FortiGateFortiOSGuías técnicas

Reglas de Automation para Conserve Mode y High CPU

En la versión 6.0 de FortiOS se introdujeron las reglas de Automation, que permiten la automatización de una serie de acciones ante eventos determinados. Un ejemplo de esto es la posibilidad de poner un dispositivo en cuarentena cuando se detecta que se ha visto comprometido, o lanzar una llamada vía API (Webhook) cuando se genera evento de log determinado.

Hay dos tipos de accionadores (triggers) que no están disponibles para configurar a través de la interfaz gráfica, pero que sí podremos configurar vía CLI, y posteriormente veremos dicha configuración reflejada en la GUI.

Estos métodos se activan cuando la CPU está en unos valores muy altos, o cuando el equipo ha entrado en modo conservativo por memoria alta.

Para configurarlos, lanzaremos los siguientes comandos por CLI, configurando primero los triggers, ya sea para high-cpuo low-memory

config system automation-trigger
  edit “cpu”
    set event-type high-cpu
  next
  edit “memoria”
    set event-type low-memory
  next
end

Una vez configurados los triggers, crearemos una regla nueva de Automation, y asociaremos el trigger configurado en el paso anterior.

config system automation-stitch
  edit “memoria”
    set trigger “memoria”
  next
  edit “cpu”
    set trigger “cpu”
  next
end

Una vez hecho, ya podremos ver las reglas creadas por la GUI:

Y si entramos en una de ellas, nos permitirá hacer el resto de la configuración a través de la gestión gráfica.

Un caso de uso interesante podría ser lanzar un script que fuerce un failover de HA cuando el nodo entre en modo conservativo.

Más información en:
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-security-fabric/Automation/CLI.htm

Tags

Contenidos relacionados

2 comentarios

  1. Me gustó, una pregunta: ¿se puede hacer algo tipo ejecutar CLI pero que envíe el output al mail, por ej.?
    Lo que tengo en mente es que ante un pico de uso de CPU o memoria corra en forma automática un “diagnose sys top” para identificar el proceso que disparó CPU o RAM.

  2. Respondo para quién le sirva: marcando como “Action” “CLI Script” y “Email”, y luego en “Email Body” ponen “%%results%%”, esto enviará el output del script que corrieron en CLI, que podría ser un “diagnose sys top 1 50 1” para ver como venían de CPU y memoria los procesos.

    Tengan en cuenta que %%results%% no puede ser muy largo, lo terminaría truncando si fuera así.

    Lo que no intenté es ver si en conserve mode envía los mails, solo probé con un trigger tipo “Schedule”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *