VPN
    Mis à jour le mai 2026
    WireGuard logo

    WireGuard Suivi

    Surveillez en temps réel les connexions entre pairs WireGuard, l'état de la négociation, les indicateurs de transfert de données et l'état du tunnel, sans aucune configuration.

    Commencer l'essai gratuitConsulter les documents

    Pourquoi surveiller ? WireGuard?

    WireGuard est un protocole VPN moderne et hautement performant. La surveillance de WireGuard garantit des connexions entre pairs fiables, des procédures d'établissement de connexion réussies et un débit optimal du tunnel pour votre infrastructure réseau sécurisée.

    Détection automatique via Xitogent
    Statut de connexion des peers
    Suivi du dernier handshake
    Transfert de données par peer
    Accessibilité des endpoints
    Métriques au niveau de l'interface
    Prise en charge multi-interfaces
    Intervalles de collecte d'1 minute
    Compatible filaire avec le modèle de données
    Intervalles de collecte de métriques d'une minute prêts à l'emploi
    Qu'est-ce que la surveillance de WireGuard ?

    La surveillance de WireGuard, expliquée

    La surveillance de WireGuard détecte les pairs morts (pas de handshake récent = déconnexion silencieuse), les changements d'endpoint (l'IP publique d'un pair a changé ou un mappage NAT a expiré), l'abus de bande passante par pair et les erreurs de paquets au niveau interface avant qu'ils ne se manifestent par des signalements « mon VPN ne fonctionne pas parfois ». Comme WireGuard est UDP sans état — il n'y a pas d'événement « connect » ou « disconnect » comme OpenVPN — l'âge du handshake est le signal canonique « ce pair est-il en vie ». Pour les serveurs VPN d'accès à distance, les tunnels site à site, le chiffrement pod-à-pod Kubernetes via Cilium et les réseaux mesh (Tailscale / NetBird), la visibilité sur l'âge de handshake par pair fait la différence entre une alerte de 60 secondes sur un tunnel abandonné et la découverte de pairs hors ligne depuis des heures. Xitoring détecte automatiquement chaque interface wg*, lit wg show all dump, et achemine les alertes vers Slack, PagerDuty, Telegram ou votre astreinte existante.

    Indicateurs

    Ce que nous surveillons

    Peers actifs

    Peers WireGuard connectés.

    Dernier handshake

    Temps écoulé depuis le dernier handshake réussi.

    Transfert RX/TX

    Données reçues et envoyées par peer.

    Statut de l'endpoint

    Accessibilité de l'endpoint des peers.

    Trafic d'interface

    Trafic total à travers l'interface WireGuard.

    Endpoint par pair

    Adresse:port publique à laquelle le pair est actuellement joignable. Les changements d'endpoint signalent un remappage NAT, le mouvement d'un pair mobile ou une rotation d'IP côté pair.

    IPs autorisées

    Liste des sous-réseaux routés vers chaque pair (utilisée à la fois pour le routage et le contrôle d'accès). Les changements inattendus signalent une dérive de configuration ; les entrées manquantes expliquent les lacunes de connectivité mystérieuses.

    Keepalive persistant

    Intervalle de keepalive par pair (par défaut `0` = aucun ; la valeur typique pour la traversée NAT est `25` secondes). Les pairs derrière un NAT sans keepalive apparaîtront morts après l'expiration du mappage NAT.

    Octets RX / TX de l'interface

    Total d'octets sur l'interface `wg*` depuis `ip -s link`. Débit agrégé sur tous les pairs — pour la planification de capacité.

    Paquets / Erreurs / Abandons de l'interface

    Compteurs de paquets côté noyau. Les erreurs / abandons RX signalent une mauvaise configuration de MTU (WireGuard ajoute 80 octets d'overhead — MTU typique 1420 sur un lien 1500) ou un débordement de buffer noyau.

    Port d'écoute

    Port UDP auquel l'interface WireGuard est liée (par défaut 51820). Exposé pour l'inventaire + la détection de changement.

    Nombre de pairs (total / configurés)

    Nombre d'entrées de pairs dans la configuration de l'interface vs nombre actuellement en vie. Écart = pairs configurés mais ne se connectant jamais (mauvaise clé, mauvais endpoint, blocage par pare-feu).

    Déclencheurs et alertes

    Configurables déclencheurs d'alerte

    Configurez des déclencheurs personnalisés dans votre tableau de bord pour être averti dès que les indicateurs d{name}s dépassent les seuils que vous avez définis.

