FortiGate

FortiGate 取得するべきSNMPトラップの種類と監視方法

この記事は投稿日から1年以上経過しています。

本記事では、以下の内容を取り上げています。
- FortiGateにおいてメーカが推奨しているSNMPトラップの種類の紹介
- SNMPトラップ(v2)の通知概要
- 各トラップの通知内容紹介
- LogStare Collectorで監視する方法
SNMPやSNMPトラップについて確認したい場合には以下の記事をご参照ください。
SNMPとは?新入社員が生まれてはじめて触ってみた!

FortinetがFortiGateにおいて取得を推奨しているトラップ

  • LinkUp
    1.3.6.1.6.3.1.1.5.4
  • LinkDown
    1.3.6.1.6.3.1.1.5.3
  • fgFmTrapIfChange
    1.3.6.1.4.1.12356.101.6.0.1004
  • fgTrapDeviceNew
    1.3.6.1.4.1.12356.101.2.0.1101.1201
  • fgTrapAvOversize
    1.3.6.1.4.1.12356.101.2.0.602

上記のイベントの取得が以下のメーカドキュメントにおいて推奨されています。
FortiGate 重要なSNMPトラップ
(FortiGate v7.0 / v7.2)

SNMPトラップの通知概要

FortiGateからのいずれのトラップにも以下の構成要素が含まれています。(SNMPv2 Trapを利用しています。)

  • requestID : エージェントがトラップを送る際に、メッセージへ含める一意な番号です。
  • errorStatus : トラップのエラーを含めています。0であれば正常です。
  • errorIndex : トラップメッセージ生成時にOIDが存在しないために取得できなかった要素が入ります。0であれば正常です。
  • VBS : Variable Binding Listといい、通知内容が記載されている場所となります。
    Variable Bindingとは変数の名前とその値の組を表すものです。
    ここでいう変数の名前とは、「=」の左辺です。通知をした端末の状態などが含まれます。

たとえば、VBSに以下のVariable Bindingが存在するとします。
① 1.3.6.1.2.1.1.3.0 = 4:22:31:52;
② 1.3.6.1.6.3.1.1.4.1.0=1.3.6.1.6.3.1.1.5.4;

① 1.3.6.1.2.1.1.3.0はsysUpTimeを表すOIDです。右辺は筐体のUpTimeとなります。
➁ 1.3.6.1.6.3.1.1.4.1.0はトラップOIDを表すOIDです。1.3.6.1.6.3.1.1.5.4;は、リンクアップをしたことを通知するSNMPトラップであることが分かります。

各SNMPトラップの通知内容

※LogStare Collectorで収集したログを基にしています。
※fgTrapDeviceについてはTrapを生成できなかったため省略しております。

LinkUp

VB内の情報(上から)
- Uptime
- LinkUpのSNMPトラップ
- インターフェースの識別子
- インターフェースのパケット転送可否(1ならば正常)
- 現在のLink状態
- FortiGateのホスト名
- FortiGateのシリアルナンバー
- インターフェース名
- インターフェースに設定したDescription

生成方法:インターフェースに対してケーブルを結線すると生成されます。

LinkDown

VB内の情報(上から)
- Uptime
- LinkDownのSNMPトラップ
- インターフェースの識別子
- インターフェースのパケット転送可否
- 現在のLink状態
- FortiGateのホスト名
- FortiGateのシリアルナンバー
- インターフェース名
- インターフェースに設定したDescription

生成方法:インターフェースからケーブルを抜線すると生成されます。

fgFmTrapIfChange

- Uptime
- インターフェースのIPアドレスが変更されたSNMPトラップ
- FortiGateのシリアルナンバー
- インターフェース名
- 変更後のIPアドレス
- 変更後のサブネットマスク
- 変更後のIPv6のIPアドレス

生成方法:インターフェースのIPアドレスの設定を変更すると生成されます。

fgTrapAvOversize

- Uptime
- FortiGateにおいてアンチウィルスの精査上限サイズに到達したファイルがあったというSNMPトラップ
- FortiGateのホスト名
- FortiGateのシリアルナンバー

生成方法:アンチウィルスの許容量を超えるファイルをダウンロードすると生成されます。
オーバーサイズの最大閾値
私はoversize-limitの値を小さくすることで、確認しやすくしました。

FortiGateのSNMPトラップを監視し、収集する方法

ここではLogStare Collectorを用いて、上記トラップを監視する方法を記載します。

なお、本項の手順を踏襲すると、FortiGateにおける重要なSNMPトラップが発生した際に、LogStare Collectorに設定されたメール通知設定に従って、通知が行われます。

設定手順

  1. FortiGateのSNMP設定はこちらをご参照ください。
  2. LogStare Collectorを用いてSNMPの監視設定をするには、以下のフローで対応します。
    (※Logstare Colloectorをインストールしている前提となります。)

    1. FortiGateのデバイス登録を行います。
      監視対象デバイスの設定
    2. LogStare Collectorにアラートメール設定をします。
      アラートメールの仕様(環境設定/個別設定)
    3. FortiGateのSNMPトラップ設定を行います。
      以下の設定を行うと、上記重要なSNMPトラップが発生した場合に、メ―ルで通知されます。

SNMPトラップ設定箇所

OID(インスタンス)  インスタンス値 通知文言
設定1 1.3.6.1.6.3.1.1.4.1.0 1.3.6.1.6.3.1.1.5.4 Interface LinkUp
設定2 1.3.6.1.6.3.1.1.4.1.0 1.3.6.1.6.3.1.1.5.3 Interface LinkDown
設定3 1.3.6.1.6.3.1.1.4.1.0 1.3.6.1.4.1.12356.101.6.0.1004 IP has Change<fgFmTrapIfChange>
設定4 1.3.6.1.6.3.1.1.4.1.0 1.3.6.1.4.1.12356.101.2.0.1101.1201 A New Device is found<fgTrapDeviceNew>
設定5 1.3.6.1.6.3.1.1.4.1.0 1.3.6.1.4.1.12356.101.2.0.607 oversized file has been detect<fgTrapAvOversize>

 

テスト方法

最後に各トラップを生成して、想定通り稼働するか確認をしてください。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare Collectorの再起動手順について前のページ

AWS EC2のCPUクレジットとは、無くなる前にLSCで監視して気づこう次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    FortiGateのコンサーブモードについて

    UTMにはコンサーブモード(節約モード)に切り替わる製品があります…

  2. NW機器

    FortiGateの送信元NAT/宛先NAT設定について

    当記事では、FortiGateにおける送信元NAT(Source NA…

  3. FortiGateの冗長化構成におけるha-direct設定方法について

    NW機器

    FortiGateの冗長化構成(HA構成)におけるha-direct設定について

    当記事では、冗長構成(HA構成)のFortiGateにおけるha-di…

  4. FortiGate

    [FortiGate]Webフィルタの設定方法と確認方法について

    新人社員のINAです。本記事ではFortiGateでWebフィルタ…

  5. NW機器

    OpenSSLの脆弱性(CVE-2022-0778)に対する各UTM/IPS/WAFの対応状況につい…

    セキュアヴェイルの新入社員となりました新社会人 0x90 がOpenS…

  6. NW機器

    【2021/12/29更新】Log4jの脆弱性(CVE-2021-44228)に対する各UTM/IP…

    ※本記事の内容は、2021年12月13日現在の公開情報をもとに記載して…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  3. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP