MENU
【注意】FortiGate ver.7.4.5 からすべてのモデルでファームウェア自動更新機能がデフォルト有効になりました> Membership
  1. ホーム
  2. Network
  3. FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]

FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]

Network
目次

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、SNMP 監視のための設定を行う方法について説明します。SNMP v1/v2c の場合の設定方法と、SNMP v3 の場合の設定方法について記載します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

  • FortiGate-60F
    • バージョン 7.4.3

SNMP 監視とは

ネットワーク内には、各ネットワーク機器について異常が発生していないかを監視する「監視サーバ」が存在します。監視サーバは機器状態確認用のプロトコルである SNMP を使用し、対象機器からステータス情報を取得します。また逆にネットワーク機器から監視サーバに対して自発的に状態変化を通知する SNMP トラップという仕組みもあります。もし機器ステータスに異常があれば監視サーバはアラートを出し管理者に異常を伝えます。これが SNMP 監視です。

監視サーバにて SNMP で機器監視をするためには、被監視機器にて SNMP 設定を行っておく必要があります。

SNMP にはいくつかバージョンあります。

現在最も利用されているのは SNMP v1 または v2c です。v1 と v2c の基本的な仕組みは同じなので機器での SNMP 設定内容は同じです。SNMP v1/v2c ではコミュニティと呼ばれる文字列によって認証を行います。

新しいバージョンとして SNMP v3 があります。SNMP v3 は過去から続いているネットワークではほとんど使用されていませんが、新しいネットワークでは採用されている場合があります。SNMP v3 では v1/v2c のようなコミュニティは使用せず、代わりにユーザ名とパスワードを使用して認証を行います。また、v1/v2c に無かった暗号化機能をオプションで使用することができます。

SNMP v1/v2c の設定方法

GUI での SNMP v1/v2c の設定方法

STEP
SNMP 設定画面の表示

GUI にログインし左側のメニューから「システム > SNMP」をクリックします。

STEP
SNMPエージェントの有効化とSNMPv1/v2c設定の追加

以下のSNMP画面が表示されるため、次の通り設定します。

  • SNMPエージェント」のトグルスイッチを有効化します
  • 説明」「ロケーション」「コンタクト情報」を設定する場合は各項目の値を入力します
  • SNMP v1/v2c」欄の「新規作成」をクリックします
STEP
SNMP v1/v2c コミュニティ設定

新規SNMPコミュニティ画面が表示されるため各項目を設定していきます。

  • コミュニティ名」には監視サーバ側設定と合わせたコミュニティ名を入力します
  • 有効化済み」は有効にします
  • ホスト」欄の「IPアドレス」には監視サーバのアドレスを入力し、「ホストタイプ」にはクエリとトラップのどれを許可するかを設定します。通常は両方許可する「クエリを受け入れトラップを送信する」を選択します
    • ホストは2つ以上設定することも可能です
  • クエリ、トラップ欄では、使用する SNMP バージョンとポート番号を指定します
  • 使用したくないバージョンがあればそのバージョンはトグルスイッチで無効化します
  • ポートは通常は変更する必要はありません
  • SNMPイベント欄では、有効化するトラップを指定します。通常はデフォルトで問題ありません
  • 以下の画像では一部のイベントのみ掲載しています。すべてのイベントについては後で記載します

以上の設定ができたら画面下部の「OK」をクリックして設定を確定します。

STEP
設定の確認と設定の確定

SNMP画面に戻るため、「SNMP v1/v2c」欄にコミュニティ設定が追加されていることを確認します。その後画面下部の「適用」をクリックして設定を確定します。

以上で SNMP v1/v2c の設定は完了です。

CLI での SNMP v1/v2c の設定方法

STEP
SNMPエージェントの有効化

SNMPエージェントの有効化はコンフィグのconfig system snmp sysinfoにて行います。

設定項目として以下があります。

  • set status
    • SNMPエージェントの有効/無効設定
  • set description
    • 説明(オプション)
  • set contact-info
    • コンタクト情報(オプション)
  • set location
    • ロケーション(オプション)

最低限set status enableを設定します。その他はオプションです。

config system snmp sysinfo
    set status enable
    set description "説明を入力_オプション"
    set contact-info "コンタクト情報を入力_オプション"
    set location "ロケーションを入力_オプション"
end
STEP
SNMP v1/v2c コミュニティの設定

