HOWTO Configuração MONIT

[ludarkstar99]

Olá pessoal,
Estou compartilhando um guia para a configuração do MONIT alertar eventos importantes do próprio Firewall.
Este tutorial é útil para quem ainda não usa uma solução externa como o Zabbix para monitoramento.

=========================================================
=== OPNSENSE - CONFIGURAR MONIT EVENTOS IMPORTANTES                                ===
=========================================================
Responsável: ludarkstar99
Data: 01/11/2024
Validado para: OPNsense 24.7
Versão: 1.2 - adição dos alertas de crowdsec e vpn
Versão: 1.1 - adição dos alertas de gateway offline
Versão: 1.0 - inicial, alertas de acesso ao firewall
=========================================================


PROCEDIMENTO: CONFIGURAR O MONIT NO OPNSENSE


1. CONFIGURAÇÃO INICIAL DO MONIT
1.1. Habilitar o Monit
Acessar o menu Services > Monit.
Marcar a opção Enable Monit.
Preencher o mail server, port, username, password e ssl connection de acordo com o seu provedor SMTP.
Clicar em Save

1.2. Definir o destinatário dos e-mails
Acessar a guia Alert Settings
Clonar o alerta padrão que vem desabilitado
Marcar Enable Alert
Preencher o campo Recipient com o e-mail de quem vai receber o alerta
No campo Mail Format, copiar e colar o texto abaixo, substituindo o FROM pelo seu e-mail remetente (conta usada para envio):

=== COPIAR ABAIXO DESTA LINHA ===

from: notifica@gmail.com
   subject: $SERVICE $EVENT at $DATE
   message: Descrição: $DESCRIPTION.
Host: $HOST
Serviço: $SERVICE
Ação Realizada: $ACTION

Este é um informe automático.

=== FIM DO TEXTO - NÃO COPIAR ESTA LINHA ===

Preencher a descrição (pode ser o email do destinatário)
clicar em Save
Clicar em Apply



2. CONFIGURAR PARA ALERTAR EM NOVO LOGIN SSH e WebGui
2.1. Criar o teste Novo_Login_SSH
Acessar a tela Service Tests Settings
Clicar em adicionar um novo Test
Preencher o nome com Novo_Login_SSH
Preencher a condição com: content = "Accepted .* ssh2"
Selecionar a ação sendo: Alert
Clicar em Save

2.2. Criar o teste Novo_Login_WebGui
Acessar a tela Service Tests Settings
Clicar em adicionar um novo Test
Preencher o nome com Novo_Login_WebGui
Preencher a condição com: content = "Successful login for user"
Selecionar a ação sendo: Alert
Clicar em Save

2.3. Criar o Service Acesso_Ao_Firewall_Detectado
Acessar a tela Service Settings
Clicar em adicionar um novo Service
Marcar a caixa: Enable Service Checks
Preencher o nome com: Acesso_Ao_Firewall_Detectado
Preencher o Tipo como: File
Preencher o path como: /var/log/audit/latest.log
Selecionar os testes criados anteriormente: Novo_Login_SSH e Novo_Login_WebGui
Preencher a descrição: Notifica novos logins no firewall.
Clicar em Save



3. CONFIGURAR PARA ALERTAR EM ALTERAÇÃO DE CONFIGURAÇÃO
3.1. Criar o teste Configuracao_Alterada
Acessar a tela Service Tests Settings
Clicar em adicionar um novo Test
Preencher o nome com Configuracao_Alterada
Preencher a condição com: content = "user .* changed configuration"
Selecionar a ação sendo: Alert
Clicar em Save

3.2. Criar o Service Alteracao_Config_Detectada
Acessar a tela Service Settings
Clicar em adicionar um novo Service
Marcar a caixa: Enable Service Checks
Preencher o nome com: Alteracao_Config_Detectada
Preencher o Tipo como: File
Preencher o path como: /var/log/audit/latest.log
Selecionar os testes criados anteriormente: Configuracao_Alterada
Preencher a descrição: Notifica alteração de config no firewall.
Clicar em Save



4. CONFIGURAR PARA ALERTAR NA FALHA DE GATEWAY
4.1. Criar o teste Gateway_Down
Acessar a tela Service Tests Settings
Clicar em adicionar um novo Test
Preencher o nome com Gateway_Down
Preencher a condição com: content = "loss -> down"
Selecionar a ação sendo: Alert
Clicar em Save

4.2. Criar o Service Gateway_Down_Detectado
Acessar a tela Service Settings
Clicar em adicionar um novo Service
Marcar a caixa: Enable Service Checks
Preencher o nome com: Gateway_Down_Detectado
Preencher o Tipo como: File
Preencher o path como: /var/log/gateways/latest.log
Selecionar os testes criados anteriormente: Gateway_Down
Preencher a descrição: Notifica gateway indisponível.
Clicar em Save



5. CONFIGURAR PARA ALERTAR SE VPN CAIR (E REINICIAR TAMBÉM)
5.1. Criar o teste Reinicia_VPN_SE_Falhar_Ping
Acessar a tela Service Tests Settings
Criar um novo Test
Preencher o Name como: Reinicia_VPN_SE_Falhar_Ping
Preencher condição como: failed ping
Selecionar a Ação como: Restart
Clicar em Save

5.2. Criar o Service Conectividade_VPN_Matriz
Acessar a guia Service Settings
Clicar em adicionar um novo Service
Marcar a caixa do campo: Enable service checks
Preencher Name como: Conectividade_VPN_Matriz
Preencher Type como: Remote Host
Preencher Address com o IP que será usado para receber pings na outra ponta da VPN: ex.: 10.0.0.1 (preferencialmente o IP de túnel da vpn do outro lado, ou da lan mesmo...)
Preencher Start: /bin/sh -c '/usr/local/sbin/pluginctl -s openvpn start'
Preencher Stop:  /bin/sh -c '/usr/local/sbin/pluginctl -s openvpn stop'
Selecionar Tests: Reinicia_VPN_SE_Falhar_Ping
Preencher  descrição como: Reinicia VPN se cessar comunicação com matriz.



6. CONFIGURAR PARA ALERTAR QUANDO O CROWDSEC BLOQUEAR IP INTERNO
6.1. Criar o Teste
Acessar a guia: Service Tests Settings
Clicar em adicionar um novo Test
Preencher o nome como: Crowdsec_Baniu_IP_Local
Preencher Condition como: content = 'ban.*(192\.168|10\.|172\.)'
Em Action selecionar Alert
Clicar em Save

6.2. Criar a verificação do teste (service)
Acessar a guia Service Settings
Criar um novo servisse
Marcar Enable service checks
Preencher o Name com Crowdsec_Baniu_IP_Local
Selecionar o Type como: File
Preencher o Path com: /var/log/crowdsec/crowdsec.log
Selecionar Tests: Crowdsec_Baniu_IP_Local
Preencher a descrição com: verifica se o crowdsec bloqueou pc local
Clicar em Save
Clicar em Apply

7. TESTAR
7.1. Testar a notificação do crowdsec
Para testar, acesse o shell e execute como administrador:
cscli decisions add --ip 192.168.100.101 # para banir um ip de lan qualquer
cscli decisions delete --ip 192.168.100.101 # para remover da lista de bloqueio


That's all folks.