Monitorando um firewall Fortigate do Centreon

Impressão amigável, PDF & E-mail

Neste post veremos como monitorizar os nossos firewalls de Fortigate desde um Centreon o Nagios o o lo que tengamos 🙂 Lo haremos mediante consultas SNMP y vamos a poder conhecer em todo momento el estado seu chasis, el estado del clúster si es que lo tenemos, el uso y consumimos de las interfaces de red, si disponemos de VPNs lo mismo, saber si se caen, las sesiones, etc, etc… si tienes un Fortigate, Esta é a sua postagem!

 

Habilitando SNMP en el Fortigate,

 

Antes de começar a monitorizar devemos habilitar SNMP en el firewall de Fortigate, os logueamos en la web de administração y desde el menú “Sistema” > “SNMP”, deberemos habilitar el 'SNMP Agent’ y en este caso habilitaré SNMP v2c, lo hacemos pulsando en “Criar novo”.

 

 

Indicamos o nome da comunidade, la IP a la que permitirá consultas (nuestra máquina de monitorización) e indicamos que permita unicamente consulas con 'Accept queries only'. “OKEY”,

 

 

Tendremos en cuenta que hay que indicar la interface de red del Fortigate por la que se le harán consultas, por isso, desde “Rede” > “Interfaces”, selecionamos la red onde está nuestra máquina Centreon o Nagios, no meu caso la pata LAN, y marcamos o tick de SNMP en 'Administrative Access'. “OKEY”,

 

Instalando el Plugin para monitorizar Fortigate,

Nada mau, en nuestra máquina Centreon, devemos descargar o script que vamos a usar para monitorizar estes cacharros, Utilização check_fortigate.pl, un pedazo script de Oliver Skibbe que nos permitirá monitorizar no sólo los dispositivos Fortigate, si no que los FortiMail o FortiAnalyzer si es que também los tenemos. Si executamos lo siguiente nos instalaremos los requisitos, nos descargaremos o script, lo hacemos executable, lo dejaremos onde deve ser 🙂 criado um diretório necessário e mudamos sus permisos:

[Código-fonte]cpan -i List::Compare
wget https://raw.githubusercontent.com/riskersen/Monitoring/master/fortigate/check_fortigate.pl
chmod +x check_fortigate.pl
mv check_fortigate.pl /usr/lib/centreon/plugins/
mkdir -p /var/spool/nagios/ramdisk/FortiSerial
chown centreon-engine:centreon-engine /var/spool/nagios/ramdisk/FortiSerial/ -R[/Código-fonte]

 

Podem experimentar executando check_fortigate.pl -h para ver todas as possibilidades que o script oferece, aqui veremos algumas das mais interessantes!

 

Já no Centreon, criar os Comandos,

Vamos criar os 2 Comandos de que precisaremos para poder obter os valores das métricas, um deles terá valores de Aviso e de Crítico caso queiramos personalizar os valores ao criar os Serviços.

 

O que eu disse, desde “Configuração” > “Comandos” Criar 2 Comandos:

  • Nome do comando: check_fortigate.pl_wc
  • Tipo de comando: $CENTREONPLUGINS$/check_fortigate.pl -H $HOSTADDRESS$ -C $_HOSTSNMPCOMMUNITY$ -T $ARG1$ -w $ARG2$ -c $ARG3$
  • Argumentos: Criamos 3 Argumentos, Clique em “Descrever argumentos” e registamo-los: ARG1 : Cara, ARG2 : Aviso e ARG3 : Crítico.

 

  • Nome do comando: check_fortigate.pl
  • Tipo de comando: $CENTREONPLUGINS$/check_fortigate.pl -H $HOSTADDRESS$ -C $_HOSTSNMPCOMMUNITY$ -T $ARG1$
  • Argumentos: Criamos 1 argumento, Clique em “Descrever argumentos” e registamos-no: ARG1 : Cara

 

 

Criar o Host,

 

Simplesmente tendremos que dar de alta no nosso Centro do nosso firewall de Fortigate, Não? Para ello crearemos el Host desde “Configuração” > “Hosts”. Si disponemos de um clúster de firewalls o que se monitoriza em todo o momento é o FW ativo, y no el passivo; portanto, damos de alta la IP do nosso clúster e depois já veremos como monitorizar os firewalls esclavos. Indicamos como sempre o seu nome, su dirección IP, comunidade SNMP y a versão. Lo associamos a nossa plantilla administrativa y listo!