    WireGuard tableau de bord de configuration des déclencheurs de surveillance

    Handshake obsolète

    crucial

    Se déclenche lorsque le handshake est trop ancien, indiquant une déconnexion du peer.

    Peer hors ligne

    crucial

    Alerte lorsqu'un peer attendu est inaccessible.

    Taux de transfert

    avertissement

    Se déclenche sur des schémas de transfert anormaux.

    01

    Importance de la surveillance WireGuard

    La simplicité de WireGuard masque des défaillances silencieuses. Les handshakes obsolètes et les déconnexions de peers passent inaperçus sans surveillance.

    • Détectez les handshakes obsolètes indiquant une perte de connectivité
    • Surveillez la disponibilité des peers
    • Suivez les taux de transfert par peer
    • Garantissez la santé du tunnel
    Surveillance WireGuard
    Analytique des peers
    02

    Pourquoi choisir Xitoring

    Surveillance WireGuard sans configuration.

    • Installation en une commande
    • Nœuds mondiaux
    • Tableau de bord unifié
    • Alertes multicanaux
    Vue d'ensemble
    Alertes
    Cas d'usage

    Scénarios courants de surveillance WireGuard

    Où WireGuard fonctionne généralement aujourd'hui — et ce qui pourrait mal tourner si personne ne surveille.

    VPN moderne d'accès à distance pour le personnel

    WireGuard cesse discrètement de communiquer avec un utilisateur lorsque sa connexion meurt — il n'y a pas d'erreur, juste le silence. Nous détectons le tunnel interrompu au moment où cela se produit afin que l'informatique puisse le réparer avant que le personnel ne soit bloqué et ne commence à appeler le support.

    Trafic chiffré entre les serveurs Kubernetes

    Les configurations Kubernetes modernes chiffrent le trafic entre les serveurs afin que les données internes restent privées. Si ce chiffrement cesse discrètement de fonctionner entre deux serveurs, des données sensibles pourraient circuler sans protection. Nous détectons le moment où un lien devient inactif afin que la protection reste effective.

    Réseaux privés reliant bureaux, utilisateurs et appareils

    Les réseaux privés modernes connectent des dizaines ou des centaines d'utilisateurs, de bureaux et d'appareils en un maillage sécurisé unique. Lorsqu'une seule connexion échoue silencieusement, seule une partie de votre réseau est affectée — ce qui rend la détection difficile. Nous détectons le problème immédiatement afin que le bon lien puisse être réparé avant que d'autres utilisateurs ne soient affectés.

    Avant de commencer

    Prérequis pour WireGuard

    Assurez-vous d'avoir tout cela en place — la plupart des installations sont une affaire de 60 secondes une fois ces conditions réunies.

    • Module noyau WireGuard chargé (intégré à partir du noyau 5.6+)
    • wireguard-tools installé (wg, wg-quick disponibles dans le PATH)
    • Accès root — les détails de l'interface WireGuard l'exigent
    Guide d'installation

    Commencez par procès-verbal

    1

    Installer Xitogent sur votre hôte WireGuard

    Installez l'agent de monitoring léger Xitogent sur l'hôte qui exécute WireGuard.

    curl -s https://xitoring.com/install.sh | sudo bash -s -- --key=YOUR_API_KEY
    2

    Démarrer l'interface WireGuard

    Activez le tunnel (par ex. `wg-quick up wg0`) et confirmez que `wg show` renvoie l'état des peers. Xitogent tourne en root, il peut donc lire les détails runtime de WireGuard directement — aucune configuration de groupe supplémentaire n'est nécessaire.

    sudo xitogent integrate
    3

    Activer l'intégration WireGuard

    Utilisez le tableau de bord Xitoring ou la CLI pour activer l'intégration WireGuard. Xitogent détecte automatiquement chaque interface `wg` sur l'hôte ainsi que ses peers.

    4

    Configurer les seuils d'alerte (facultatif)

    Définissez des seuils personnalisés pour les Handshakes obsolètes, les Peer Down ou les anomalies de débit afin que les tunnels morts apparaissent dans les alertes avant que les utilisateurs ne se plaignent.

    5

    Vérifier que tout fonctionne

    Exécutez cette commande sur le serveur pour confirmer que Xitogent a bien détecté l'intégration. De nouvelles métriques apparaîtront sur votre tableau de bord dans environ 30 secondes.

    sudo xitogent status
    Comparer

    Vous envisagez des alternatives ?

