Fortigate Lmr 40 Mr2

FortiGate Log Message Reference

This is a preliminary release and an updated version will be available in August 2010.

The FortiGate Log Message Reference is published every maintenance release, and contains only information that was gathered at the date of publication.

FortiGate Log Message Reference29 July 201001-420-112804-20100729 Copyright 2010 Fortinet, Inc. All rights reserved. No part of this publication including text, examples, diagrams or illustrations may be reproduced, transmitted, or translated in any form or by any means, electronic, mechanical, manual, optical or otherwise, for any purpose, without prior written permission of Fortinet, Inc.

TrademarksDynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiAnalyzer, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP, and FortiWiFi are trademarks of Fortinet, Inc. in the United States and/or other countries. The names of actual companies and products mentioned herein may be the trademarks of their respective owners.

F0hContents

Introduction 17Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

How this reference is organized . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Document conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18IP addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Cautions, Notes and Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Typographical conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Registering your Fortinet product. . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Fortinet products End User License Agreement . . . . . . . . . . . . . . . . . . . . 20

Customer service and technical support . . . . . . . . . . . . . . . . . . . . . . . . 20

Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Fortinet documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Tools and Documentation CD . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Fortinet Knowledge Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Comments on Fortinet technical documentation . . . . . . . . . . . . . . . . . 21

FortiGate 4.0 log messages 23Log header variations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

DLP archive logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Debug log messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Traffic 252 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Event-Administration 4132001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42ortiGate FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 3ttp://docs.fortinet.com/ Feedback

32003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Contents32004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4332006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4332007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4432008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4432010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4532011 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4532012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4632013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4732014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4932015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4932016 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5032017 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5232020 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5232021 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5332022 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5332140 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5432141 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5532095 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5532101 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5632102 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5632103 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5732104 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5732105 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5732120 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5832121 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6132122 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6232121 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6532123 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6632124 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6732125 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6832126 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6832127 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6932128 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7032129 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7132130 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7132131 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7232132 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7332133 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7432134 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7432135 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7532136 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7532137 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7632138 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7732139 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7732140 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8532141 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference4 01-420-112804-20100729

http://docs.fortinet.com/ Feedback

Contents32142 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8632143 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8732144 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8832145 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8932148 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9032149 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9132150 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9132157 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9232158 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9532161 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9532162 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9632170 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9732171 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9932172 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10032180 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10132200 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10132301 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10232302 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10232401 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10332545 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10432546 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Event-System 10520001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10620002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10820003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10820010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10820031 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10920032 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10920033 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10920034 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10920035 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11020036 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11020037 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11120038 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11120039 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11120040 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11220041 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11220042 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11220043 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11320044 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11320045 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11320046 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11320047 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11420048 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference5 01-420-112804-20100729


Contents20049 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11420050 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11420051 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11520052 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11520053 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11520054 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11520055 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11620056 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11620057 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11620058 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11620059 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11720060 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11720061 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11720062 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11720063 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11820064 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11820065 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11820066 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11820067 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11920068 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11920069 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11920070 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12020071 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12020072 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12020073 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12120074 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12120075 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12120076 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12120077 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12220078 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12220079 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12220080 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12220081 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12320082 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12320083 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12320084 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12420090 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12420099 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12420100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12520101 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12520200 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12720201 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12720202 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12720203 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12822000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12822001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference6 01-420-112804-20100729


Contents22002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12922003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12922004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12922005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13022006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13022010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13022100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13122101 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13322102 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13422103 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13422200 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13422201 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13522202 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13522203 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13522800 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13622801 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13722802 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13722803 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13822911 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13822912 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13822913 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13922914 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Event-DHCP service 14126001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14126002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Event-Firewall authentication 14338001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14438002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14638003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14938004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14938005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15138010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15138011 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15238012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15338020 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15338021 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15438022 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15638026 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15738027 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference7 01-420-112804-20100729


ContentsEvent-Wireless 15943520 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16043521 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16043522 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16043524 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Event-IPSec negotiation 16337120 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16437121 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16537122 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16637123 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16737124 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16837125 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17037126 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17137127 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17237128 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17337129 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17437130 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17537131 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17637132 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17737133 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17837134 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17937135 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18037136 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18137137 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18237138 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18337139 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18437184 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18537185 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18637186 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18837187 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18937188 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19037189 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19137190 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19237191 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19337192 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19437193 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19537194 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19637195 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19737196 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19837197 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19937198 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20037199 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20137200 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference8 01-420-112804-20100729


