Nagios "monitora" tramite WAN è l'ideale?

Ho appena iniziato in una nuova società e uno dei miei primi incarichi è quello di cercare alternative al loro sistema di monitoraggio interno.

La loro soluzione attuale è un'applicazione .Net che controlla vari dispositivi tramite la WAN (poiché sono una società di consulenza IT che fornisce supporto / "manutenzione" 24 ore su 24, 7 giorni su 7). I dispositivi vanno da router / switch / stampanti a server e servizi MS.

Dopo aver letto innumerevoli post sul sito e aver cercato su Google ampiamente sembra che il consenso sia che una sorta di mix Nagios / Munin è la strada da percorrere.

Il che mi porta alle mie domande:

A) È possibile avere un server Nagios in esecuzione localmente presso l'azienda e monitorare vari siti esterni tramite WAN? (Non vogliono un server Nagios locale su ciascun sito poiché la maggior parte dei siti sono relativamente piccoli (10-25 host) e il numero di siti è piuttosto grande (75-100)).

B) In caso affermativo, come farebbero gli agenti a contattare il back-end di Nagios? Tramite SSH? HTTP?

C) A parte il fatto che sarebbe suscettibile di guasti alla WAN-link, quali sarebbero gli svantaggi immediati di tale soluzione?

Ogni feedback è apprezzato e chiedo scusa in anticipo per eventuali idee sbagliate perché sono abbastanza nuovo per il settore.

Il monitoraggio tramite WAN è possibile, ma generalmente non è l'ideale. Questo perché se il collegamento WAN si interrompe o si interrompe, tutti i controlli falliscono e si è ciechi rispetto a ciò che sta accadendo nella posizione remota. Hai anche una latenza aumentata che lo rende meno utile per le misurazioni delle prestazioni di LAN View. Detto questo, se stai andando in questo modo, probabilmente vuoi impostare dipendenze in modo da non essere invaso da avvisi quando il collegamento WAN ha problemi.

Il modo più comune in cui ho visto la comunicazione tra un sistema di monitoraggio e i suoi servizi monitorati è di avere un tunnel VPN da sito a sito. Quindi la comunicazione non è diversa dalla rete locale. Inoltre, Nagios è spesso basato su Pull (sebbene non debba esserlo). Quindi Nagios contatta i servizi e i server che controlla, non viceversa.

Infine, una soluzione più ideale è utilizzare un'impostazione di monitoraggio distribuita, con Nagios un'opzione è descritta in http://nagios.sourceforge.net/docs/3_0/distributed.html .

In un certo senso dipende da ciò che si sta per monitorare via via. Per la maggior parte se si eseguono solo controlli ping, controlli servizi, controlli disco ecc. E attenersi al tempo di controllo 5 minuti predefinito di nagios non riesco a vederlo causando un problema.

Ancora una volta, a seconda di ciò che stai controllando dipende da cosa parlerà. Se stai controllando gli host di Windows puoi semplicemente usare le query WMI e non hai nemmeno bisogno di un agente in esecuzione sulla scatola.

Questo è certamente possibile, attraverso diversi metodi.

Se la "configurazione distribuita" è fuori discussione, è necessario eseguire almeno una delle seguenti operazioni:

1. Fai in modo che ogni casella sul sito remoto invii i risultati del controllo a Nagios (vedi NSCA )
2. Colpisci i buchi del firewall in modo che Nagios possa raggiungere ogni casella in ogni sito remoto
3. Designare una casella singola in ciascun sito in modo che sia una sorta di "proxy Nagios"

Suggerirei il n. 3, perché richiede il minimo rompicapo del firewall e semplifica anche la configurazione. È una specie di versione ridotta dell'installazione distribuita, in quanto non richiede un'istanza Nagios completa su ciascun sito.

Per fare ciò, è possibile impostare NRPE (o utilizzare check_by_ssh ) e fare in modo che questo "proxy" esegua tutti gli altri controlli sugli altri host della rete. Ciò ha l'ulteriore vantaggio che i dati sulle prestazioni ottenuti sono relativi al proxy, quindi non saranno interessati dal ritardo WAN.

Inoltre, è possibile utilizzare le impostazioni padre / figlio per rendere ogni host sul sito remoto un figlio del suo proxy, per ridurre le notifiche false positive. Potresti anche voler rendere tutti i servizi dipendenti da un servizio check_nrpe (o check_ssh) del proxy. Vedi i documenti di raggiungibilità della rete per maggiori informazioni.

Indipendentemente dal metodo utilizzato, è molto importante regolare in modo appropriato i timeout predefiniti , per tenere conto del ritardo aggiunto che passa attraverso i collegamenti WAN.