Checkmk

Checkmk#

Checkmk è una piattaforma di monitoraggio utilizzata per supervisionare server, dispositivi di rete e appliance. Il firewall può essere monitorato con Checkmk installando i pacchetti extra di NethSecurity descritti in questo capitolo.

Pacchetti NethSecurity#

L’integrazione di Checkmk per NethSecurity è suddivisa in due pacchetti:

  • checkmk-agent è il pacchetto agente standard di Checkmk.

  • ns-checkmk-utils aggiunge script di monitoraggio specifici per NethSecurity ed è opzionale.

L’installazione di ns-checkmk-utils include anche checkmk-agent come dipendenza. Se è necessario solo l’agent upstream, installare esclusivamente checkmk-agent.

Installa i pacchetti#

Installare l’agente e i controlli opzionali di NethSecurity dalla riga di comando:

opkg update
opkg install ns-checkmk-utils

Dopo l’installazione, il servizio dell’agente è gestito da /etc/init.d/check_mk_agent ed è avviato e abilitato all’avvio per impostazione predefinita.

Utilizzare il seguente comando per verificare lo stato:

/etc/init.d/check_mk_agent status

Verificare l’output localmente con:

check_mk_agent

Consenti il monitoraggio remoto#

L’agente ascolta sulla porta TCP 6556. Per impostazione predefinita, il traffico proveniente dalla LAN è consentito, ma se si dispone di una configurazione firewall più restrittiva, potrebbe essere necessario consentire l’accesso a questa porta dal server di monitoraggio Checkmk.

È possibile aggiungere una regola del firewall per consentire l’accesso direttamente dall’interfaccia utente web, vedere Regole, oppure utilizzare l’interfaccia a riga di comando per aggiungere una regola.

Ad esempio, per consentire l’accesso da un host di monitoraggio nella LAN:

uci add firewall rule
uci set firewall.@rule[-1].name='Allow-Checkmk'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].proto='tcp'
uci set firewall.@rule[-1].dest_port='6556'
uci set firewall.@rule[-1].target='ACCEPT'
uci commit firewall
/etc/init.d/firewall restart

Tenere presente che, se il server di monitoraggio si trova in una zona diversa, sarà necessario regolare di conseguenza la zona di origine e l’indirizzo.

Quando la regola è attiva, il server di monitoraggio può connettersi al firewall e leggere l’output dell’agente, inclusi i controlli opzionali di NethSecurity.