Überwachen einer Fortigate-Firewall von Centreon

Druckfreundlich, PDF & Email

In diesem Beitrag werden wir sehen, wie wir unsere Fortigate-Firewalls von einem Centreon oder Nagios oder was auch immer wir haben 🙂, überwachen können. Wir werden dies über SNMP-Abfragen tun und wir werden in der Lage sein, den Status des Gehäuses jederzeit zu kennen, den Status des Clusters, falls vorhanden, die Nutzung und der Verbrauch von Netzwerkschnittstellen, wenn wir VPNs gleich haben, wissen, ob sie fallen, Die Sitzungen, etc, etc… wenn Sie ein Fortigate haben, Das ist dein Beitrag!

 

Aktivieren von SNMP in Fortigate,

 

Bevor wir mit der Überwachung beginnen, müssen wir SNMP in der Fortigate-Firewall aktivieren, Wir protokollieren sie auf der Verwaltungswebsite und im Menü “System” > “SNMP”, Wir müssen den 'SNMP Agent' aktivieren’ und in diesem Fall werde ich SNMP v2c aktivieren, Wir tun dies, indem wir auf “Neu erstellen”.

 

 

Wir geben den Namen der Community an, die IP-Adresse, an die Abfragen zulässig sind (Unsere Überwachungsmaschine) und wir weisen darauf hin, dass Konsultationen nur mit "Nur Anfragen akzeptieren" zulässig sind.. “OKAY”,

 

 

Bitte beachten Sie, dass Sie die Fortigate-Netzwerkschnittstelle angeben müssen, über die Sie gefragt werden, hierfür, seit “Netz” > “Schnittstellen”, Wählen Sie das Netzwerk aus, in dem sich unsere Centreon- oder Nagios-Maschine befindet, In meinem Fall das LAN-Bein, und aktivieren Sie das Häkchen bei SNMP unter "Administrativer Zugriff". “OKAY”,

 

Installieren des Fortigate Monitoring Plugins,

Nicht schlecht, auf unserer Centreon-Maschine, Wir müssen das Skript herunterladen, das wir zur Überwachung dieser Gadgets verwenden werden, Gebrauchen check_fortigate.pl, Ein Stück Drehbuch von Oliver Skibbe mit der wir nicht nur Fortigate-Geräte überwachen können, aber die FortiMail oder FortiAnalyzer, wenn wir sie auch haben. Wenn wir Folgendes ausführen, installieren wir die Anforderungen, Wir laden das Skript herunter, lo hacemos ejecutable, Wir lassen es dort, wo es hingehört 🙂, erstellen ein notwendiges Verzeichnis und ändern seine Berechtigungen:

[Quellcode]cpan -i Liste::Vergleichen
wget https://raw.githubusercontent.com/riskersen/Monitoring/master/fortigate/check_fortigate.pl
chmod +x check_fortigate.pl
MV check_fortigate.pl /usr/lib/centreon/plugins/
mkdir -p /var/spool/nagios/ramdisk/FortiSerial
Chown zentrierter Motor:centreon-engine /var/spool/nagios/ramdisk/FortiSerial/ -R[/Quellcode]

 

Sie können versuchen, check_fortigate.pl -h auszuführen, um alle Möglichkeiten zu sehen, die Ihnen das Skript bietet, Hier werden wir einige der interessantesten sehen!

 

Bereits in Centreon, Erstellen Sie die Befehle,

Lassen Sie uns die 2 Befehle, die wir benötigen, um die Metrikwerte abrufen zu können, Einer von ihnen verfügt über Warn- und Kritisch-Werte, falls wir die Werte beim Erstellen der Dienste anpassen möchten.

 

Was ich gesagt habe, seit “Konfiguration” > “Befehle” Schaffen 2 Befehle:

  • Name des Befehls: check_fortigate.pl_wc
  • Typ des Befehls: $CENTREONPLUGINS$/check_fortigate.pl -H $HOSTADDRESS$ -C $_HOSTSNMPCOMMUNITY$ -T $ARG 1$ -w $ARG 2$ -c $ARG 3$
  • Argumente: Schaffen 3 Argumente, Anklicken “Beschreiben von Argumenten” und wir entlasten sie: ARG1 : Kerl, ARG2 : Warnung und ARG3 : Kritisch.

 

  • Name des Befehls: check_fortigate.pl
  • Typ des Befehls: $CENTREONPLUGINS$/check_fortigate.pl -H $HOSTADDRESS$ -C $_HOSTSNMPCOMMUNITY$ -T $ARG 1$
  • Argumente: Schaffen 1 Argument, Anklicken “Beschreiben von Argumenten” und wir entlasten Sie: ARG1 : Kerl

 

 

Erstellen des Hosts,

 

Wir müssen lediglich unsere Fortigate-Firewall in unserem Centreon registrieren., Nein? Zu diesem Zweck erstellen wir den Host aus “Konfiguration” > “Wirte”. Wenn wir einen Firewall-Cluster haben, wird immer die aktive FW überwacht, und nicht das Passive; deshalb, Wir registrieren die IP unseres Clusters und werden dann sehen, wie wir die Slave-Firewalls überwachen können. Wir geben wie immer seinen Namen an, Ihre IP-Adresse, SNMP-Community und -Version. Wir assoziieren es mit unseren Verwaltungsmitarbeitern und das war's auch schon!

