Znajdź bezczynne połączenia w zaporze Check Point

Mam zaporę ogniową, w której muszę skrócić limit czasu sesji TCP z 24 godzin na 1 godzinę.
Zanim to zrobię, próbuję ustalić, czy spowoduje to uszkodzenie jakichkolwiek aplikacji, tj. Aplikacji, które mają sesje, które mogą być bezczynne przez długi czas, ale nie są w stanie ponownie nawiązać połączenia, jeśli zapora go upuści.
Chcę więc odfiltrować połączenia z mojej tabeli połączeń, które były bezczynne przez ponad 60 minut.

Zapora to CheckPoint R75.40 i patrzę na tabelę połączeń za pomocą polecenia „fw tab -t connections -u”. Przypuszczam, że potrzebna mi informacja znajduje się w danych wyjściowych, ale czego szukam?

Poleceniem tego byłoby:

fw tab -t connections -u -f | grep 86400 \
 |awk '{ split($41,a,"/"); if( a[1] < 82800) print $2,$9,$13,$15,$41; }' 

86400 to bieżący limit czasu sesji TCP w sekundach.
Dzięki toottoot za -fflagę.

Jeśli chcesz użyć wiersza poleceń, możesz po prostu dodać do polecenia flagę -f, formatuje on dane wyjściowe do formatu tekstu czytelnego. „Fw tab -t połączenia –u -f”

Inną opcją jest użycie Smartview Tracker i sprawdzenie aktywnych połączeń z zakładki Aktywne. Uważaj jednak, jeśli masz problemy z wydajnością, wyświetlanie aktywnych połączeń znacznie zwiększy obciążenie procesora w bramie.

Jeszcze innym sposobem jest włączenie rozliczania (kolumna Śledzenie -> Inne -> Konto) według reguł, które mogą pasować do długich bezczynnych połączeń, w tym przypadku czas połączenia będzie widoczny w pliku dziennika po zamknięciu połączenia. Za pomocą dzienników możesz uruchomić niestandardowy raport za pomocą narzędzi Check Point lub po prostu ręcznie filtrować i przeglądać je. Jest to chyba najlepsza opcja, jeśli masz czas i chcesz uzyskać jak najdokładniejsze wyniki.