SNMP v1/v2c コミュニティの設定はconfig system snmp communityにて行います。

そのコンフィグ構造は以下のようになっています。

config system snmp community
    edit 1
        set name "shadowgarden"
        set status enable
        config hosts
            edit 1
                set source-ip 0.0.0.0
                set ip 10.10.11.20 255.255.255.255
                set ha-direct disable
                set host-type any
            next
        end
        set query-v1-status enable
        set query-v1-port 161
        set query-v2c-status enable
        set query-v2c-port 161
        set trap-v1-status enable
        set trap-v1-lport 162
        set trap-v1-rport 162
        set trap-v2c-status enable
        set trap-v2c-lport 162
        set trap-v2c-rport 162
        set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open temperature-high voltage-alert power-supply faz-disconnect faz wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high dhcp pool-usage ospf-nbr-state-change ospf-virtnbr-state-change
        set mib-view ''
    next
end

以下のようにconfig system snmp communityの中にedit項目があります。edit項目一つが一つのコミュニティ設定に該当します。

config system snmp community
    edit 1
        ...
    next
end

以下のようにコミュニティ設定に該当するedit項目の中にconfig hostsがあります。config hostsはホスト設定(監視サーバ設定)に該当します。config hostsの中にさらにedit項目がありますが、これは個々のホスト設定に該当します。

config system snmp community
    edit 1
        ...
        config hosts
            edit 1
                ...
            next
        end
        ...
    next
end

設定項目が複数ありますが、最低限コミュニティ名とホストアドレスのみ設定し、その他の項目はデフォルトから変えたい場合だけ設定すれば OK です

例えばコミュニティ名「shadowgarden」、ホストアドレス「10.10.11.20」と設定したい場合の設定コンフィグは以下のようになります。

config system snmp community
    edit 1
        set name "shadowgarden"
        config hosts
            edit 1
                set ip 10.10.11.20 255.255.255.255
            next
        end
    next
end

ホストを2台設定したい場合は以下のようにconfig hostsの中のedit項目を追加します。

config system snmp community
    edit 1
        set name "shadowgarden"
        config hosts
            edit 1
                set ip 10.10.11.20 255.255.255.255
            next
            edit 2
                set ip 10.10.11.21 255.255.255.255
            next
        end
    next
end

以下、各設定項目について説明します。

コミュニティ名とステータスの設定

コミュニティ名はset nameで設定します。コミュニティのステータスはset statusで設定します。

config system snmp community
    edit 1
        set name "shadowgarden"
        set status enable
    next
end

ホスト(監視サーバ)の設定

ホストはconfig hosts内で設定します。

  • source-ip
    • SNMPトラップ送信時のソースIPアドレス
  • set ip
    • [設定必須] ホスト(監視サーバ)のアドレス
  • set ha-direct
    • HA 構成時に SNMP 関連通信の送信元インターフェースを管理インターフェースにする
  • set host-type
    • ホストタイプ。以下から指定
      • any (デフォルト)
      • query
      • trap
config system snmp community
    edit 1
        config hosts
            edit 1
                set source-ip 0.0.0.0
                set ip 10.10.11.20 255.255.255.255
                set ha-direct disable
                set host-type any
            next
        end
    next
end

SNMP バージョンの有効・無効設定

  • set query-v1-status
    • SNMP v1 クエリのステータス設定
  • set query-v2c-status
    • SNMP v2c クエリのステータス設定
  • set trap-v1-status
    • SNMP v1 トラップのステータス設定
  • set trap-v2c-status
    • SNMP v2c トラップのステータス設定
config system snmp community
    edit 1
        set query-v1-status enable
        set query-v2c-status enable
        set trap-v1-status enable
        set trap-v2c-status enable
    next
end

SNMPイベント(トラップ)の設定

SNMPイベントはset eventsで設定します。値として有効化するイベントを半角スペース区切りで指定します。

config system snmp community
    edit 1
        set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open temperature-high voltage-alert power-supply faz-disconnect faz wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high dhcp pool-usage ospf-nbr-state-change ospf-virtnbr-state-change
    next
end

