vendredi 10 février 2012

Grapher sous Cacti le nombre de Sessions VPN d'un Fortigate

Nous allons tracer sous Cacti le nombre de sessions VPN d'un Fortinet Fortigate 800.
Cacti est un outil permettant d'afficher sur des graphes des valeurs extraites d'éléments réseau ou de serveurs. On supervise ainsi ses équipements et facilite la prévision/résolution d'incidents.

Fortigate est une plateforme de sécurité de l'éditeur Fortinet.
http://www.fortinet.com/products/fortigate/

Configuration de Cacti :
La documentation de Cacti explique très bien la méthode pour tracer des graphes a partir de scripts personalisés ici : http://docs.cacti.net/manual:087:3a_advanced_topics.1_data_input_methods#data_input_methods

et pour un script à plusieurs sorties il faut forger la sortie de cette manière :
http://www.cacti.net/downloads/docs/html/making_scripts_work_with_cacti.html

Edit 05/03/2012 :
Faire Data Input Method : ajouter les argument/sorties du script
Data Template : indique quels sont les paramètres variables
Data Source : Specifier le host et les paramètre
Device : Graph List : Indiquer quel Data Source utiliser.

Script :

La MIB SNMP du Fortinet ne donne pas directement l'information sur le nombre de tunnels VPN (IPSec dans mon cas). En revanche, il donne les tunnels actifs. On va donc compter le nombre d’occurrences d'apparition des tunnels.

En gros, le script se comporte de la manière suivante:
- récupération des paramètres et du motif de MIB recherché (pour nous ce sera le Vpn),
- snmpwalk pour parcourir la MIB,
- grep avec l'option -c pour compter le nombre d'occurences du motif.

Le script retourne un entier qui sera utilisé par cacti.
#!/bin/bash
#nb_occur_motif.sh
#Script retournant le nombre d'occurences de la MIB d'un fortinet
#Ecrit sous license GPLv3
#Plus d'informations : https://www.gnu.org/licenses/gpl.html
scrpt=${0##*/} # script name
#usage
if [[ "$#" -ne 3 ]]; then
    echo "#################################################"
    echo "# "
    echo "# $scrpt <Hostname> <Community> <motif>"
    echo "# "
    echo "# Retourne le nombre d'occurences du motif"
    echo "# dans le cas d'un equipement Fortigate"
    echo "# "
    echo "#################################################"
    exit
fi
HOST=$1
CNAME=$2
MOTIF=$3
VERSION="2c"
FORTINET=".1.3.6.1.4.1.12356.9"
OID=${FORTINET}${MOTIF}
#echo "snmpwalk -v $VERSION -c $CNAME $HOST $OID | wc -l"
snmpwalk -v $VERSION -c $CNAME $HOST $OID | wc -l
Le motif:

Il suffit ensuite de rentrer un motif correspondant au bon OID.
Fortigate 800 3.00-b0568(MR5 Patch 3) : ".4.1.1" (celle qui se trouve dans la doc d'administration du fortinet)
Fortigate 800 3.00,build0247,060413 : ".1.1.1"
EDIT (21/02/2012) : en comptant le nombre d’occurrences avec snmpwalk de l'OID  .1.3.6.1.4.1.12356.9.4.1.1, on compte seulement le nombre de tunnels configurés, et non le nombre de sessions actives.
Il faut faire de la même manière, mais compter le nombre de 1 (pour les tunnels up) et de 2 (pour les tunnels down) de l'OID .1.3.6.1.4.1.12356.9.4.1.20. J'ai mis au point un script palliatif pour le moment, mais je préférerai ne faire qu'un snmpwalk pour économiser les ressources réseau, et donc utiliser un awk. Je le mettrai dès qu'il sera prêt.
J'en profite d'ailleurs pour sortir deux valeurs du script : le nombre de tunnels UP et Total.



Script palliatif (seulement pour les motifs 4.1.20) :


#!/bin/bash
#nb_occur_motif.sh
#Script retournant le nombre d'occurences de la MIB d'un fortinet
#Ecrit sous license GPLv3
#Plus d'informations : https://www.gnu.org/licenses/gpl.html
scrpt=${0##*/} # script name
#usage
if [[ "$#" -ne 3 ]]; then
echo "#################################################"
echo "# "
echo "# $scrpt <Hostname> <Community> <motif>"
echo "# "
echo "# Retourne le nombre d'occurences du motif"
echo "# dans le cas d'un equipement Fortigate"
echo "# "
echo "#################################################"
exit
fi
HOST=$1
CNAME=$2
MOTIF=$3
VERSION="2c"
FORTINET=".1.3.6.1.4.1.12356.9"
OID=${FORTINET}${MOTIF}
#echo "snmpwalk -v $VERSION -c $CNAME $HOST $OID | wc -l"
NBUP=`snmpwalk -v $VERSION -c $CNAME $HOST $OID | grep -i ": 1" | wc -l`
NBTOT=`snmpwalk -v $VERSION -c $CNAME $HOST $OID | grep -i ": " | wc -l`
#echo $NBUP
#echo $NBTOT
echo "<nbup>:<$NBUP> <nbtot>:<$NBTOT>"


Conclusion :

A vos graphes !

Aucun commentaire:

Enregistrer un commentaire