Monitoraggio di un firewall Fortigate di Centreon

Compatibile con la stampa, PDF & Email

En este post veremos cómo monitorizar nuestros firewalls de Fortigate desde un Centreon o Nagios o lo que tengamos 🙂 Lo haremos mediante consultas SNMP y vamos a poder conocer en todo momento el estado su chasis, el estado del clúster si es que lo tenemos, el uso y consumo de las interfaces de red, si disponemos de VPNs lo mismo, saber si se caen, las sesiones, and so on, and so on… si tienes un Fortigate, Questo è il tuo post!

 

Habilitando SNMP en el Fortigate,

 

Antes de comenzar a monitorizar debemos habilitar SNMP en el firewall de Fortigate, los logueamos en la web de administración y desde el menú “Sistema” > “SNMP”, deberemos habilitar el ‘SNMP Agenty en este caso habilitaré SNMP v2c, lo hacemos pulsando en “Crea nuovo”.

 

 

Indichiamo il nome della community, la IP a la que permitirá consultas (nuestra máquina de monitorización) e indicamos que permita únicamente consulas con ‘Accept queries only’. “OK”,

 

 

Tendremos en cuenta que hay que indicar la interfaz de red del Fortigate por la que se le harán consultas, per questo, poiché “Rete” > “Interfaces”, seleccionamos la red donde está nuestra máquina Centreon o Nagios, en mi caso la pata LAN, y marcamos el tick de SNMP en ‘Administrative Access’. “OK”,

 

Instalando el Plugin para monitorizar Fortigate,

Non male, en nuestra máquina Centreon, debemos descargar el script que vamos a usar para monitorizar estos cacharros, Usare check_fortigate.pl, un pedazo script de Oliver Skibbe que nos permitirá monitorizar no sólo los dispositivos Fortigate, si no que los FortiMail o FortiAnalyzer si es que también los tenemos. Si ejecutamos lo siguiente nos instalaremos los requisitos, nos descargaremos el script, lo hacemos ejecutable, lo dejaremos donde debe ser 🙂 creamos un directorio necesario y cambiamos sus permisos:

[Codice sorgente]cpan -i List::Compare
wget https://raw.githubusercontent.com/riskersen/Monitoring/master/fortigate/check_fortigate.pl
chmod +x check_fortigate.pl
mv check_fortigate.pl /usr/lib/centreon/plugins/
mkdir -p /var/spool/nagios/ramdisk/FortiSerial
chown centreon-engine:centreon-engine /var/spool/nagios/ramdisk/FortiSerial/ -R[/Codice sorgente]

 

Podéis probar ejecutando check_fortigate.pl -h para ver todas las posibilidades que os da el script, aquí veremos algunas de las más interesantes!

 

Ya en Centreon, crear los Comandos,

Vamos a crear los 2 Comandos que necesitaremos para poder obtener los valores de las métricas, uno de ellos llevará valores de Warning y de Crítical por si queremos personalizar los valores a la hora de crear los Servicios.

 

Cosa ho detto, poiché “Configurazione” > “Comandi” creamos 2 Comandi:

  • Nome comando: check_fortigate.pl_wc
  • Tipo di comando: $CENTREONPLUGINS$/check_fortigate.pl -H $HOSTADDRESS$ -C $_HOSTSNMPCOMMUNITY$ -T $ARG1$ -w $ARG2$ -c $ARG3$
  • Argomenti: Creamos 3 Argomenti, Clicca su “Descrivi gli argomenti” y los damos de alta: ARG1 : Tizio, ARG2 : Warning y ARG3 : Critico.

 

  • Nome comando: check_fortigate.pl
  • Tipo di comando: $CENTREONPLUGINS$/check_fortigate.pl -H $HOSTADDRESS$ -C $_HOSTSNMPCOMMUNITY$ -T $ARG1$
  • Argomenti: Creamos 1 argumento, Clicca su “Descrivi gli argomenti” y le damos de alta: ARG1 : Tizio

 

 

Crear el Host,

 

Simplemente tendremos que dar de alta en nuestro Centreon nuestro firewall de Fortigate, No? Para ello crearemos el Host desde “Configurazione” > “Ospita”. Si disponemos de un clúster de firewalls lo que se monitoriza en todo momento es el FW activo, y no el pasivo; pertanto, damos de alta la IP de nuestro clúster y luego ya veremos cómo monitorizar los firewalls esclavos. Indicamos como siempre su nombre, il tuo indirizzo IP, comunidad SNMP y la versión. Lo asociamos a nuestra plantilla administrativa y listo!