Contents37201 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20337202 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20437203 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Event-L2TP/PPP/PPPoE 20729001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20829002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20829003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20929004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20929009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20929015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21029016 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21029022 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21029024 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21030004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21130005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21130006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21130007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21230008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21230009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21331004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21331005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21331006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21431007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21431008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21531009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

Event-SSL VPN 21739424 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21839425 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21839426 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21941984 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21941985 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22041986 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22041987 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22141988 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22139936 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22239937 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22239939 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22339940 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22339941 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22439942 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22439944 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22539945 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference9 01-420-112804-20100729


Contents39946 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22639947 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22639948 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22739949 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22839950 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22839951 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

Event-VIP SSL 23145001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23245003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23345005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23345007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23445009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23545011 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23645012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23645013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23745015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23745017 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23845019 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23945023 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24045027 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24045029 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24145031 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24245032 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Event-wad 24548001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24648003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24648005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24748007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24748009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24848011 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24848012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24948013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24948015 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25048017 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25048019 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25148023 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25148027 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25248029 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25248031 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25348032 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25348100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25448101 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference10 01-420-112804-20100729


Contents48102 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25548123 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25548124 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25648127 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25748129 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25748131 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25848132 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25848200 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25948201 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25948205 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26048300 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26048301 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Event-LDB-monitor 26346000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26446001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26446002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26546003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26546004 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26646005 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26646100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26746101 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

Event-nac-quarantine 26943776 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269

Event-his-performance 27140704 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

Event-HA 27337888 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27437889 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27437890 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27437891 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27537892 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27537893 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27637894 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27637895 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27637896 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27737897 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27737898 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27737899 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27837900 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference11 01-420-112804-20100729


Contents37901 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27837903 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

Event-pattern 28141000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28241001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

Event-RADIUS 28538656 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28638657 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28638658 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28638659 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28738660 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28738661 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28738662 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28838663 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28838664 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28938665 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28938666 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29038667 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

Event-notification 29138400 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29238401 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29338402 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294

Event-amc-intf-bypass 29547201 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29547202 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

Event-GTP 29741216 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29841217 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29941218 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30141219 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30241220 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30341221 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30441222 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306

Event-MMS-Stats 30743264 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference12 01-420-112804-20100729


Contents

F0hEvent-VoIP 30944032 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31044033 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31244034 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31444035 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31744036 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31844037 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32044038 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322

Data Leak Prevention 32524576 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32624577 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328

Application Control 33128672 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33228673 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33428674 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33628675 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33828676 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34028677 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34228678 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34428688 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34628689 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34828690 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35028704 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35228705 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

Antivirus 3558192 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3568193 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3588194 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3608195 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3628196 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3648197 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3668198 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3688199 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3708457 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3728458 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3748448 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3768449 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3798450 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3828451 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384ortiGate FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 13ttp://docs.fortinet.com/ Feedback

Contents8452 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3868453 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3888454 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3918455 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3938456 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3958704 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3978705 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3998706 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4018707 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4038960 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4058961 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

Attack 40916384 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41016385 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41216386 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41418432 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41618433 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41818434 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420

Email filter 42320480 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42420481 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42620482 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42820483 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43020484 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43220491 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43420485 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43620486 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43820487 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44020488 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44220489 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44420490 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44620492 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44820493 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45020494 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45220495 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45420496 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45620497 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45820498 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46020499 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference14 01-420-112804-20100729


Contents

F0hWebfilter 46512288 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46612289 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46812290 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47012291 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47212305 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47412544 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47612545 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47812546 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48012547 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48212548 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48412549 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48612550 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48812551 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49012552 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49012553 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49112554 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49212555 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49312556 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49412557 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49512558 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49512559 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49613056 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49813312 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50013313 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50213314 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50412800 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50612801 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50813568 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51013573 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51213584 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51413315 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51613316 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51812802 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

Netscan logs 5214097 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5224099 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5224100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5234101 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5234102 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524ortiGate FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 15ttp://docs.fortinet.com/ Feedback

