防火墙监控新思路:用Pushgateway+Shell脚本实现网络设备指标采集
在传统网络监控体系中,防火墙、交换机等网络设备往往因为安全策略限制,难以直接暴露监控接口给Prometheus服务器采集。这种网络隔离场景下的监控需求催生了一种创新解决方案——通过Shell脚本采集关键指标,并借助Pushgateway实现数据中转。本文将深入解析这套方案的实现路径,涵盖从指标采集脚本编写到可视化展示的全流程。
1. 方案架构与核心组件
Pushgateway作为Prometheus生态中的特殊组件,本质上是一个指标缓存中转站。与常规Exporter的"拉取"模式不同,它采用"推送"机制接收监控数据,特别适合以下场景:
- 网络设备位于DMZ区域,Prometheus服务器无法直连
- 设备厂商未提供标准Prometheus Exporter
- 需要监控短暂存在的批处理任务
- 跨安全域的多级监控体系
典型数据流如下图所示:
[网络设备] --SSH/Telnet--> [Shell脚本] --HTTP Push--> [Pushgateway] <--Pull-- [Prometheus] --> [Grafana]
关键组件对比:
| 组件 | 工作模式 | 适用场景 | 优缺点 |
|---|---|---|---|
| Node Exporter | 被动拉取 | 标准服务器监控 | 实时性强,但需开放防火墙 |
| SNMP Exporter | 被动拉取 | 网络设备通用监控 | 需配置复杂的MIB转换 |
| Pushgateway | 主动推送 | 受限网络环境/临时任务监控 | 突破网络限制,但需自行采集 |
2. 指标采集脚本开发
以采集防火墙TCP连接数为例,基础采集脚本firewall_metrics.sh如下:
#!/bin/bash
# 获取设备标识(建议使用设备管理IP)
INSTANCE_IP="192.168.1.1"
JOB_NAME="firewall_monitor"
# 通过SSH执行远程命令采集指标
TCP_ESTABLISHED=$(ssh admin@$INSTANCE_IP "netstat -an | grep ESTABLISHED | wc -l")
TCP_TIME_WAIT=$(ssh admin@$INSTANCE_IP "netstat -an | grep TIME_WAIT | wc -l")
# 构造Prometheus指标格式
cat <<EOF | curl --data-binary @- ht
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