イベントのリストについては後で記載します。

CLI での SNMP v1/v2c の設定については以上です。

SNMP v3 の設定方法

GUI での SNMP v3 の設定方法

STEP
SNMP設定画面の表示

GUI にログインし左側のメニューから「システム > SNMP」をクリックします。

STEP
SNMP エージェントの有効化と SNMP v3 設定の追加

以下のSNMP画面が表示されるため、次の通り設定します。

  • SNMPエージェント」のトグルスイッチを有効化します
  • 説明」「ロケーション」「コンタクト情報」を設定する場合は各項目の値を入力します
  • SNMP v3」欄の「新規作成」をクリックします
STEP
SNMP v3 ユーザの設定

SNMPユーザ設定画面が表示されるため、各項目を設定していきます。

  • ユーザ名」では認証用ユーザ名を入力します
  • 有効化済み」にて有効化されていることを確認します
  • セキュリティレベル欄では認証と暗号化について設定します
    • 認証なし/認証」では、パスワード無しにする場合は「認証なし」を選択し、パスワード有にする場合は「認証」を選択します。「認証」を選択した場合は認証アルゴリズムとパスワードを設定します
      • 認証アルゴリズムは MD5、SHA1、SHA224、SHA256、SHA384、SHA512 から選択
    • 非プライベート/プライベート」では、暗号化しない場合は「非プライベート」を選択し、暗号化する場合は「プライベート」を選択します。「プライベート」を選択した場合は暗号化アルゴリズムとパスワードを設定します
      • 暗号化アルゴリズムは AES、DES、AES256、AES256 Cisco から選択
  • ホスト」欄ではホスト(監視サーバ)のアドレスを入力します
    • 2台以上のホストを設定することもできます
  • クエリ、トラップ欄では必要に応じて無効化、ポートの変更を行います。通常はデフォルトのままで問題ありません
  • SNMPイベント欄では、有効化するトラップを指定します。通常はデフォルトで問題ありません
  • 以下の画像では一部のイベントのみ掲載しています。すべてのイベントについては後で記載します

以上の設定ができたら画面下部の「OK」をクリックして設定を確定します。

STEP
設定の確認と設定の確定

SNMP画面に戻るため、「SNMP v3」欄にユーザ設定が追加されていることを確認します。その後画面下部の「適用」をクリックして設定を確定します。

以上で SNMP v3 の設定は完了です。

CLI での SNMP v3 の設定方法

STEP
SNMPエージェントの有効化

SNMPエージェントの有効化はコンフィグのconfig system snmp sysinfoにて行います。

設定項目として以下があります。

  • set status
    • SNMPエージェントの有効/無効設定
  • set description
    • 説明(オプション)
  • set contact-info
    • コンタクト情報(オプション)
  • set location
    • ロケーション(オプション)

最低限set status enableを設定します。その他はオプションです。

config system snmp sysinfo
    set status enable
    set description "説明を入力_オプション"
    set contact-info "コンタクト情報を入力_オプション"
    set location "ロケーションを入力_オプション"
end
STEP
SNMP v3 ユーザの設定

SNMP v3 ユーザの設定はshow system snmp userにて行います。

そのコンフィグ構造は以下のようになっています。

config system snmp user
    edit "shadowgarden"
        set status enable
        set trap-status enable
        set trap-lport 162
        set trap-rport 162
        set queries enable
        set query-port 161
        set notify-hosts 10.10.11.20
        set source-ip 0.0.0.0
        set source-ipv6 ::
        set ha-direct disable
        set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open temperature-high voltage-alert power-supply faz-disconnect faz wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high dhcp pool-usage ospf-nbr-state-change ospf-virtnbr-state-change
        set mib-view ''
        set security-level auth-priv
        set auth-proto sha
        set auth-pwd ENC cGxfbH3wVAmwOeuEfL46uJ8Iv2BkEPMeZdB87OKVoS6uR2MgF0j88rmwqP+q7wOFLNKKN1rkzmDdiEjkIrycuZSVgm/vl8ClS1L9upyUmeDcD0QDMFdfMmv1CA91xfdQlDOV7blqM6fz4vUWamI119WZRkzHi3SwfucoJq4o2NrxPjfi186qVCGONFfzVT6WKnR2yg==
        set priv-proto aes
        set priv-pwd ENC cGxfbH3wVAmwOeuEfL46uJ8Iv2BkEPMeZdB87OKVoS6uR2MgF0j88rmwqP+q7wOFLNKKN1rkzmDdiEjkIrycuZSVgm/vl8ClS1L9upyUmeDcD0QDMFdfMmv1CA91xfdQlDOV7blqM6fz4vUWamI119WZRkzHi3SwfucoJq4o2NrxPjfi186qVCGONFfzVT6WKnR2yg==
    next
end

