Palo Alto firewall SSH
Contenu du connecteur de supervision​
Objets supervisés​
Le connecteur de supervision inclue la supervision du système, des interfaces, des licences, des ipsec, de la haute disponibilité entre les nœuds et des composants matériels en utilisant des commandes systèmes.
Règles de découvertes​
- Services
| Rule name | Description |
|---|---|
| Net-PaloAlto-Standard-SNMP-Packet-Errors-Name | Découverte des interfaces et contrôle des paquets en erreurs |
| Net-PaloAlto-Standard-SNMP-Traffic-Name | Découverte des interfaces et contrôle de leur statut et de la bande-passante |
Métriques collectées​
- Environnement
- HA
- Interfaces
- IPSec
- Licenses
- System
| Metric name | Description | Unit |
|---|---|---|
| hardware.temperature.celsius | Temperature of the different sensors | C |
| hardware.voltage.volt | Voltage of the different sensors | V |
| Metric name | Description | Unit |
|---|---|---|
| sync status | HA Sync status | |
| member status | HA member status | |
| link status | HA Link status |
| Metric name | Description | Unit |
|---|---|---|
| interfaces.total.count | Total number of interfaces | count |
| interfaces status | Status of the interface operationnal and high availability state |
| Metric name | Description | Unit |
|---|---|---|
| tunnels.ipsec.total.count | Total number of ipsec tunnels | count |
| Metric name | Description | Unit |
|---|---|---|
| status | Licence validity check of enabled features Sync status |
| Metric name | Description | Unit |
|---|---|---|
| system.antivirus.lastupdate.time.seconds | Last antivirus update | s |
| system.threat.lastupdate.time.seconds | Last threat update | s |
| system.sessions.traffic.count | Number of traffic sessions | count |
| system.sessions.total.active.count | Total number of active sessions | count |
Prérequis​
Afin de fonctionner, le Plugin nécessite une connexion SSH entre le Collecteur et le pare-feu Palo Alto. L'utilisateur distant doit avoir assez de privilèges pour exécuter des commandes systèmes.
Installation​
- Online License
- Offline License
- Installer le Plugin sur tous les Collecteurs Centreon :
yum install centreon-plugin-Network-Firewalls-Paloalto-Standard-Ssh
- Sur l'interface Web de Centreon, installer le connecteur de supervision Palo Alto firewall SSH depuis la page Configuration > Gestionnaire de connecteurs de supervision
- Installer le Plugin sur tous les Collecteurs Centreon :
yum install centreon-plugin-Network-Firewalls-Paloalto-Standard-Ssh
- Sur le serveur Central Centreon, installer le connecteur de supervision via le RPM:
yum install centreon-pack-network-firewalls-paloalto-standard-ssh
- Sur l'interface Web de Centreon, installer le connecteur de supervision Palo Alto firewall SSH depuis la page Configuration > Gestionnaire de connecteurs de supervision
Configuration​
Ce connecteur de supervision est conçu de manière à avoir dans Centreon un hôte par pare-feu Palo Alto. Lorsque vous ajoutez un Hôte à Centreon, appliquez-lui le modèle Net-PaloAlto-Standard-SSH-custom. Une fois celui-ci configuré, certaines macros doivent être renseignées:
- sshcli backend
- plink backend
- libssh backend (par défaut)
| Mandatory | Name | Description |
|---|---|---|
| X | SSHBACKEND | Nom du backend: sshcli |
| X | SSHUSERNAME | Par default, il utilise l'utilisateur en cours d'exécution centengine de votre Collecteur |
| SSHPASSWORD | Ne peut pas être utilisé avec le backend. Seulement avec la clé d'authentication | |
| SSHPORT | Par default: 22 | |
| SSHEXTRAOPTIONS | Personnalisez-le avec le vôtre si nécessaire. E.g.: --ssh-priv-key=/user/.ssh/id_rsa |
Avec ce backend, il est nécessaire d'effectuer une connexion manuelle entre l'utilisateur centreon-engine du Collecteur et l'utilisateur applicatif créé sur le serveur distant. (Macro SSHUSERNAME).
