この記事では、ネットワーク監視ソフトウェア「PRTG Network Monitor」(以下、PRTG)を使用して、FortiGateファイアウォールのCPU・メモリ使用状況、セッション数、VPN接続状態などのシステム統計をREST API経由で監視する方法を紹介します。
文:ジュピターテクノロジー やすだ
※この記事に掲載されている商品またはサービスの名称等は、各社の商標または登録商標です。
はじめに:FortiGateファイアウォール監視の重要性
FortiGateファイアウォールのパフォーマンスを維持するには、セッション数やCPU、メモリ使用率の監視が重要です。
これらの指標を確認することで、高負荷やリソース不足を早期に検知し、安定したネットワーク運用につながります。
PRTGでFortiGateファイアウォールを監視するメリット
かんたんに監視を始められる
PRTGには、FortiGateファイアウォールをREST APIで監視するための専用センサー(定義済み監視テンプレート)が用意されています。
FortiGateでREST APIを有効にすれば、センサーを選ぶだけで監視を開始できます。
セッション数やCPU・メモリ使用率に加え、VPNの状態も確認できます。
FortiGate以外の機器もまとめて監視
PRTGなら、FortiGateに限らず、マルチベンダー環境のネットワーク機器やサーバーも一元的に監視でき、運用負荷を軽減できます。
PRTG監視画面の例
PRTGはセンサー(定義済み監視テンプレート)を使って監視を行います。ここでは、FortiGateファイアウォールをREST APIで監視するセンサーを紹介します。
「FortiGate システム統計」センサー
FortiGateのシステム統計情報をまとめて監視するセンサーです。
以下の項目を監視します:
- CPU使用率
- メモリ使用率
- アップタイム(連続稼働時間)
- セッション数
- コンサーブモードの状態
CPU・メモリ・コンサーブモードは、デフォルトのしきい値で異常時にアラートを発報します。
※監視できる項目は、FortiGateの仕様・設定によって異なる場合があります。
収集したデータは、時系列グラフやテーブルで表示できます。以下は、30日グラフの表示例です。
必要な監視項目のみの表示にすぐに切り替えることができます。
セッション数のみを表示した例
セッション数のみを表示してみると、平日日中帯にセッション数が上昇している様子がわかります。
CPU・メモリのみ表示した例
メモリ使用率は50%前後、CPU使用率は10%前後で推移しています。
アップタイム(稼働時間)、コンサーブモードを表示した例
このグラフから、最後に再起動したタイミングや、この1か月間にコンサーブモードに移行していないことがわかります。
「FortiGate VPN の概要」センサー
VPN接続状況を監視します。
以下の項目を確認できます:
- IPsecトンネル数
- SSL接続クライアント数
トンネルがダウンすると、アラートが発報されます。
監視手順
ここから、PRTGでFortiGateを監視する手順を紹介します。
FortiGate側でREST APIトークンを作成
REST APIで監視するには、FortiGateでAPIトークンを作成します。FortiGateのGUIで以下の手順を実行します。
- システム > 管理者 > 新規作成 > REST API管理者 に進み、新しいREST APIユーザーを作成
- 「ユーザー名」、「管理者プロファイル」を設定(項目「設定」が「読取り」である必要あり)
- 「PKIグループ」が不要なら無効化
- 「信頼されるホスト」にPRTGのIPアドレスが含まれるように設定
- 作成後に表示される「新規APIキー」を保管
※詳しい手順は、FortiGateのマニュアルや以下のメーカーBlog(英語)をご参照ください。
Monitoring FortiGate Firewalls with Paessler PRTG
PRTGでFortiGateをデバイスとして登録
PRTGは監視対象機器をデバイス(監視対象)として追加して監視を行います。FortiGateファイアウォールの管理IPアドレスをPRTGのデバイスとして追加します。
PRTGのWeb GUIで次の操作を行います。
「+」アイコン|「デバイスの追加」をクリック
デバイスを登録する場所を選択して「OK」をクリック
「新規デバイスの追加」画面で以下を入力して「OK」をクリック
デバイス名:<任意のデバイス名>
IPV4 アドレス/DNS 名:<FortiGateファイアウォールの管理IPアドレス>
「FortiGateの資格情報」のチェックを外し、「API トークン」にFortiGateで生成したAPIトークンを入力
「ポート」はFortiGateで変更している場合は、REST APIで使用するポート番号を入力
「保存」をクリック
これでFortiGateファイアウォールをデバイス(監視対象)として登録できました。
センサーの追加
PRTGはセンサー(定義済み監視テンプレート)をデバイスに追加して監視を行います。PRTGのWeb GUIで次の操作を行います。
FortiGateファイアウォールのデバイスの「センサー追加」クリック
「センサーの追加」画面へ移動するので、「検索」フィールドに「fortigate」と入力
FortiGate用のセンサーが表示されるので、追加したいセンサーをクリック
ここでは「FortiGate システム統計」をクリック
「作成」をクリック
センサーが追加され、監視データーの収集が始まりました。
帯域幅やNetFlow監視も可能
その他にも、FortiGateでSNMPを有効にすれば、インターフェイスごとの帯域幅(トラフィック量)もセンサーで監視できます。
FortiGate側でSNMPを有効にし、「SNMP トラフィック」センサーを追加してください。センサーについては「PRTG Network Monitor専門 情報発信サイト」より以下の紹介資料をご覧ください。
「SNMP トラフィック」センサー紹介資料
また、FortiGateが「Flow」出力をサポートしていれば、「xFlow」センサーでトラフィックの内容を分析できます。「PRTG Network Monitor専門 情報発信サイト」より以下の紹介資料をご覧ください。
「xFlow」センサー紹介資料
まとめ
PRTGでは、FortiGateファイアウォールのセッション数、CPU・メモリ使用率、VPNの状態などをREST APIで簡単に監視できます。
FortiGateに限らず、サーバーや他のネットワーク機器も含めて一元監視できるため、運用管理を効率化できます。
PRTGは他にもサーバー、ネットワーク機器、仮想環境、クラウドまで、すべてを一元監視できます。
トライアル版、フリー版もございます。オールインワンネットワーク監視PRTGをぜひお試しください。