以下のようにconfig system snmp userの中にedit項目があります。edit項目一つが一つのユーザ設定に該当します。

config system snmp user
    edit "shadowgarden"
        ...
    next
end

設定項目が複数ありますが、最低限コミュニティ名とホストアドレスのみ設定し、その他の項目はデフォルトから変えたい場合だけ設定すれば OK です

以下、各設定項目について説明します。

ユーザ名とステータスの設定

ユーザ名はedit項目の ID 部分で設定します。ユーザのステータスはset statusで設定します。以下はユーザ名がshadowgardenでステータスが有効の場合のコンフィグです。

config system snmp user
    edit "shadowgarden"
        set status enable
    next
end

認証と暗号化の設定

まずset security-levelで認証・暗号化の有無を設定します。security-levelの値は以下の何れかにします。

  • no-auth-no-priv
    • 認証と暗号化のいずれも無し
  • auth-no-priv
    • 認証有り、暗号化無し
  • auth-priv
    • 認証と暗号化のいずれも有り
config system snmp user
    edit "shadowgarden"
        set security-level auth-priv
    next
end

認証有りの場合は認証に関わる以下の設定を行います。

  • set auth-proto
    • 認証アルゴリズムを設定
    • md5、sha、sha224、sha256、sha384、sha512 から指定
  • set auth-pwd
    • 認証パスワードを設定

認証アルゴリズムを SHA1、認証パスワードを mypassword に設定する場合のコマンドは以下です。

config system snmp user
    edit "shadowgarden"
        set auth-proto sha
        set auth-pwd mypassword
    next
end

暗号化有りの場合は暗号化に関わる以下の設定を行います。

  • set priv-proto
    • 暗号化アルゴリズムを設定
    • aes、des、aes256、aes256cisco から指定
  • set priv-pwd
    • 暗号化パスワードを設定

暗号化アルゴリズムを AES256、暗号化パスワードを mypassword に設定する場合のコマンドは以下です。

config system snmp user
    edit "shadowgarden"
        set priv-proto aes256
        set priv-pwd mypassword
    next
end

ホスト(監視サーバ)の設定

ホストはset notify-hostsで設定します。複数のホストを設定したい場合は値の部分で半角スペースで複数のアドレスを設定します。

config system snmp user
    edit "shadowgarden"
        set notify-hosts 10.10.11.20 10.10.11.21
    next
end

クエリとトラップの有効・無効設定

  • set queries
    • クエリのステータス設定
  • set trap-status
    • トラップのステータス設定
config system snmp user
    edit "shadowgarden"
        set queries enable
        set trap-status enable
    next
end

SNMPイベント(トラップ)の設定

SNMPイベントはset eventsで設定します。値として有効化するイベントを半角スペース区切りで指定します。

config system snmp user
    edit "shadowgarden"
        set events cpu-high mem-low log-full intf-ip vpn-tun-up vpn-tun-down ha-switch ha-hb-failure ips-signature ips-anomaly av-virus av-oversize av-pattern av-fragmented fm-if-change bgp-established bgp-backward-transition ha-member-up ha-member-down ent-conf-change av-conserve av-bypass av-oversize-passed av-oversize-blocked ips-pkg-update ips-fail-open temperature-high voltage-alert power-supply faz-disconnect faz wc-ap-up wc-ap-down fswctl-session-up fswctl-session-down load-balance-real-server-down per-cpu-high dhcp pool-usage ospf-nbr-state-change ospf-virtnbr-state-change
    next
end

イベントのリストについては後で記載します。

その他オプションの設定

HA 構成時に SNMP 関連通信の送信元インターフェースを管理インターフェースにして機器別に管理したい場合はset ha-direct enableを設定します。

config system snmp user
    edit "shadowgarden"
        set ha-direct enable
    next
end