ContentsDLP archives 52532768 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52632776 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52832770 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53032772 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53232774 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53432769 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53632782 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53832783 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54032784 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54332785 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54632786 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54932787 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55132788 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55432789 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55732790 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56032791 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56332792 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56632793 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56932777 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57232794 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57432795 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57632796 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57832797 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58032798 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58232800 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58432778 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58932779 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59132780 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59332781 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59532771 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59732773 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59932775 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference16 01-420-112804-20100729


F0hIntroductionThis reference provides detailed information about all log messages that are recorded by the FortiGate unit. It is intended for administrators that are already logging FortiGate features and require information about a specific log message that was recorded, such as an event-administration log message with the log ID 41990. This chapter includes the following topics: Before you begin Document conventions Registering your Fortinet product Fortinet products End User License Agreement Customer service and technical support Training Fortinet documentation

Before you begin Before you begin using this guide, take a moment to note the following: The information in this reference applies to all FortiGate units and models currently

running FortiOS 4.0 and higher. You have enabled logging of FortiGate features. If you have not chosen a log device, or

have not enabled logging of FortiGate features, see the Logging and Reporting chapter in the FortiOS Handbook.

Each log message is written similarly to how it appears in the log viewer table, but based on the Raw format.

FortiOS Carrier log messages are included and is indicated within the table, in the Firmware version row.

This reference contains detailed information for each log message field; however, this reference contains only information gathered at publication and as a result, not every log message field contains detailed information. More detailed information will be available in future releases of this reference.

How this reference is organizedThis document describes what log messages are recorded by the FortiGate unit.This document contains the following chapters: FortiGate 4.0 log messages provides an overview of what log header types look like, what DLP archives are, and a detailed example explaining the different fields within a log message. This example is a debug log message. The following chapters are grouped by log type with the exception of the event log, and include only log messages for that log type. The event log type chapters are grouped by subtype, for example event-system, due to the large amount of subtypes associated with ortiGate FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 17ttp://docs.fortinet.com/ Feedback

the event log. Traffic

Document conventions Introduction Event-Administration Event-System Event-DHCP service Event-Firewall authentication Event-Wireless Event-IPSec negotiation Event-L2TP/PPP/PPPoE Event-SSL VPN Event-VIP SSL Event-wad Event-LDB-monitor Event-nac-quarantine Event-his-performance Event-HA Event-pattern Event-RADIUS Event-notification Event-amc-intf-bypass Event-GTP Event-MMS-Stats Event-VoIP Data Leak Prevention Application Control Antivirus Attack Email filter Webfilter Netscan logs DLP archives

Document conventionsFortinet technical documentation uses the conventions described below.

IP addressesTo avoid publication of public IP addresses that belong to Fortinet or any other organization, the IP addresses used in Fortinet technical documentation are fictional and follow the documentation guidelines specific to Fortinet. The addresses used are from the private IP address ranges defined in RFC 1918: Address Allocation for Private Internets, available at http://ietf.org/rfc/rfc1918.txt?number-1918.FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference18 01-420-112804-20100729


Introduction Registering your Fortinet product

F0hCautions, Notes and TipsFortinet technical documentation uses the following guidance and styles for cautions, notes and tips.

Typographical conventionsFortinet documentation uses the following typographical conventions:

Registering your Fortinet productBefore you begin configuring and customizing features, take a moment to register your Fortinet product at the Fortinet Technical Support web site, https://support.fortinet.com.

Caution: Warns you about commands or procedures that could have unexpected or undesirable results including loss of data or damage to equipment.

Note: Presents useful information, usually focused on an alternative, optional method, such as a shortcut, to perform a step.

Tip: Highlights useful additional information, often tailored to your workplace activity.

Table 1: Typographical conventions in Fortinet technical documentation

Convention ExampleButton, menu, text box, field, or check box label

From Minimum log level, select Notification.

CLI input* config system dnsset primary

endCLI output FGT-602803030703 # get system settings

comments : (null)opmode : nat

Emphasis HTTP connections are not secure and can be intercepted by a third party.

File content Firewall AuthenticationYou must authenticate to use this service.

Hyperlink Visit the Fortinet Technical Support web site, https://support.fortinet.com.

Keyboard entry Type a name for the remote VPN peer or client, such as Central_Office_1.

Navigation Go to VPN > IPSEC > Auto Key (IKE).Publication For details, see the FortiGate Administration Guide.