 

Crear los Servicios,

Agora temos que criar tantos Serviços como ítems querramos monitorizar (que se a CPU, memoria…), os deixo muito brevemente um resumen dos Serviços que estou a usar yo, com o Comando que foram associados e os argumentos que precisam.

 

 

Para saber o estado de la saúde do clúster crearemos este serviço:

  • Descrição: Cluster
  • Comando Check: check_fortigate.pl
  • Argumento: Cluster

 

 

Para saber el uso de CPU, creamos este serviço:

  • Descrição: CPU
  • Comando Check: check_fortigate.pl_wc
  • Argumentos: CPU, 80, 90.

 

Para saber o consmumo de Memoria RAM, creamos este serviço:

  • Descrição: MEM
  • Comando Check: check_fortigate.pl_wc
  • Argumentos: CPU, 80, 90.

 

Nada mau, si queremos monitorizar el consumo de cualquier interfaz, sean físicas como las WAN1 o WAN2, la DMZ, boca de MANAGEMENT o las interfaces de HA, las VLAN o VPN, podremos previamente saber a qué ID de interface corresponderá qué red, por isso, simplemente desde la shell del Centreon executamos:

[Código-fonte]snmpwalk -Os -c COMUNIDAD_SNMP -v 2c DIRECCION_IP_FORTIGATE | grep ifName.[/Código-fonte]

 

 

E é isso, creamos tantos Serviços como interfaces querramos monitorizar, por exemplo la WAN1 de mi forti que es una línea de fibra que va a 600Mb:

  • Descrição: Interface WAN1
  • Comando Check: check_centreon_snmp_traffic_id
  • Argumentos: 3, 80, 90, 2, 300.

Nota, este Comando si no lo tienes, lo vimos en un Postagem anterior, quando monitorizabamos las interfaces de red de un Windows, Linux…

 

 

Para saber el estado de las conexiones VPN, podremos mirar de forma individual se nos interessamos, por tipo de VPN, si son IPSEC o SSL… mas neste exemplo o monstro de forma global, tengo 3 VPNs levantadas y con que me avise si se cae alguma já vale, Não?

  • Descrição: VPNs
  • Comando Check: check_fortigate.pl
  • Argumentos: VPN

 

 

 

Se queremos conhecer as Sessões ativas que tem o firewall pues este mesmo… pero ojo! que agora te digo um truco, se queres conhecer as métricas do outro firewall, ir, del pasivo, que sepas que metiendo un '-s’ al final lo obtendrás, lo cuqui es haber hecho un Comando para ello, mas se te interessa o dicho, saber a CPU do esclavo o o que fuere, faz como na imagem de arriba.

  • Descrição: Sessões
  • Comando Check: check_fortigate.pl_wc
  • Argumentos: ses, 2000, 3000.

 

 

Resultado!

 

Badaboom! aqui temos o resultado de lo que estaríamos monitorizado, uma vez criados todos los serviços y agarrada la configuração, veremos el resultado! Uma maravilha! Tenemos ya los fortis monitorizados! Espero os haya gustado 🙂

 

Postagens recomendadas

VPN com Citrix NetScaler III - Autenticação com certificados
Ler
Métricas FortiGate com Prometheus e Grafana
Ler
VPN com Citrix NetScaler IV - Sempre ligado
Ler
Monitoramento do Crowdsec com o Centreon
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Migrando o serviço DHCP do Windows 2003 para Windows 2016

4 Dezembro 2018

Gestionando el calendario desde Nextcloud

13 Dezembro 2018