常用排错命令

2025/10/29大约 17 分钟

常用排错命令

本文整理 FortiGate 常用 CLI 排错命令，适合在故障定位、信息收集、Ticket 开单、现场割接验证时快速查找。不同 FortiOS 版本、设备型号、VDOM 模式下可用命令可能存在差异，实际执行前可在命令后输入 ? 确认本机支持的参数。

重要

开启实时 debug 前建议先设置过滤条件，避免控制台输出过多日志。
diagnose debug disable 只停止在控制台打印 debug，后台 debug 可能仍在运行；排查完成后应执行 diagnose debug reset 完全停止并清理 debug。
factoryreset、reboot、format、restart、clear、delete、flush 等命令可能中断业务或清除状态，生产环境执行前需要确认影响范围。

调试开关

本节用于统一控制 FortiGate CLI debug 的开启、停止和输出时长。排查完成后建议执行 diagnose debug reset，避免后台 debug 持续运行。

diagnose debug reset：停止并清理此前在前台或后台运行的所有 debug。
diagnose debug enable：开始在控制台打印 debug 输出。
diagnose debug disable：停止控制台 debug 输出，但后台 debug 可能仍在运行，需要配合 diagnose debug reset 完全停止。
diagnose debug duration 0：设置 debug 无限时长；默认 debug 时长为 30 分钟。

系统

此类命令主要用于查看 FortiGate 运行状态、进程、硬件、FortiGuard、会话表、网络诊断、抓包和各类本地 debug。

系统状态与进程

get system status：查看系统基本信息。
execute time：查看当前系统时间。
get system performance status：查看 CPU、内存等系统性能状态。
execute tac report：生成用于提交 Fortinet Support Ticket 的 TAC 报告。
diagnose sys top {s} {n} {i}：每隔 s 秒显示前 n 个进程，循环 i 次；在输出界面中可用 Shift + C 按 CPU 排序，用 Shift + M 按内存排序。
diagnose debug crashlog read：查看系统或应用崩溃记录。
diagnose sys process pidof <daemon>：查看指定守护进程的 PID，例如 diagnose sys process pidof httpsd；守护进程名称可通过 diagnose sys top 查看。
diagnose sys kill 11 <pid>：使用 signal 11 终止指定 PID。
diagnose sys session stat：查看会话统计信息。
diagnose sys session exp-stat：查看 expectation session 统计信息。
diagnose sys vd list：查看 VDOM 信息及系统统计。
diagnose sys cmdb info：查看最近一次由守护进程执行的配置变更信息。
execute factoryreset [keepvmlicense]：立即恢复出厂设置并重启；VM 型号可通过 keepvmlicense 保留 VM License。
execute factoryreset-shutdown [keepvmlicense]：立即恢复出厂设置并关机；VM 型号可通过 keepvmlicense 保留 VM License。
execute factoryreset2 [keepvmlicense]：恢复大部分配置，但保留系统设置、系统接口、VDOM、静态路由和虚拟交换机；VM 型号可通过 keepvmlicense 保留 VM License。
diagnose debug config-error-log read：查看配置文件中的错误。
diagnose snmp ip frags：查看 IP 分片与重组信息。
diagnose sys process dump <PID>、diagnose sys process pstack <PID>、diagnose sys process trace <PID>：查看指定进程的 dump、调用栈、trace 等进程相关信息。
diagnose sys mpstat {n}：每隔 n 秒查看 CPU 使用率。
diagnose hardware sysinfo memory：查看系统内存信息。
diagnose firewall packet distribution：查看数据包分布统计。
execute reboot：重启设备。

硬件

diagnose hardware sysinfo interrupts：查看 CPU 中断统计。
diagnose hardware test suite all：执行硬件诊断测试，也就是 HQIP 测试。
diagnose hardware deviceinfo disk：查看磁盘信息。
diagnose sys flash list：查看 Flash 分区。
execute disk list：查看已挂载磁盘。
execute disk format <partition ref>：格式化指定分区。
diagnose disktest device <device>、diagnose disktest block <block>、diagnose disktest size <mb>、diagnose disk test run：配置并执行磁盘读写测试，用于检查磁盘是否异常；<device> 为待测试设备，<block> 为每次读写块大小，<mb> 为每轮测试大小上限。
execute formatlogdisk：格式化日志磁盘。
diagnose hardware sysinfo cpu：查看 CPU 信息。
diagnose sys modem detect、diagnose debug application modemd -1、diagnose debug enable：检测 Modem，并开启 Modem 守护进程实时 debug。