Note: Links typically go to the most recent version. To access earlier releases, go to http://docs.fortinet.com/. This link appears at the bottom of each page of this document.ortiGate FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 19ttp://docs.fortinet.com/ Feedback

Fortinet products End User License Agreement IntroductionMany Fortinet customer services, such as firmware updates, technical support, and FortiGuard Antivirus and other FortiGuard services, require product registration.For more information, see the Fortinet Knowledge Base article Registration Frequently Asked Questions.

Fortinet products End User License AgreementSee the Fortinet products End User License Agreement.

Customer service and technical supportFortinet Technical Support provides services designed to make sure that you can install your Fortinet products quickly, configure them easily, and operate them reliably in your network. To learn about the technical support services that Fortinet provides, visit the Fortinet Technical Support web site at https://support.fortinet.com.You can dramatically improve the time that it takes to resolve your technical support ticket by providing your configuration file, a network diagram, and other specific information. For a list of required information, see the Fortinet Knowledge Base article What does Fortinet Technical Support require in order to best assist the customer?

TrainingFortinet Training Services provides a variety of training programs to serve the needs of our customers and partners world-wide. Visit the Fortinet Training Services web site at http://campus.training.fortinet.com, or email [email protected].

Fortinet documentation The Fortinet Technical Documentation web site, http://docs.fortinet.com, provides the most up-to-date versions of Fortinet publications, as well as additional technical documentation such as technical notes.In addition to the Fortinet Technical Documentation web site, you can find Fortinet technical documentation on the Fortinet Tools and Documentation CD, and on the Fortinet Knowledge Base.

Tools and Documentation CDThe documentation for your product is available on the Fortinet Tools and Documentation CD shipped with your product. The documents on this CD are current at shipping time. For the most current versions of Fortinet documentation, visit the Fortinet Technical Documentation web site, http://docs.fortinet.com.

Fortinet Knowledge Base The Fortinet Knowledge Base provides additional Fortinet technical documentation, such as troubleshooting and how-to articles, examples, FAQs, technical notes, a glossary, and more. Visit the Fortinet Knowledge Base at http://kb.fortinet.com.FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference20 01-420-112804-20100729


Introduction Fortinet documentation

F0hComments on Fortinet technical documentation Please send information about any errors or omissions in this or any Fortinet technical document to [email protected] FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 21ttp://docs.fortinet.com/ Feedback

Fortinet documentation IntroductionFortiGate FortiOS Handbook 4.0 MR2 Log Message Reference22 01-420-112804-20100729


F0hFortiGate 4.0 log messagesFortiGate logs provide historical and current analysis of network activity to help identify security issues, reducing network misuse and abuse. For more information about configuring logging in FortiOS 4.0, see the Logging and Reporting chapter of the FortiOS Handbook. It contains additional information about log messages and logging in general in FortiOS 4.0, and is located on the Fortinet Tech Docs web site. This section describes: Log header variations DLP archive logs Debug log messages

Log header variationsLog headers are the beginning of the log and inform you of the time the log was recorded, what FortiGate recorded the log, including other important information. The following header is standard format when viewing logs in Raw format in the web-based manager: 2009-03-14 05:18:20 log_id=0954110000 type=dlp subtype=dlp pri=notice vd=root Log header formats can vary from the above header format when you are viewing logs from a different logging location, such as a Syslog or WebTrends server. For example, a Syslog device can display log information with commas if the Comma Separated Values (CSV) format is enabled. The following examples show what information is in log headers as well as how that information is displayed. Remote Syslog log header formatLogs sent to a Syslog server, or multiple Syslog servers, displays log headers as follows: date=2009-04-31 time=06:04:45 devname=FGT-50B device_id=FGT50B3G06500085 log_id=1059116020 type=app-crtl subtype=app-crtl-all pri=notice, vd=root fwver=040000WebTrends log header formatLogs sent to a remote NetIQ WebTrends firewall reporting server display log headers as follows: id=firewall time=2009-04-31 15:05:55 fw=FGT50B3G0606500085 pri=5 log_id=0100030101 type=event subtype=admin

DLP archive logs DLP archive logs are historical logs that have been stored on a FortiAnalyzer unit or FortiGuard Analysis server. These log types are: Email FTP ortiGate FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 23ttp://docs.fortinet.com/ Feedback