 

Crear los Servicios,

Ahora tenemos que crear tantos Servicios como ítems querramos monitorizar (que si la CPU, memoria…), os dejo muy brevemente un resumen de los Servicios que estoy usando yo, con el Comando que van asociado y los argumentos que necesitan.

 

 

Para saber el estado de la salud del clúster crearemos este servicio:

  • Descrizione: Grappolo
  • Comando di controllo: check_fortigate.pl
  • Discussione: Grappolo

 

 

Para saber el uso de CPU, creamos este servicio:

  • Descrizione: CPU
  • Comando di controllo: check_fortigate.pl_wc
  • Argomenti: CPU, 80, 90.

 

Para saber el consmumo de Memoria RAM, creamos este servicio:

  • Descrizione: MEM
  • Comando di controllo: check_fortigate.pl_wc
  • Argomenti: CPU, 80, 90.

 

Non male, si queremos monitorizar el consumo de cualquier interfaz, sean físicas como las WAN1 o WAN2, la DMZ, boca de MANAGEMENT o las interfaces de HA, las VLAN o VPN, podremos previamente saber a qué ID de interfaz corresponderá qué red, per questo, simplemente desde la shell del Centreon ejecutamos:

[Codice sorgente]snmpwalk -Os -c COMUNIDAD_SNMP -v 2c DIRECCION_IP_FORTIGATE | grep ifName.[/Codice sorgente]

 

 

E questo è tutto, creamos tantos Servicios como interfaces querramos monitorizar, por ejemplo la WAN1 de mi forti que es una línea de fibra que va a 600Mb:

  • Descrizione: Interfaz WAN1
  • Comando di controllo: check_centreon_snmp_traffic_id
  • Argomenti: 3, 80, 90, 2, 300.

Nota, este Comando si no lo tienes, L'abbiamo visto in un Messaggio precedente, cuando monitorizabamos las interfaces de red de un Windows, Linux…

 

 

Para saber el estado de las conexiones VPN, podremos mirarlo de manera individual si nos interesase, por tipo de VPN, si son IPSEC o SSLpero en este ejemplo lo muestro de manera global, tengo 3 VPNs levantadas y con que me avise si se cae alguna ya vale, No?

  • Descrizione: VPN
  • Comando di controllo: check_fortigate.pl
  • Argomenti: VPN

 

 

 

Si queremos conocer las Sesiones activas que tiene el firewall pues esto mismopero ojo! que ahora te digo un truco, si quieres conocer las métricas del otro firewall, andare, del pasivo, que sepas que metiendo un ‘-sal final lo obtendrás, lo cuqui es haber hecho un Comando para ello, pero si te interesa lo dicho, saber la CPU del esclavo o lo que fuere, haces como en la imagen de arriba.

  • Descrizione: Sessioni
  • Comando di controllo: check_fortigate.pl_wc
  • Argomenti: ses, 2000, 3000.

 

 

Risultato!

 

Badaboom! Aquí tenemos el resultado de lo que estaríamos monitorizado, una vez creados todos los servicios y grabada la configuración, veremos el resultado! Una meraviglia! Tenemos ya los fortis monitorizados! Espero os haya gustado 🙂

 

Post consigliati

VPN con Citrix NetScaler IV - Sempre attivo
Leggere
Monitoraggio di Crowdsec con Centreon
Leggere
VPN con Citrix NetScaler III - Autenticazione con certificati
Leggere
Metriche FortiGate con Prometheus e Grafana
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Migrazione del servizio DHCP da Windows 2003 a Windows 2016

4 Dicembre 2018

Gestire il calendario da Nextcloud

13 Dicembre 2018