FortiGuard

diagnose webfilter fortiguard statistics：查看 Web Filter Rating 缓存与守护进程统计。
diagnose debug rating：查看 Web Filter Rating 服务器信息。
diagnose debug application update -1、diagnose debug enable：开启 update 守护进程 debug，用于排查 FortiGuard 更新问题。
execute update-now：手动触发 FortiGuard 更新。
diagnose autoupdate status、diagnose autoupdate versions：查看 License 与自动更新版本信息。

会话表

diagnose sys session filter <filter>：设置会话表过滤条件。
diagnose sys session filter：查看当前会话过滤条件。
diagnose sys session list：按过滤条件查看会话表。
diagnose sys session clear：清除符合当前过滤条件的会话。
diagnose firewall iprope list：查看 FortiGate 内部防火墙表。

网络诊断

execute ping-options {options}、execute ping <x.x.x.x>：按指定选项对 IPv4 地址执行 Ping 测试。
execute ssh-options {options}、execute ssh <x.x.x.x>：按指定选项从 FortiGate 发起 SSH 连接。
execute traceroute-options {options}、execute traceroute <x.x.x.x>：按指定选项执行 Traceroute。
get system arp、diagnose ip arp list：查看 ARP 表项。
diagnose netlink brctl list：查看 FortiGate 上所有 switch 名称。
diagnose netlink brctl name host <switch-name>：查看指定 switch 的二层转发表。
get system interface、get sys interface physical：查看接口概要信息，包括接口 IP 信息。
diagnose ip address list：查看 IP 地址信息。
diagnose hardware deviceinfo nic <interface>、get hardware nic <interface>：查看指定接口的详细硬件/链路信息。
get sys interface transceiver：查看已连接光模块信息。

抓包

diagnose sniffer packet <interface> <'filter'> <verbose> <count> <a|l>：使用内置 sniffer 在指定接口按过滤条件抓包，并指定详细级别、抓包数量、ASCII/链路层输出方式。

Debug Flow

diagnose debug reset：停止并清理此前运行的 debug。
diagnose debug flow filter clear：清除 IPv4 debug flow 过滤条件。
diagnose debug flow filter6 clear：清除 IPv6 debug flow 过滤条件。
diagnose debug flow filter <filter>：设置 IPv4 debug flow 过滤条件。
diagnose debug flow filter6 <filter>：设置 IPv6 debug flow 过滤条件。
diagnose debug flow show function-name enable：在 debug flow 输出中显示代码函数名。
diagnose debug flow show iprope enable：在 debug flow 输出中显示流量经过的内部防火墙策略信息。
diagnose debug console timestamp enable：在 debug 输出中显示时间戳。
diagnose debug flow trace start <n>：输出 n 行 IPv4 debug flow。
diagnose debug flow trace start6 <n>：输出 n 行 IPv6 debug flow。
diagnose debug enable：开始在控制台打印 debug 输出。

UTM

diagnose debug urlfilter <filter>、diagnose debug application urlfilter -1、diagnose debug enable：开启 Web Filter 实时 debug。
diagnose debug enable、diagnose test application urlfilter：列出 Web Filter debug 输出选项。
diagnose test application urlfilter <option>：查看指定 Web Filter debug 输出。
diagnose debug application dnsproxy -1、diagnose debug enable：开启 DNS Proxy 实时 debug；DNS Proxy 负责 DNS Filter、DNS Translation、DNS Resolution 等功能。
diagnose debug enable、diagnose test application dnsproxy：列出 DNS Proxy debug 输出选项。
diagnose test application dnsproxy <option>：查看指定 DNS Proxy debug 输出。
diagnose ips filter set "host <x.x.x.x> and port <port>"、diagnose ips debug enable all、diagnose debug enable：按主机和端口过滤，开启 Application Control/IPS 安全配置文件相关的 IPS Engine debug。
diagnose ips debug enable av、diagnose ips debug status show、diagnose sys scanunit debug all enable、diagnose sys scanunit debug level verbose、diagnose sys scanunit debug show、diagnose debug enable：在防病毒配置文件使用 Flow 模式时，开启 AV 实时 debug。
diagnose wad debug enable category scan、diagnose wad stream-scan av-test "debug enable"、diagnose wad stream-scan av-test "debug all:debug"、diagnose sys scanunit debug all enable、diagnose sys scanunit debug level verbose、diagnose sys scanunit debug show、diagnose debug enable：在防病毒配置文件使用 Proxy 模式时，开启 AV 实时 debug。

IPS Engine

diagnose test application ipsmonitor 1：查看 IPS Engine 信息。
diagnose test application ipsmonitor 2：设置 IPS Engine 启用/禁用状态。
diagnose test application ipsmonitor 99：重启所有 IPS Engine 与 monitor。
diagnose test application ipsmonitor 97：启动所有 IPS Engine。
diagnose test application ipsmonitor 98：停止所有 IPS Engine。
diagnose ips session list、diagnose test application ipsmonitor 13：查看每个 IPS Engine 内存空间中的 IPS Session。
diagnose ips filter set "host <x.x.x.x> and port <port>"、diagnose ips debug enable all、diagnose debug enable：查看符合过滤条件流量的 IPS Engine debug。

WAD

diagnose test application wad 1000：查看所有 WAD 进程。
diagnose test application wad 2：查看 WAD 总内存使用量。
diagnose test application wad 99：重启所有 WAD 进程。
diagnose wad debug display pid enable、diagnose wad filter <filter>、diagnose wad filter list、diagnose wad debug enable level <level>、diagnose wad debug enable category <category>、diagnose debug enable：开启由 WAD 处理流量的实时 debug。
diagnose wad filter <filter>：设置 WAD debug 过滤条件。
diagnose wad filter list：查看已设置的 WAD debug 过滤条件。
diagnose wad filter clear：清除 WAD debug 过滤条件。
diagnose wad debug enable level <level>：设置 WAD debug 详细级别。
diagnose wad debug enable category <category>：设置 WAD debug 流量类别。
diagnose wad debug display pid enable：在 debug 中显示处理该会话请求的 WAD worker PID。
diagnose debug enable：开始在控制台打印 debug 输出。

CPU Profiling

diagnose sys profile cpumask <cpu_id>：设置需要进行 CPU profiling 的 CPU Core。
diagnose sys profile start：开始 CPU profiling，通常等待 1 到 2 分钟后停止。
diagnose sys profile stop：停止 CPU profiling。
diagnose sys profile module：查看已应用的 Kernel Module。
diagnose sys profile show detail、diagnose sys profile show order：查看对应 CPU Core 的 profiling 结果。

