FortiGate

FortiGateをREST APIを用いて監視しよう (前編)

この記事は投稿日から2年以上経過しています。

本記事では前後編にわたり、REST APIを使ってFortiGateを監視するまでの流れを紹介します。
前編ではFortiGateのREST APIの紹介と設定方法を、後編ではLogStare Collectorのメトリクス監視を用いて監視するための設定を行っていきます。 

若手エンジニア志望者を募集!支度金あり

REST APIの利用について 

旧来、FortiGateの設定変更やログ取得など、FortiGateに対する作業は筐体へ何らかの形でログインをして実施する必要がありました。
しかし、昨今では運用自動化が推し進められ、FortiGateに限らず他社アプライアンスでもAPIの実装が進みました。その結果、APIを用いたリクエストによって、FortiGateへ作用を働かせられるようになりました。 

本記事では監視目的だけにREST APIを用いますが、REST APIは監視に限らず現行設定値の取得、設定変更にも用いることができます。 

FortiGateREST API実装手順 

以下の資料をもとに設定を行っていきます。
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/940602 

対象バージョン 

 FortiOS: 7.0 , 7.2 

REST API利用設定 

  1. システム > 管理者プロファイルからAPI管理者用プロファイルを作成します。

    ※REST APIを用いたリソースの監視値を取得する際の最小限の権限設定について、明確な記載のあるドキュメントは探した限りでは見つかりませんでした。アクセス権限において、「システム」> 「設定」を「なし」に変更すると、本記事で取得を想定しているエンドポイントへのリクエストは失敗することから、最小限の権限設定と判断しています。設定時にはご注意ください。  
  2. システム > 管理者 よりREST API管理者の作成画面に切り替えます。

  3. 1.で作成したプロファイルを用いて、管理者設定を行います。
    「PKIグループ」と「オリジン間リソース共有許可」は必要に応じて設定します。
    「信頼されるホストにログインを制限」については、検証目的でない限り設定しましょう。セキュリティ上のリスクを抑えることができます。


  4. 生成されたAPIキーを保管します。

REST API実行
 

  1. リソース使用量を取得できるか確認します。
    「REST API管理者」においてアクセスが許可されるIPアドレスを持つデバイスから以下のURLにリクエストを行います。
    クエリパラメータ「access_token=」の値は、生成されたAPIキーとなります。

    https://[FortiGateのアクセス先]/api/v2/monitor/system/resource/usage?access_token=***

     

  2. ステータスコード200の応答があれば、取得に成功しています。
    それ以外のステータスコードが応答される、あるいはレスポンスがない場合には、設定が妥当であるのかを確認します。 

まとめ 

前編については以上です。REST API設定について解説しました。
後編では取得されるJSONフォーマットのレスポンスを用いて監視を行う方法を案内します。

後編に続きます。 

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【2023年版】FortiGateのSSL-VPN設定方法前のページ

LogStare Collector リファレンス・逆引きマニュアル次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. ログフォワーダー「okurun.jar」について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. FortiGate

    【FortiGate】SNAT時に変換される送信元IPアドレスの選定フロー

    FortiGateのNATを利用する場合に、送信元IPアドレス変換(S…

  2. FortiGate

    FortiGate NAT設定(VIP)の確認事項

    正しくNATの設計を行わないと、NATが動作しない、意図した送信元IP…

  3. NW機器

    Fortinet製品における認証バイパスの脆弱性(CVE-2022-40684)に対するFortiO…

    ※本記事の内容は、2022年10月18日現在の公開情報およびセキュアヴ…

  4. FortiGate

    まずは、FortiGateを監視したい!

    初めてLSCを導入される方が、FortiGate側の準備、LSCをイン…

  5. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

  6. NW機器

    FortiGate にSNMP (v1, v2c) / Syslog 設定を追加する

    当記事では、FortiGate からSNMP 並びにSyslog を取…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. 実践記事

    DNSキャッシュポイズニングやってみた
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP