, logs, sessions, VPN monitor.

Academy focus: FortiGate Operator Lesson 12

Смотри Lesson 12 не как “теорию Fortinet”, а как NOC checklist: где увидеть health устройства, что изменилось, какие логи подтвердят или опровергнут гипотезу, и что безопасно передать L2/L3.

Что ищемFortiGate areaИнтервью-фраза
Device healthSystem status, CPU/memory/session count, HA/license/basic dashboard“First I confirm whether the firewall itself is healthy or overloaded.”
Link/path issueInterface status, routing table, SD-WAN/route view if used“I verify link and routing before blaming the application.”
Policy/session evidenceTraffic logs, session table, policy hit/log reason“I need a log or session reason, not just a user report.”
VPN symptomVPN monitor, event logs, authentication/tunnel messages“I separate auth failure, tunnel establishment failure, and routing after login.”
Maintenance safetyConfig backup, firmware/change window, admin activity logs“Before changes I check backup/change context and define validation.”

Scenario / symptom

Мониторинг показывает: internal web service периодически отдаёт 502/timeout. Пользователи также жалуются на “VPN иногда подключается, но сервис не открывается”. Возможные причины: crashed unit, port not listening, full disk, wrong resolver, overloaded host, route/firewall/VPN path issue.

Linux evidence flow: первые 10 минут

  1. Scope: кто затронут, когда началось, один сервис или несколько, изнутри/VPN/интернет.
  2. Service: systemctl status <unit> и journalctl -u <unit> --since "30 min ago".
  3. Port/process: ss -tulpn, затем локальный curl -v http://127.0.0.1:<port>.
  4. Resources: df -h, free -m, top/ps; если диск полный — сначала найти крупные каталоги, не удалять вслепую.
  5. DNS/path: resolvectl status, dig name, ip route get <target>, внешний curl --connect-timeout 5.
  6. Validation: повторить failing check, зафиксировать timestamp, response code/latency, log line после fix.

Drill 1 — VPN user cannot connect

Не “чинить VPN” глубоко. Задача Day 2 — собрать правильный пакет доказательств для NOC escalation.

  • User, time, source IP/location, one user or many.
  • SSL VPN или IPsec; ошибка до login, во время tunnel, или после login.
  • FortiGate evidence: VPN monitor, event logs, auth result, tunnel status.
  • Linux/app evidence: сервис слушает порт, route до target, DNS резолвится, локальная проверка проходит/не проходит.
  • Impact и escalation target: firewall/VPN owner, AD/MFA owner, application owner.

Drill 2 — Linux → FortiGate mapping

Linux checkFortiGate equivalent
systemctl status, journal errorsSystem event logs, admin/change logs, device health
ss -tulpn, local curlTraffic logs/session table: did traffic reach the policy?
ip route getRouting table, interface/zone, SD-WAN decision if present
dig, resolvectlDNS profile/server reachability, VPN DNS/split tunnel symptoms
df/topCPU/memory/session count, log disk/storage, conserve-mode symptoms

NOC handover template

Пиши 5 строк. Без романа, без “кажется”.

Incident: internal web 502/timeouts for VPN users since 14:10 CET
Impact: 8 reported users, internal LAN users OK, VPN users affected
Evidence checked: app unit active, port 8080 listening, local curl 200; FortiGate VPN logins OK, traffic log shows deny to 10.20.30.40:8080 policy 0 at 14:18
Current hypothesis: VPN-to-app firewall policy/routing issue, not application crash
Next action / owner: firewall owner to check policy/route change; NOC to update users by 14:45

Hands-on task

  1. Заполни Lesson 12 notes: monitoring object/log → what problem it reveals → command/screen → interview phrase.
  2. Для broken service собери Linux evidence: unit, logs, port, resources, DNS/path.
  3. Сделай FortiGate mapping: какие logs/monitoring areas подтвердят route/policy/session/VPN hypothesis.
  4. Напиши handover по шаблону в 5 строк.
  5. Скажи вслух 60-second interview answer: “Which logs and commands do you check first?”

Grading rubric

ScoreEvidenceCommunication
5Команды и FortiGate areas выбраны по гипотезе; есть timestamp, output/log reason, validation.Handover короткий: impact, facts, hypothesis, owner, next update.
3Проверены часть Linux/FortiGate evidence, но порядок скачет или нет validation.Понятно, но смешаны symptom/root cause или нет owner.
1Случайный набор команд, “перезапустил и посмотрел”.Нет impact, нет проверенных фактов, невозможно передать смене.

Mock interview questions