Tree

tree：查看完整 CLI 命令树。
tree execute：查看 execute 命令树。
tree diagnose：查看 diagnose 命令树。

路由

此类命令主要用于查看 IPv4/IPv6 路由表、动态路由协议、组播路由、SD-WAN 规则与链路监控状态。

IPv4/IPv6 路由

get router info routing-table all：查看路由表。
get router info routing-table database、get router info6 routing-table database：查看 IPv4/IPv6 路由数据库信息。
diagnose ip route list、get router info kernel、diagnose ipv6 route list、get router info6 kernel：查看 IPv4/IPv6 Kernel 路由表。
get router info protocols、get router info6 protocols：查看 IPv4/IPv6 路由协议状态。
execute router restart：重启路由守护进程。
get router info bfd neighbor、get router info6 bfd neighbor：查看 IPv4/IPv6 BFD 邻居。
diagnose test application bfd 1、diagnose test application bfd 2、diagnose test application bfd 3：查看 BFD 统计信息。
diagnose debug application bfdd <debug level>、diagnose debug enable：开启 BFD 实时 debug。
get router info bgp summary、get router info6 bgp summary：查看 IPv4/IPv6 BGP Summary。
get router info bgp neighbors、get router info6 bgp neighbors、get router info bgp neighbors <x.x.x.x> advertised-routes、get router info6 bgp neighbors <x:x::x:x/m> advertised-routes、get router info bgp neighbors <x.x.x.x> received-routes、get router info6 bgp neighbors <x:x::x:x/m> received-routes、get router info bgp neighbors <x.x.x.x> routes、get router info6 bgp neighbors <x:x::x:x/m> routes：查看 BGP 邻居、宣告路由、接收路由和邻居路由；<x.x.x.x> 为 IPv4 Peer 地址，<x:x::x:x/m> 为 IPv6 Peer 地址。
diagnose ip router bgp all enable、diagnose ip router bgp level info、diagnose debug enable：开启 BGP 实时 debug。
execute router clear bgp {all | as <ASN> | ip x.x.x.x | ipv6 y:y:y:y:y:y:y:y}：按指定条件执行 BGP Hard Reset；all 表示所有 BGP Peer，as <ASN> 表示指定 AS 的 Peer，ip x.x.x.x 表示指定 IPv4 Peer，ipv6 y:y:y:y:y:y:y:y 表示指定 IPv6 Peer。
execute router clear bgp {all | ip x.x.x.x | ipv6 y:y:y:y:y:y:y:y} soft {in|out}：按指定条件执行 BGP Soft Reset；in 表示仅重置接收路由，out 表示仅重置宣告路由，未指定 in/out 时两个方向都会执行 Soft Reset。
get router info ospf status、get router info6 ospf status：查看 IPv4/IPv6 OSPF 状态。
get router info ospf interface、get router info6 ospf interface：查看 IPv4/IPv6 OSPF 接口状态。
get router info ospf neighbor all、get router info6 ospf neighbor all：查看 IPv4/IPv6 OSPF 邻居信息。
get router info ospf database brief、get router info6 ospf database brief：查看 IPv4/IPv6 OSPF 数据库简要信息。
diagnose ip router ospf all enable、diagnose ip router ospf level info、diagnose debug enable：开启 OSPF 实时 debug。

组播路由

get router info multicast igmp interface：查看接口 IGMP 统计。
get router info multicast igmp groups：查看通过 IGMP 订阅的组播组。
diagnose ip multicast get-igmp-limit：查看 IGMP 状态数量上限。
diagnose ip router igmp decode enable、diagnose ip router igmp level info、diagnose debug console timestamp enable、diagnose debug enable：开启 IGMP 守护进程实时 debug。
execute mrouter clear igmp-interface <interface>：清除指定接口上的所有 IGMP 条目。
execute mrouter clear igmp-group <group-address>：清除指定组或所有组的 IGMP 条目。
get router info multicast pim sparse-mode interface：查看 PIM Sparse Mode 接口信息。
get router info multicast pim sparse-mode neighbor：查看 PIM Sparse Mode 邻居信息。
get router info multicast pim sparse-mode rp-mapping：查看 RP 到组播组的映射信息。
get router info multicast pim sparse-mode table：查看 PIM Sparse Mode 路由表。
diagnose ip router pim-sm events enable、diagnose ip router pim-sm all enable、diagnose ip router pim-sm level info、diagnose debug enable：开启 PIM Sparse Mode 实时 debug。

SD-WAN

diagnose sys sdwan health-check status：查看 SD-WAN Health Check 统计。
diagnose sys sdwan service4、diagnose sys sdwan service6：查看控制平面的 IPv4/IPv6 SD-WAN 规则。
diagnose sys sdwan member：查看 SD-WAN 成员。
diagnose firewall proute list：查看数据平面的 SD-WAN 规则与 Policy Route。
diagnose sys link-monitor status、diagnose sys link-monitor interface <interface>：查看 Link Monitor 统计。
diagnose debug application link-monitor -1、diagnose debug enable：开启 Link Monitor 实时 debug。
diagnose test application lnkmtd 1、diagnose test application lnkmtd 2、diagnose test application lnkmtd 3：查看 Link Monitor 统计。

