O Nagios "monitorando" a WAN é o ideal?

Apenas comecei em uma nova empresa e uma das minhas primeiras tarefas é procurar alternativas para o sistema de monitoramento interno.

A solução atual é um aplicativo .Net que verifica vários dispositivos pela WAN (uma vez que é uma empresa de consultoria de TI que fornece suporte / manutenção "24/7"). Os dispositivos variam de roteadores / switches / impressoras a servidores e serviços da MS.

Depois de ler inúmeras postagens no site e pesquisar bastante no Google, parece que o consenso é que algum tipo de mistura Nagios / Munin é o caminho a percorrer.

O que me leva à minha pergunta (s):

A) É possível ter um servidor Nagios em execução localmente na empresa e monitorar vários sites externos pela WAN? (Eles não querem um servidor Nagios local em cada site, pois a maioria dos sites é relativamente pequena (10 a 25 hosts) e o número de sites é bastante grande (75 a 100)).

B) Em caso afirmativo, como os agentes entrariam em contato com o back-end do Nagios? Através do SSH? HTTP?

C) Além do fato de ser suscetível a falhas no link da WAN, quais seriam as desvantagens imediatas de uma solução desse tipo?

Qualquer feedback é apreciado, e peço desculpas antecipadamente por quaisquer equívocos, pois sou bastante novo no setor.

O monitoramento através de uma WAN é possível, mas geralmente não é o ideal. Isso ocorre porque, se o link WAN cair ou piscar, todas as verificações falharão e você ficará cego para o que está acontecendo no local remoto. Você também aumentou a latência, tornando-o menos útil para as medições de desempenho do LAN View. Dito isto, se você estiver indo dessa maneira, provavelmente desejará configurar dependências para não receber alertas quando o link da WAN apresentar problemas.

A maneira mais comum de comunicação entre um sistema de monitoramento e seus serviços monitorados é ter um túnel VPN site a site. Então a comunicação não é diferente da rede local. Além disso, o Nagios geralmente é baseado em Pull (embora não precise ser). Então o Nagios entra em contato com os serviços e servidores que monitora, e não o contrário.

Por fim, uma solução mais ideal é usar uma configuração de monitoramento distribuído, com o Nagios uma opção descrita em http://nagios.sourceforge.net/docs/3_0/distributed.html .

Depende do que você vai monitorar pela WAN. Na maioria das vezes, se você estiver executando apenas verificações de ping, verificações de serviços, verificações de disco, etc., e se ater ao tempo de verificação padrão de 5 minutos do nagios, não vejo como isso está causando um problema.

Novamente, dependendo do que você está verificando, depende do que será discutido. Se você estiver verificando hosts do Windows, basta usar as consultas WMI e nem precisar de um agente em execução na caixa.

Isso é certamente possível, através de vários métodos diferentes.

Se a "configuração distribuída" estiver fora de questão, será necessário fazer pelo menos um dos seguintes procedimentos:

1. Faça com que todas as caixas no site remoto enviem os resultados para Nagios (consulte NSCA )
2. Faça furos no firewall para que o Nagios possa alcançar todas as caixas em todos os sites remotos
3. Designe uma única caixa em cada site para ser uma espécie de "proxy Nagios"

Eu sugeriria o item 3, porque requer o mínimo de firewall e também simplifica a configuração. É uma espécie de versão reduzida da configuração distribuída, pois não requer uma instância completa do Nagios em cada site.

Para fazer isso, você pode configurar o NRPE (ou usar check_by_ssh ) e fazer com que esse "proxy" execute todas as outras verificações nos outros hosts da rede. Isso tem o benefício adicional dos dados de desempenho que você recebe em relação ao proxy, para que não sejam afetados pelo atraso na WAN.

Além disso, você pode usar as configurações pai / filho para tornar todos os hosts no site remoto um filho de seu proxy, para reduzir as notificações falso-positivas. Você também pode tornar todos os serviços dependentes de um serviço check_nrpe (ou check_ssh) do proxy. Consulte os documentos de acessibilidade da rede para obter mais informações.

Não importa qual método você use, é muito importante que você ajuste os tempos limite padrão de maneira apropriada, para levar em consideração o atraso adicional ao passar pelos links da WAN.