Web (HTTP, HTTPS) IM/P2P

Debug log messages FortiGate 4.0 log messages VoIPConfiguring DLP archiving is enabled within the DLP sensor. DLP archiving of spam email messages is configured only in the protection profile. There are two default DLP sensors that you can use for DLP archiving, Content_Archive and Content_Summary. The Content_Archive sensor provides full DLP archiving, which includes all content, for example, email messages include the entire message and attachments. The Content_Summary sensor provides only the meta data about the content, for example, email message summary records only the email header. For more information about configuring and enabling DLP archiving, see the UTM chapter of the FortiOS Handbook. For detailed information about the fields in a DLP archived log message, see Logging and Reporting chapter of the FortiOS Handbook.

Debug log messagesDebug log messages are only generated if the log severity level is set to Debug. The Debug severity level is the lowest log severity level and is rarely used. This severity level usually contains some firmware status information that is useful when the FortiGate unit is not functioning properly. Debug log messages are generated by all types of FortiGate features. If you want more detailed information about log messages, similar to the following log messages, see Logging and Reporting chapter of the FortiOS Handbook. The following is an example of a debug log message: 2009-04-25 17:25:54 log_id=0315093000 type=webfilter subtype=urlfilter pri=debug msg=found in cacheTable 2: Explanation of an example of a Debug log message

date=(2009-04-25) The year, month and day of when the event occurred in the format yyyy-mm-dd. time=(17:25:54) The hour, minute and second of when the event occurred in the format hh:mm:ss. log_id=(0315093000) A ten-digit number. The first two digits represent the log type and the following two

digits represent the log subtype. The last five digits represent the message ID.

type=(webfilter) The section of system where the event occurred. There are eleven log types in FortiOS 4.0.

subtype=(urlfilter) The subtype of the log message. This represents a policy applied to the FortiGate feature in the firewall policy.

pri=(debug) The severity level of the event. There are six severity levels to specify. msg=(found in cache) Explains the activity or event that the FortiGate unit recorded. FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference24 01-420-112804-20100729


F0hTrafficTraffic log messages record the network traffic going through the FortiGate unit. In the policyid field of traffic log messages, the number may be zero because any policy that is automatically added by the FortiGate unit is indexed as zero. For more information, see the Fortinet Knowledge Base article, Firewall policy=0.

23456789ortiGate FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 25ttp://docs.fortinet.com/ Feedback

Traffic2

Message ID 2Log SubType AllowedSeverity NotificationFirmware version FortiOSMeaning Allowed traffic log messageFields Field Descriptionstatus The session status. This field displays accept in this field.

vd The name of the virtual domain where the action occurred in. If no virtual domains exist, this field always contains root.

dir_disp The direction of the sessions. Org displays if a session is not a child session or the child session originated in the same direction as the master session. Reply displays if a differen direction is taken from the master session.

tran_disp The packet is source NAT translated (snat) or destination NAT translated (dnat). This field can also contain noop.

src The source IP address.

srcname The name of the source or the source IP address.

src_port The source port of the TCP or UDP traffic. The source protocol is zero for other types of traffic.

dst The destination IP address.

dstname The destination name or destination IP address.

dst_port The destination port number of the TCP or UDP traffic. The destination port is zero for other types of traffic.

tran_ip The translated IP in NAT mode. For Transparent mode, it is zero.

tran_port The translated port number in NAT mode. For Transparent mode, it is zero.

service The IP network service that applies to the session or packet. The services displayed correspond to the services configured in the firewall policy.

proto The protocol number that applies to the session or packet. The protocol number in the packet header that identifies the next level protocol. Protocol numbers are assigned by the Internet Assigned Number Authority (IANA).

app_type The application or program used. If there was no program used to create the traffic, then it is empty and displays N/A. The following are the application types that can appear in this field:

NA Skype

WinNY AIM

BitTorrent ICQ

eDonKey MSN

Gnutella Yahoo

KaZaa

duration This represents the value in seconds.

rule The rule number.

policyid The ID number of the firewall policy that applies to the session or packet. Any policy that is automatically added by the FortiGate will have an index number of zero.

custom The log field that a user has created. This is referred to as a custom log field because the name can be anything, for example, hq. FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference26 01-420-112804-20100729


Traffic

F0hidentidx The identity-based policy identification number. This field displays zero if the firewall policy does not use an identity-based policy; otherwise, it displays the number of the identity-based policy entry that the traffic matched. This number is not globally unique, it is only locally unique within a given firewall policy.

sent The total number of bytes sent.

rcvd The total number of bytes received.

shaper_drop_sent The number of sent traffic shaper bytes that were dropped.

shaper_drop_rcvd The number of received traffic shaper bytes that were dropped.

perip_drop The number of per-IP traffic shaper bytes that were dropped.

shaper_sent_name The name of the traffic shaper sending the bytes.

shaper_rcvd_name The name of the traffic shaper receiving the bytes

perip_name The name of the per-IP traffic shaper.

sent_pkt The total number of packets sent during the session

rcvd_pkt The total number of packets received during the session.

vpn The name of the VPN tunnel used by the traffic.

src_int The interface where the through traffic comes in. For outgoing traffic originating from the firewall, it is unknown.

dst_int The interface where the through traffic goes to the public or Internet.

SN The session number of the log message.

app The name of the application that triggered the action within the control list. For example, SSL.

app_cat The application category that the application is associated with.

user The name of the user creating the traffic.

group The name of the group creating the traffic.

carrier_ep The FortiOS Carrier end-point identification. For example, it would display MSISDN of the phone that sent the MMS message. This field will always display N/A in FortiOS. ortiGate FortiOS Handbook 4.0 MR2 Log Message Reference1-420-112804-20100729 27ttp://docs.fortinet.com/ Feedback

Traffic3

Message ID 3Log SubType Violation Severity Warning Firmware version FortiOSMeaning Traffic violation log messageFields Field Descriptionstatus The status of the session. This field always displays accept in this field.

vd The virtual domain where the traffic was logged. If no virtual domains are enabled and configured, this field contains the virtual domain, root.

dir_disp The direction of the sessions. Org displays if a session is not a child session or the child session originated in the same direction as the master session. Reply displays if a differen direction is taken from the master session.

tran_disp The packet is source NAT translated (snat) or destination NAT translated (dnat). This field can also contain noop.

src The source IP address.

srcname The name of the source or the source IP address.

src_port The source port of the TCP or UDP traffic. The source protocol is zero for other types of traffic.

dst The destination IP address.

dstname The destination name or destination IP address.

dst_port The destination port number of the TCP or UDP traffic. The destination port is zero for other types of traffic.

tran_ip The translated IP in NAT mode. For Transparent mode, it is zero.

tran_port The translated port number in NAT mode. For Transparent mode, it is zero.

service The IP network service that applies to the session or packet. The services displayed correspond to the services configured in the firewall policy.

proto The protocol number that applies to the session or packet. The protocol number in the packet header that identifies the next level protocol. Protocol numbers are assigned by the Internet Assigned Number Authority (IANA).

app_type The application or program used. If there was no program used to create the traffic, then it is empty and displays N/A. The following are the application types that can appear in this field:

NA Skype

WinNY AIM

BitTorrent ICQ

eDonKey MSN

Gnutella Yahoo

KaZaa

duration This represents the value in seconds.

rule The rule number.

policyid The ID number of the firewall policy that applies to the session or packet. Any policy that is automatically added by the FortiGate will have an index number of zero.

custom The log field that a user has created. This is referred to as a custom log field because the name can be anything, for example, hq.

identidx The identity-based policy identification number. This field displays zero if the firewall policy does not use an identity-based policy; otherwise, it displays the number of the identity-based policy entry that the traffic matched. This number is not globally unique, it is only locally unique within a given firewall policy. FortiGate FortiOS Handbook 4.0 MR2 Log Message Reference28 01-420-112804-20100729


Traffic

F0hsent The total number of bytes sent.

rcvd The total number of bytes received.

shaper_drop_sent The number of sent traffic shaper bytes that were dropped.

shaper_drop_rcvd The number of received traffic shaper bytes that were dropped.

perip_drop The number of per-IP traffic shaper bytes that were dropped.

shaper_sent_name The name of the traffic shaper sending the bytes.

shaper_rcvd_name The name of the traffic shaper receiving the bytes

perip_name The name of the per-IP traffic shaper.

vpn The name of the VPN tunnel used by the traffic.

src_int The interface where the through traffic comes in. For out

Documents

Fortigate Lmr 40 Mr2