认证

认证类命令主要用于查看认证用户、测试认证服务器、排查 LDAP/RADIUS/FSSO/SAML 等认证问题。

diagnose firewall auth filter <filter>：设置认证用户列表过滤条件。
diagnose firewall auth list：列出过滤后的已认证 IPv4 用户。
diagnose wad user list：列出当前由 Proxy/WAD 认证的用户。
diagnose debug application fnbamd -1、diagnose debug application authd -1、diagnose debug enable：开启远程认证与本地认证实时 debug。
diagnose test authserver <auth_protocol> <server_name> <user> <password>：直接从 CLI 测试认证；密码会以明文显示，记录日志时需要注意。
diagnose test authserver ldap <server_name> <user> <password>：测试 LDAP 用户认证；密码会以明文显示。
diagnose test authserver radius <server_name> <auth_type> <user> <password>：测试 RADIUS 用户认证；密码会以明文显示。
diagnose debug fsso-polling detail、diagnose debug fsso-polling summary：查看 FortiGate 到 DC 的 FSSO Polling 信息。
diagnose debug fsso-polling user、diagnose debug authd fsso list：查看 FortiGate 轮询 DC 获取到的 FSSO 登录用户。
diagnose debug application fssod -1、diagnose debug application smbcd -1、diagnose debug enable：FortiGate 用作 FSSO Polling 设备时，开启相关实时 debug。
diagnose debug fsso-polling refresh-user <id>、execute fsso refresh：刷新当前 FSSO 登录用户列表；该操作可能影响业务，需谨慎使用。
diagnose debug authd fsso server-status：查看 FortiGate 与 Collector Agent 的连接状态。
diagnose debug application authd 8256、diagnose debug enable：开启 FortiGate 与 Collector Agent 连接相关的实时 debug。
diagnose debug authd fsso refresh-logons：让 Collector Agent 重新发送登录用户列表到 FortiGate。
diagnose debug application samld -1、diagnose debug enable：开启 SAML 实时 debug。

VPN

此类命令主要用于查看、清除和调试 IPsec Phase 1/Phase 2、IKE 进程与加密计数器。

IPSec

diagnose vpn ike gateway list：查看 IPsec Phase 1 信息。
diagnose vpn tunnel list：查看 IPsec Phase 2 信息。
get vpn ipsec tunnel summary、get vpn ipsec tunnel details：查看 IPsec 隧道概要与详细信息。
diagnose vpn tunnel flush：清除所有 Phase 2 Tunnel SA。
diagnose vpn tunnel flush <name> [name]：按名称清除一个或多个指定 Phase 2 Tunnel。
diagnose vpn ike gateway <clear | flush>：清除/Flush IKE Gateway（Phase 1）；可先用 diagnose vpn ike gateway filter 设置过滤条件。
diagnose vpn ike gateway <clear | flush> name <name>：按名称清除/Flush 指定 IKE Gateway（Phase 1）。
diagnose vpn ike gateway filter：设置或查看 IKE Gateway 过滤条件。
diagnose vpn ipsec status：查看 IPsec 加密计数器等信息。
diagnose vpn ike log filter <filter>：设置 IKE 守护进程 debug 过滤条件。
diagnose debug application ike -1、diagnose debug enable：按过滤条件开启 IKE 守护进程实时 debug。
diagnose vpn ike restart：重启 IKE 进程。
diagnose vpn ike counts、diagnose vpn ike routes、diagnose vpn ike errors、diagnose vpn ike stats、diagnose vpn ike status、diagnose vpn ike crypto：查看 IKE 计数、路由、错误、统计、状态、加密相关信息。

