CentreonからのFortigateファイアウォールの監視

この投稿では、CentreonやNagiosなど、私たちが持っている🙂ものからFortigateファイアウォールを監視する方法を説明します。SNMPクエリを介してそれを行い、そのシャーシのステータスを常に知ることができます, クラスターのステータス (ある場合), ネットワークインターフェースの使用と消費, VPNがある場合も同じです, 彼らが落ちるかどうかを知る, セッション, 等, 等… Fortigateをお持ちの場合, これがあなたの投稿です!

FortigateでのSNMPの有効化,

監視を開始する前に、FortigateファイアウォールでSNMPを有効にする必要があります, 管理Webサイトとメニューからそれらを記録します “制” > “SNMP”, 「SNMPエージェント」を有効にする必要があります’ この場合、SNMP v2c を有効にします, これを行うには、をクリックします。 “新規作成”.

コミュニティの名前を示します, クエリを許可する IP (私たちの監視マシン) そして、「クエリのみを受け付ける」というコンサルテーションのみを許可していることを示します. “わかりました”,

尋ねられるFortigateネットワークインターフェースを指定する必要があることに注意してください, こちらは, から “ネットワーク” > “インターフェイス”, CentreonまたはNagiosマシンが配置されているネットワークを選択します, 私の場合、LANの脚, 「管理アクセス」のSNMPチェックマークにチェックを入れます. “わかりました”,

Fortigate 監視プラグインのインストール,

悪くありません, Centreonマシンで, これらのガジェットを監視するために使用するスクリプトをダウンロードする必要があります, 使う check_fortigate.pl, からのスクリプトの一部オリバー・スキッベこれにより、Fortigateデバイスだけでなく監視も可能になります, ただし、FortiMailまたはFortiAnalyzerもあります. 以下を実行すると、要件がインストールされます, スクリプトをダウンロードします, 実行可能にします, 私たちはそれを属する🙂場所に置きます、必要なディレクトリを作成し、その権限を変更します:

[ソースコード]cpan -i リスト::比べる
wgetのhttps://raw.githubusercontent.com/riskersen/Monitoring/master/fortigate/check_fortigate.pl
chmod +x check_fortigate.pl
MV check_fortigate.pl /usr/lib/centreon/plugins/
mkdir -p /var/spool/nagios/ramdisk/FortiSerial
Chown centreon-engineエンジン:センターオンエンジン/var/spool/nagios/ramdisk/FortiSerial/ -R[/ソースコード]

check_fortigate.pl -h を実行してみて、スクリプトが提供するすべての可能性を確認できます, ここでは、最も興味深いもののいくつかを見ていきます!

すでにセンターロンにいます, コマンドを作成する,

を作成しましょう 2 メトリック値を取得できるようにするために必要なコマンド, そのうちの1つには、サービスの作成時に値をカスタマイズする場合に備えて、警告と重大の値があります.

私が言ったこと, から “構成” > “コマンド” 創造する 2 コマンド:

コマンド名: check_fortigate.pl_wc
コマンドの種類: $CENTREONPLUGINS$/check_fortigate.pl -H $HOSTADDRESS$ -C $_HOSTSNMPCOMMUNITY$ -T $ARG 1$ -w $ARG 2$ -c $ARG 3$
引数: 創造する 3 引数, クリック “引数の説明” そして、私たちはそれらを排出します: ARG1 : やつ, ARG2 : 警告とARG3 : 危うい.

コマンド名: check_fortigate.pl

コマンドの種類: $CENTREONPLUGINS$/check_fortigate.pl -H $HOSTADDRESS$ -C $_HOSTSNMPCOMMUNITY$ -T $ARG 1$
引数: 創造する 1 引数, クリック “引数の説明” そして私たちはあなたを退院させます: ARG1 : やつ

ホストの作成,

FortigateファイアウォールをCentreonに登録するだけです, いいえ? これを行うには、ホストを “構成” > “ホスト”. ファイアウォールクラスタがある場合、常に監視されるのはアクティブなFWです, 受動的ではなく; そこで, クラスターのIPを登録してから、スレーブファイアウォールを監視する方法を見ていきます. 私たちはいつもその名前を示します, あなたのIPアドレス, SNMP コミュニティとバージョン. 私たちはそれを管理スタッフと関連付け、それだけです!

サービスの作成,

次に、監視するサービスの数だけ作成する必要があります (CPU が, 記憶…), 私が使用しているサービスの概要を非常に簡単に説明します, を、関連付けられているコマンドと必要な引数に置き換えます.

クラスターの正常性の状態を把握するために、このサービスを作成します:

形容: クラスター
チェックコマンド: check_fortigate.pl
引数: クラスター

CPU 使用率を調べるには, このサービスを作成しました:

形容: CPUの
チェックコマンド: check_fortigate.pl_wc
引数: CPUの, 80, 90.

RAMメモリのメモリを知るには, このサービスを作成しました:

形容: MEM
チェックコマンド: check_fortigate.pl_wc
引数: CPUの, 80, 90.

悪くありません, 任意のインターフェースの消費を監視したい場合, WAN1 や WAN2 などの物理的なもの, DMZの, MANAGEMENTマウスまたはHAインターフェース, VLAN または VPN, どのインターフェースIDがどのネットワークに対応するかを事前に知ることができます, こちらは, 単にセントロンの殻から、私たちは実行します:

[ソースコード]snmpwalk -os -c COMUNIDAD_SNMP -v 2c DIRECCION_IP_FORTIGATE | grep ifName です。[/ソースコード]

以上です, 監視したいインターフェースの数だけサービスを作成します, たとえば、私のフォルティのWAN1は、600Mbまでのファイバーラインです:

形容: WAN1インターフェース
チェックコマンド: check_centreon_snmp_traffic_id
引数: 3, 80, 90, 2, 300.

手記, このコマンドを持っていない場合は, 私たちはそれを見た前の投稿, Windowsのネットワークインターフェイスを監視したとき, リナックス…

VPN 接続の状態を知るには, 興味があれば、個別に見ることができます, VPNタイプ別, IPSECかSSLか… しかし、この例ではグローバルに表示しています, 有る 3 VPNが昇格し、1つがダウンした場合に通知してくれる、それで十分です, いいえ?

形容: VPNについて
チェックコマンド: check_fortigate.pl
引数: VPNについて

ファイアウォールが持つアクティブセッションを知りたい場合、これは同じことです。… しかし、気をつけてください! 今、私はあなたにトリックを教えています, 他のファイアウォールのメトリックを知りたい場合, 行く, パッシブの, 「-s」を入れるとわかります’ 最終的には、あなたはそれを手に入れるでしょう, かわいいのは、そのためのコマンドを作ったことです, しかし、私が言ったことに興味があるなら, スレーブのCPUなどを知るため, 上の画像のように行います.