    Découvrez comment Xitoring se positionne face aux alternatives pour la surveillance de WireGuard — tarifs forfaitaires, intégrations plus poussées et un seul agent pour couvrir tout votre stack.

    Voir toutes les comparaisons

    Souvent a posé des questions

    Noyau ou espace utilisateur ?
    WireGuard est pris en charge aussi bien au niveau du noyau que de l'espace utilisateur.
    Plusieurs interfaces ?
    Oui, toutes les interfaces WG sont surveillées.
    Comment détecter les déconnexions de pairs WireGuard ?
    WireGuard n'a pas d'événement `disconnect` (UDP sans état). La détection est : pair configuré + pas de handshake récent = déconnecté. Suivez `latest_handshake` de chaque pair dans le temps — quand il cesse de progresser, le pair est hors ligne. Pour les scénarios de traversée NAT où les pairs perdent la connectivité quand leur mappage NAT expire, configurez `PersistentKeepalive = 25` pour maintenir les handshakes en circulation.
    Comment vérifier les octets transférés par pair WireGuard ?
    `wg show all dump` inclut `transfer_rx_bytes` et `transfer_tx_bytes` par pair (cumulatifs depuis la mise en service de l'interface). Calculez le taux par minute à partir d'échantillons séquentiels. Utile pour la détection d'abus de bande passante et l'analyse de trafic asymétrique. Xitogent expose les totaux et les taux par pair.
    Comment surveiller WireGuard avec Prometheus / Grafana ?
    (MindFlavor) est l'exporteur Prometheus canonique pour WireGuard — il exécute `wg show` et expose les métriques par pair sur `/metrics`. Associez à des tableaux de bord Grafana préconçus. Xitogent lit `wg show` directement sans exporteur — choisissez ce qui correspond à votre pile.
    Surveillance WireGuard vs OpenVPN — quelles différences ?
    OpenVPN est avec état, de style TCP — événements explicites de connexion/déconnexion, bande passante + durée par session, faciles à suivre. WireGuard est UDP sans état — pas d'événement « connect », pas de notion de session ; « le pair est-il en vie » est déduit de l'âge du handshake. OpenVPN dispose d'une PKI + RADIUS riche par utilisateur pour l'entreprise ; WireGuard utilise de simples paires PublicKey/PrivateKey sans chaînes RADIUS. Les deux sont valides en 2026 — utilisez la bonne intégration pour le bon protocole.
    Quelle MTU dois-je utiliser avec WireGuard ?
    WireGuard ajoute 80 octets d'overhead à chaque paquet. Sur un lien Ethernet standard de 1500 octets, définissez la MTU WireGuard à 1420 (1500 - 80). Sur VXLAN, GRE ou un autre lien encapsulé, soustrayez l'overhead supplémentaire. Une MTU erronée provoque la fragmentation ou l'abandon des gros paquets — visible comme erreurs RX sur l'interface et signalements « parfois mon SSH gèle ».
    Cela fonctionne-t-il avec Tailscale, NetBird ou Cilium WireGuard ?
    Oui — tous utilisent la même interface `wg*` sous-jacente, donc `wg show` fonctionne à l'identique. Pour Tailscale, surveillez à la fois `tailscale status` (pour le plan de coordination : ACL, MagicDNS, état d'authentification) ET l'interface `wg0` sous-jacente (pour les tunnels chiffrés réels). Idem pour Headscale, NetBird, Netmaker. Le mode WireGuard de Cilium expose les pairs par nœud — surveillez sur l'ensemble du cluster.
    Xitogent prend-il en charge WireGuard en espace utilisateur ?
    Oui. Le WireGuard noyau (Linux 5.6+ in-tree) et `wireguard-go` en espace utilisateur sont tous deux pris en charge — les deux exposent la même interface `wg show`. L'espace utilisateur est plus lent (~15 % de pénalité de débit) mais fonctionne sur des plateformes sans le module noyau (anciens noyaux Linux, BSD, macOS, Windows). Pour Windows, l'application WireGuard pour Windows utilise un pilote en mode noyau — l'agent Windows de Xitogent lit via la surface IOCTL équivalente.

    Commencer à surveiller WireGuard aujourd'hui

    Configuration en moins de 60 secondes. Aucune carte bancaire requise. Statistiques complètes dès le premier jour.

    Commencer l'essai gratuit

    Continuez à explorer

    Connexes Intégrations