受管设备

受管设备类命令主要用于查看受 FortiGate 管理的 FortiSwitch 与 FortiAP 状态、连接、端口、无线客户端和相关 debug。

FortiSwitch

diagnose switch-controller switch-info mac-table：查看受管 FortiSwitch MAC 地址表。
diagnose switch-controller switch-info port-stats：查看受管 FortiSwitch 端口统计。
diagnose switch-controller switch-info trunk status：查看受管 FortiSwitch Trunk 信息。
diagnose switch-controller switch-info mclag：查看 FortiSwitch MCLAG 相关信息。
diagnose switch-controller switch-info poe：查看 PoE 相关信息。
diagnose switch-controller switch-info lldp：查看 LLDP 相关信息。
diagnose switch-controller switch-info port-properties：查看受管 FortiSwitch 端口属性。
diagnose switch-controller switch-info acl-counters：查看受管 FortiSwitch 端口 ACL 计数器。
diagnose switch-controller switch-info pdu-counters-list：查看受管 FortiSwitch PDU 计数器。
diagnose switch-controller switch-info flapguard：查看受管 FortiSwitch Flap Guard 信息。
diagnose switch-controller switch-info qos-stats：查看受管 FortiSwitch QoS 统计。
diagnose switch-controller switch-info modules：查看 FortiSwitch 模块相关信息。
diagnose switch-controller switch-info stp：查看受管 FortiSwitch STP 实例状态。
diagnose switch-controller switch-info bpdu-guard-status：查看受管 FortiSwitch STP BPDU Guard 状态。
diagnose switch-controller switch-info igmp-snooping：查看受管 FortiSwitch IGMP Snooping 信息。
diagnose switch-controller switch-info loop-guard：查看受管 FortiSwitch Loop Guard 状态。
diagnose switch-controller switch-info dhcp-snooping：查看受管 FortiSwitch DHCP Snooping 接口列表。
diagnose switch-controller switch-info arp-inspection：查看受管 FortiSwitch ARP Inspection 接口列表。
diagnose switch-controller switch-info option82-mapping：查看受管 FortiSwitch DHCP Option 82 Mapping 信息。
diagnose switch-controller switch-info 802.1X：查看受管 FortiSwitch 端口 802.1X 状态。
diagnose switch-controller switch-info 802.1X-dacl：查看受管 FortiSwitch 端口 802.1X Dynamic ACL 状态。
diagnose switch-controller switch-info mac-limit-violations：查看受管 FortiSwitch 违反 MAC Limit 的 MAC 信息。
diagnose switch-controller switch-info flow-tracking：查看受管 FortiSwitch Flow 信息。
diagnose switch-controller switch-info mirror：查看受管 FortiSwitch Mirror 信息。
diagnose switch-controller switch-info ip-source-guard：查看受管 FortiSwitch 硬件中的 IP Source Guard 信息。
diagnose switch-controller switch-info rpvst：查看与 Rapid PVST 网络互通时的 FortiSwitch STP 端口信息。
execute switch-controller get-conn-status <fortiswitch>：查看 FortiSwitch 连接状态。
execute switch-controller get-physical-conn standard <fortilink-name>：查看 FortiLink 物理连接拓扑图。
execute switch-controller diagnose-connection <fortiswitch>：查看 FortiSwitch 连接诊断信息。

FortiAP

diagnose wireless-controller wlac -c wtp、diagnose wireless-controller wlac -d wtp：查看 FortiAP 设备信息。
diagnose wireless-controller wlac -c sta、diagnose wireless-controller wlac -d sta：查看连接到 FortiAP 的无线客户端信息。
diagnose wireless-controller wlac help：查看 Wireless Controller 可用 debug 选项。
diagnose wireless-controller wlac sta_filter、diagnose wireless-controller wlac sta_filter clear、diagnose wireless-controller wlac sta_filter <aa:bb:cc:dd:ee:ff> 255、diagnose debug enable：按无线客户端 MAC 地址开启实时 debug；<aa:bb:cc:dd:ee:ff> 为终端/Station MAC 地址。
diagnose wireless-controller wlac -c vap：查看 VAP 信息，包括 MAC、BSSID、SSID、接口名以及正在广播该 VAP 的 AP IP 地址。
diagnose wireless-controller wlac wtp_filter、diagnose wireless-controller wlac wtp_filter clear、diagnose wireless-controller wlac wtp_filter <FAP-SN> 0-<x.x.x.x>:5246 255、diagnose debug application cw_acd 0x7ff：当 FortiAP 无法连接 FortiGate 时，在 Wireless Controller 上查看 WTP/FortiAP debug；<FAP-SN> 为 FortiAP 序列号，<x.x.x.x> 为 FortiAP IP 地址。