 

Erstellen der Dienste,

Jetzt müssen wir so viele Dienste erstellen, wie wir überwachen möchten (Was ist, wenn die CPU, Gedächtnis…), Ich hinterlasse Ihnen ganz kurz eine Zusammenfassung der Dienste, die ich nutze, mit dem Befehl, mit dem sie verknüpft sind, und den Argumenten, die sie benötigen.

 

 

Um den Status der Integrität des Clusters zu ermitteln, erstellen wir diesen Dienst:

  • Beschreibung: Cluster
  • Befehl prüfen: check_fortigate.pl
  • Argument: Cluster

 

 

So ermitteln Sie Ihre CPU-Auslastung, Wir haben diesen Service entwickelt:

  • Beschreibung: CPU
  • Befehl prüfen: check_fortigate.pl_wc
  • Argumente: CPU, 80, 90.

 

Um den Speicher des RAM-Speichers zu kennen, Wir haben diesen Service entwickelt:

  • Beschreibung: MEM
  • Befehl prüfen: check_fortigate.pl_wc
  • Argumente: CPU, 80, 90.

 

Nicht schlecht, Wenn wir den Verbrauch einer Schnittstelle überwachen möchten, physisch sind, z. B. WAN1 oder WAN2, Die DMZ, MANAGEMENT Mund- oder HA-Schnittstellen, VLANs oder VPNs, Wir werden in der Lage sein, im Voraus zu wissen, welche Schnittstellen-ID welchem Netzwerk entspricht, hierfür, einfach aus dem Rohbau des Centreon führen wir:

[Quellcode]snmpwalk -Os -c COMUNIDAD_SNMP -v 2c DIRECCION_IP_FORTIGATE | grep ifName.[/Quellcode]

 

 

Und das ist es, Wir erstellen so viele Services wie Schnittstellen, die wir überwachen möchten, zum Beispiel das WAN1 meines Forti, eine Glasfaserleitung, die bis zu 600 Mbit reicht:

  • Beschreibung: WAN1-Schnittstelle
  • Befehl prüfen: check_centreon_snmp_traffic_id
  • Argumente: 3, 80, 90, 2, 300.

Nota, diesen Befehl, wenn Sie ihn nicht haben, Wir haben es in einem Vorheriger Beitrag, als wir die Netzwerkschnittstellen eines Windows-Servers, Linux (Englisch)…

 

 

So ermitteln Sie den Status von VPN-Verbindungen, Wir können es uns bei Interesse individuell anschauen, nach VPN-Typ, ob IPSEC oder SSL… aber in diesem Beispiel zeige ich es global, Haben 3 VPNs angehoben und lassen Sie es mich wissen, wenn eines ausfällt, das ist genug, Nein?

  • Beschreibung: VPNs
  • Befehl prüfen: check_fortigate.pl
  • Argumente: VPN

 

 

 

Wenn wir die aktiven Sitzungen wissen möchten, die die Firewall hat, dann ist dies dasselbe.… Aber Vorsicht! Jetzt verrate ich dir einen Trick, Wenn Sie die Metriken der anderen Firewall wissen möchten, los, des Passivs, Sie wissen, dass Sie es wissen, indem Sie ein '-s einfügen’ Am Ende wirst du es bekommen, das Niedliche ist, einen Befehl dafür gemacht zu haben, Aber wenn Sie an dem interessiert sind, was ich gesagt habe, um die CPU des Slaves zu kennen oder was auch immer, Sie machen es wie in der Abbildung oben.

  • Beschreibung: Sitzungen
  • Befehl prüfen: check_fortigate.pl_wc
  • Argumente: Ses, 2000, 3000.

 

 

Ergebnis!

 

Badaboom! Hier haben wir das Ergebnis dessen, was wir überwachen würden, Sobald alle Dienste erstellt und die Konfiguration gespeichert wurde, Wir werden das Ergebnis sehen! Ein Wunder! Wir haben die Fortis bereits überwacht! Ich hoffe, es 🙂 hat euch gefallen

 

Empfohlene Beiträge

Monitorizando Crowdsec con Centreon
Lesen
VPN mit Citrix NetScaler IV - Immer eingeschaltet
Lesen
VPN mit Citrix NetScaler III - Authentifizierung mit Zertifikaten
Lesen
FortiGate-Metriken mit Prometheus und Grafana
Lesen

Verfasser

bis Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

Migrieren des DHCP-Diensts von Windows 2003 zu Windows 2016

4 Dezember 2018

Verwalten des Kalenders über Nextcloud

13 Dezember 2018