| Mandatory | Name | Description |
|---|---|---|
| X | SSHBACKEND | Nom du backend: plink |
| X | SSHUSERNAME | Par default, il utilise l'utilisateur en cours d'exécution centengine de votre Collecteur |
| SSHPASSWORD | Peut être utilisé. Si aucune valeur n'est définie, l'authentification par clé ssh est utilisée | |
| SSHPORT | Par default: 22 | |
| SSHEXTRAOPTIONS | Personnalisez-le avec le vôtre si nécessaire. E.g.: --ssh-priv-key=/user/.ssh/id_rsa |
Avec ce backend, il est nécessaire d'effectuer une connexion manuelle entre l'utilisateur centreon-engine du Collecteur et l'utilisateur applicatif créé sur le serveur distant. (Macro SSHUSERNAME).
| Mandatory | Name | Description |
|---|---|---|
| X | SSHBACKEND | Nom du backend: libssh |
| SSHUSERNAME | Par default, il utilise l'utilisateur en cours d'exécution centengine de votre Collecteur | |
| SSHPASSWORD | Peut être utilisé. Si aucune valeur n'est définie, l'authentification par clé ssh est utilisée | |
| SSHPORT | Par default: 22 | |
| SSHEXTRAOPTIONS | Personnalisez-le avec le vôtre si nécessaire. E.g.: --ssh-priv-key=/user/.ssh/id_rsa |
Avec ce backend, vous n'avez pas à valider manuellement le fingerprint du serveur cible.
Comment puis-je tester le Plugin et que signifient les options des commandes ?​
Une fois le Plugin installé, vous pouvez tester celui-ci directement en ligne de commande depuis votre Collecteur Centreon avec l'utilisateur centreon-engine
/usr/lib/centreon/plugins/centreon_paloalto_ssh.pl \
--plugin=network::paloalto::ssh::plugin \
--mode=environment \
--hostname=10.30.2.81 \
--ssh-username=centreon \
--ssh-password='centreon-password' \
--ssh-backend=sshcli \
--component='.*' \
--verbose
Exemple de sortie:
OK: All 12 components are ok [4/4 psus, 4/4 temperatures, 4/4 voltages].
Checking power supplies
Power supply 'Power Supply A1' status is normal [instance: 1].
Power supply 'Power Supply B1' status is normal [instance: 2].
Power supply 'Power Supply A2' status is normal [instance: 1].
Power supply 'Power Supply B2' status is normal [instance: 2].
Checking temperatures
Temperature sensor on slot 1' temperature is 69C [instance: 18.1].
Temperature sensor on slot 2' temperature is 59C [instance: 40.1].
Temperature sensor on slot 3' temperature is 57C [instance: 89.1].
Temperature sensor on slot 4' temperature is 67C [instance: 89.2].
Checking voltages
1,500V voltage sensor, slot 1' voltage is 1,732 V [instance: 18.1].
1,800V voltage sensor, slot 1' voltage is 1,072 V [instance: 18.2].
1,500V voltage sensor, slot 2' voltage is 1,732 V [instance: 89.1].
1,800V voltage sensor, slot 2' voltage is 1,072 V [instance: 89.2].
La commande ci-dessus contrôle les composants matériels du pare-feu Palo Alto (--mode=environment).
Le Plugin utilise le Backend sshcli (--ssh-backend='sshcli') avec l'utisateur centreon (--ssh-username=centreon),
son mot de passe (--ssh-password='centreon-password') et il se connecte à l'hôte 10.30.2.81 (--hostname='10.30.2.81').
Toutes les options et leur utilisation peuvent être consultées avec le paramètre --help ajouté à la commande :
/usr/lib/centreon/plugins/centreon_paloalto_ssh.pl \
--plugin=network::paloalto::ssh::plugin \
--mode=environment \
--help
Troubleshooting​
J'ai ce message d'erreur : UNKNOWN: Command error: Host key verification failed.. Qu'est-ce que cela signifie ?​
Cela signifie que vous n'avez pas validé manuellement la signature (fingerprint) du serveur cible avec libssh ou plink sur le Collecteur Centreon.