其他服务

此类命令覆盖 HA、ZTNA、日志、流量整形和 SIP 相关排查。

HA

diagnose sys ha status、get system ha status：查看 HA 状态与信息。
execute ha manage <index> <username>：登录并管理指定 HA 成员。
diagnose sys ha checksum cluster：查看所有集群成员的 checksum 信息。
diagnose sys ha checksum show <vdom>：查看指定 VDOM 的详细 checksum 信息。
diagnose sys ha checksum recalculate：重新计算 HA checksum。
diagnose sys ha recalculate-extfile-signature：重新计算 HA 外部文件签名。
diagnose sys ha reset-uptime：重置 HA uptime，通常用于测试故障切换。
diagnose debug application hatalk -1、diagnose debug application hasync -1、diagnose debug application harelay -1、diagnose debug enable：开启 HA 守护进程实时 debug。
diagnose sys ha history read：查看 HA 历史记录。
execute ha synchronize stop、execute ha synchronize start：手动停止或启动 HA 同步。

ZTNA

diagnose endpoint fctems test-connectivity <EMS>：验证 FortiGate 到 FortiClient EMS 的连通性。
execute fctems verify <EMS>：验证 FortiClient EMS 证书。
diagnose test application fcnacd 2：Dump EMS 连通性信息。
diagnose debug app fcnacd -1、diagnose debug enable：运行 FortiClient NAC 守护进程实时 debug。
diagnose endpoint ec-shm list <ip> <mac> <EMS_serial_number> <EMS_tenant_id>：查看 Endpoint 记录列表，可按 IP、MAC、EMS 序列号、EMS Tenant ID 过滤。
diagnose endpoint lls-comm send ztna find-uid <uid> <EMS_serial_number> <EMS_tenant_id>：按 Client UID、EMS 序列号、EMS Tenant ID 查询 Endpoint。
diagnose endpoint lls-comm send ztna find-ip-vdom <ip> <vdom>：按 Client IP 与 VDOM 查询 Endpoint。
diagnose wad dev query-by uid <uid> <EMS_serial_number> <EMS_tenant_id>：通过 WAD diagnose 命令按 UID、EMS 序列号、EMS Tenant ID 查询。
diagnose wad dev query-by ipv4 <ip>：通过 WAD diagnose 命令按 IPv4 地址查询。
diagnose firewall dynamic list：列出 EMS Security Posture Tag，以及所有动态 IP/MAC 地址。
diagnose test application fcnacd 7、diagnose test application fcnacd 8：检查 FortiClient NAC 守护进程中的 ZTNA 与路由缓存。
diagnose wad worker policy list：显示 Application Gateway 规则相关统计。
diagnose wad debug enable category all、diagnose wad debug enable level verbose、diagnose debug enable：运行 WAD 实时 debug。
diagnose debug reset：ZTNA/WAD debug 完成后清理 debug。

日志

diagnose log test：生成测试日志。
execute log filter <filter>：设置日志过滤条件。
execute log filter dump：查看日志过滤条件。
exec log display：显示过滤后的日志。
execute log delete：删除过滤后的日志。
diagnose debug application miglogd -1、diagnose debug enable：开启日志进程 miglogd 实时 debug。
execute log fortianalyzer test-connectivity：测试 FortiGate 与 FortiAnalyzer 的连通性。

Traffic Shaping（流量整形）

diagnose firewall shaper traffic-shaper list：查看已配置的 Traffic Shaper。
diagnose firewall shaper traffic-shaper stats list：查看 Traffic Shaper 统计。

SIP Session Helper

diagnose sys sip status：查看 SIP 状态。
diagnose sys sip mapping list：查看 SIP Mapping 列表。
diagnose sys sip dialog list：查看 SIP Dialog 列表。
diagnose debug application sip -1、diagnose debug enable：开启 SIP 实时 debug。

SIP ALG

diagnose sys sip-proxy calls list：查看活动 SIP Proxy Call 列表。
diagnose sys sip-proxy stats：查看 SIP Proxy 统计。
diagnose sys sip-proxy session list：查看 SIP Proxy Session 列表。
diagnose debug application sip -1、diagnose debug enable：开启 SIP 实时 debug。