CLI での SNMP v3 設定については以上です。

【参考】SNMP イベント(トラップ)一覧

SNMP イベントを以下に記載します。機種やバージョンによって変わることがありますので参考程度にしてください。

#GUI 項目名CLI 値名デフォルト
1CPU負荷の高騰cpu-highenable
2利用可能なメモリが不足mem-lowenable
3利用可能なログスペースが不足log-fullenable
4インターフェースのIPアドレス変更intf-ipenable
5VPNトンネルがアップvpn-tun-upenable
6VPNトンネルがダウンvpn-tun-downenable
7HAクラスタのステータスが変化ha-switchenable
8HAハートビートインターフェースの障害ha-hb-failureenable
9IPSがアタックを検知ips-signatureenable
10IPSがアノマリを検知ips-anomalyenable
11AVがウイルスを検知av-virusenable
12AVがオーバーサイズファイルを検知av-oversizeenable
13AVがパターンに一致するファイルを検知av-patternenable
14AVが断片化ファイルを検知av-fragmentedenable
15インターフェースIPの変更(FMトラップ)fm-if-changeenable
16設定変更(FMトラップ)fm-conf-changedisable
17BGP FSMが Established ステートに移行bgp-establishedenable
18BGP FSMが高ナンバーから低ナンバーのステートに移行bgp-backward-transitionenable
19HAクラスタメンバーがアップha-member-upenable
20HAクラスタメンバーがダウンha-member-downenable
21エンティティ設定変更(RFC4133)ent-conf-changeenable
22AVシステムがコンサーブモードへ移行av-conserveenable
23AVバイパスの発生av-bypassenable
24AVがオーバーサイズファイルをパスav-oversize-passedenable
25AVがオーバーサイズファイルをブロックav-oversize-blockedenable
26IPSパッケージの更新ips-pkg-updateenable
27IPSネットワークバッファがフルips-fail-openenable
28snmp-event::temperature-hightemperature-highenable
29snmp-event::voltage-alertvoltage-alertenable
30snmp-event::power-supplypower-supplyenable
31FortiAnalyzerから切断faz-disconnectenable
32snmp-event::fazfazenable
33APがアップwc-ap-upenable
34APがダウンwc-ap-downenable
35FortiSwitchコントローラーセッションがアップfswctl-session-upenable
36FortiSwitchコントローラーセッションがダウンfswctl-session-downenable
37ロードバランスリアルサーバがダウンload-balance-real-server-downenable
38新しいデバイスを発見device-newdisable
39CPU使用率が高いです。per-cpu-highenable
40DHCPアドレスの制限dhcpenable
41IPプールの利用についてpool-usageenable
42仮想OSPF以外のネイバーの状態に変化があった場合、トラップ送信ospf-nbr-state-changeenable
43OSPF仮想ネイバーの状態に変化があった場合、トラップを送信ospf-virtnbr-state-changeenable

リンクダウン・アップについては設定項目にありませんがデフォルトでトラップが送信されます。

インターフェースの管理アクセス設定

FortiGate で監視サーバからの SNMP クエリを受け付けるためには、SNMP クエリを受信するインターフェースの管理アクセス設定で SNMP を許可する必要があります。

以下赤枠の SNMP にチェックを入れてください。

CLI で設定する場合は、config system interfaceの対象インターフェースの設定内のset allowaccesssnmpを値に含めてください。

config system interface
    edit "internal1"
        set allowaccess ping https ssh snmp http
    next
end

HA 構成時は SNMP 通信の送信元インターフェースに注意

これについては以下の記事にまとめています。

あわせて読みたい
FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースがどうなるのか解説 [ha-direct 設定] 本記事について 本記事では、Fortinet 社のファイアウォール製品である FortiGate について、HA 構成時に NTP 通信、Syslog 通信、SNMP 通信等の送信元インターフェース...

以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています!

note(ノート)
陰の構築者たちのメンバーシップ|シェイド@陰の構築者 ネットワーク設計構築をする人に役立つメンバーシップです。 独自ブログ(https://shadowgarden.org/)にてネットワークエンジニア向け情報を発信しており、その活動を応援...

【アフィリエイト】おすすめ WordPress テーマ【SWELL

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。

Network
FortiGate
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次