VPN
    Aggiornato il maggio 2026
    WireGuard logo

    WireGuard Monitoraggio

    Monitora in tempo reale le connessioni tra peer WireGuard, lo stato dell'handshake, le metriche relative al trasferimento dei dati e lo stato di integrità del tunnel senza alcuna configurazione.

    Inizia la prova gratuitaVisualizza documenti

    Perché monitorare WireGuard?

    WireGuard è un protocollo VPN moderno e ad alte prestazioni. Il monitoraggio di WireGuard garantisce connessioni peer corrette, handshake riusciti e una velocità di trasmissione ottimale del tunnel per la tua infrastruttura di rete sicura.

    Rilevamento automatico tramite Xitogent
    Stato di connessione dei peer
    Monitoraggio dell'ultimo handshake
    Trasferimento dati per peer
    Raggiungibilità degli endpoint
    Metriche a livello di interfaccia
    Supporto multi-interfaccia
    Intervalli di raccolta di 1 minuto
    Wire-compatible con il modello dati
    Intervalli di raccolta metriche di 1 minuto out of the box
    Cos'è il monitoraggio di WireGuard?

    Il monitoraggio di WireGuard, spiegato

    Il monitoraggio di WireGuard intercetta peer morti (nessun handshake recente = disconnessione silenziosa), cambi di endpoint (l'IP pubblico di un peer è cambiato o il mapping NAT è scaduto), abusi di banda per peer ed errori di pacchetto a livello di interfaccia prima che si manifestino come segnalazioni di tipo "la mia VPN a volte non funziona". Poiché WireGuard è UDP stateless — non c'è un evento di "connect" o "disconnect" come in OpenVPN — l'età dell'handshake è il segnale canonico di "questo peer è vivo". Per server VPN di accesso remoto, tunnel site-to-site, crittografia pod-to-pod Kubernetes via Cilium e reti mesh (Tailscale / NetBird), la visibilità sull'età dell'handshake per peer è ciò che separa un alert di 60 secondi su un tunnel caduto dal trovare peer offline per ore. Xitoring scopre automaticamente ogni interfaccia wg*, legge wg show all dump e indirizza gli alert verso Slack, PagerDuty, Telegram o la sua on-call esistente.

    Indicatori

    Ciò che monitoriamo

    Peer attivi

    Peer WireGuard connessi.

    Ultimo handshake

    Tempo trascorso dall'ultimo handshake riuscito.

    Trasferimento RX/TX

    Dati ricevuti e inviati per peer.

    Stato dell'endpoint

    Raggiungibilità dell'endpoint dei peer.

    Traffico di interfaccia

    Traffico totale attraverso l'interfaccia WireGuard.

    Endpoint per peer

    address:port pubblico al quale il peer è attualmente raggiungibile. I cambi di endpoint segnalano remapping NAT, movimento di peer mobile o rotazione IP lato peer.

    Allowed IP

    Elenco delle subnet instradate a ciascun peer (usato sia per routing che per controllo di accesso). Cambi inattesi segnalano drift di configurazione; voci mancanti spiegano misteriose lacune di connettività.

    Persistent Keepalive

    Intervallo di keepalive per peer (default `0` = nessuno; il valore tipico per traversal NAT è `25` secondi). I peer dietro NAT senza keepalive appariranno morti dopo la scadenza del mapping NAT.

    Byte RX / TX dell'interfaccia

    Byte totali sull'interfaccia `wg*` da `ip -s link`. Throughput aggregato su tutti i peer — per il capacity planning.

    Pacchetti / Errori / Dropped dell'interfaccia

    Contatori di pacchetto lato kernel. Errori / drop in RX segnalano una MTU mal configurata (WireGuard aggiunge 80 byte di overhead — MTU tipica 1420 su link da 1500) o overflow dei buffer del kernel.

    Listen Port

    Porta UDP alla quale è bound l'interfaccia WireGuard (default 51820). Esposta per inventario + change detection.

    Conteggio peer (totale / configurati)

    Numero di voci peer nella config dell'interfaccia vs numero attualmente vivi. Gap = peer configurati ma che non si connettono mai (chiave errata, endpoint sbagliato, blocco firewall).

    Notifiche e avvisi

    Configurabile condizioni di attivazione

    Imposta dei trigger personalizzati nella tua dashboard per ricevere una notifica non appena le metriche dell{name}e superano le soglie da te definite.

    WireGuard pannello di controllo per la configurazione dei trigger di monitoraggio

    Handshake obsoleto

    critico

    Si attiva quando l'handshake è troppo vecchio, indicando disconnessione del peer.

    Peer offline

    critico

    Avvisa quando un peer atteso è irraggiungibile.

    Tasso di trasferimento

    avviso

    Si attiva su pattern di trasferimento anomali.

    01

    Importanza del monitoraggio WireGuard

    La semplicità di WireGuard nasconde guasti silenziosi. Gli handshake obsoleti e le disconnessioni dei peer passano inosservati senza monitoraggio.

    • Rileva handshake obsoleti che indicano perdita di connettività
    • Monitora la disponibilità dei peer
    • Tieni traccia dei tassi di trasferimento per peer
    • Garantisci la salute del tunnel
    Monitoraggio WireGuard
    Analisi dei peer
    02

    Perché scegliere Xitoring

    Monitoraggio WireGuard zero-config.

    • Installazione con un solo comando
    • Nodi globali
    • Dashboard unificata
    • Avvisi multicanale
    Panoramica
    Avvisi
    Casi d'uso

    Scenari comuni di monitoraggio WireGuard

    Dove WireGuard viene tipicamente eseguito oggi — e cosa potrebbe andare storto se nessuno sta monitorando.

    VPN moderna per l'accesso remoto per il personale

    WireGuard smette silenziosamente di comunicare con un utente quando la sua connessione si interrompe — non c'è errore, solo silenzio. Rileviamo il tunnel interrotto nel momento in cui accade, in modo che l'IT possa risolverlo prima che il personale rimanga bloccato e inizi a chiamare il supporto.

    Traffico crittografato tra server Kubernetes

    Le moderne configurazioni Kubernetes crittografano il traffico tra i server in modo che i dati interni rimangano privati. Se tale crittografia smette silenziosamente di funzionare tra due server, i dati sensibili potrebbero fluire senza protezione. Rileviamo il momento in cui qualsiasi collegamento si interrompe, in modo che la protezione rimanga effettiva.

    Reti private che collegano uffici, utenti e dispositivi

    Le moderne reti private collegano decine o centinaia di utenti, uffici e dispositivi in un'unica mesh sicura. Quando una singola connessione fallisce silenziosamente, solo una porzione della tua rete viene interessata — rendendolo difficile da individuare. Rileviamo il problema immediatamente in modo che il collegamento corretto possa essere riparato prima che più utenti vengano interessati.

    Prima di iniziare

    Prerequisiti per WireGuard

    Assicurati di avere tutto questo in posizione — la maggior parte delle installazioni dura 60 secondi una volta soddisfatte le condizioni.

    • Modulo kernel WireGuard caricato (integrato dal kernel 5.6+)
    • wireguard-tools installato (wg, wg-quick disponibili nel PATH)
    • Accesso root — i dettagli dell'interfaccia WireGuard lo richiedono
    Guida all'installazione

    Inizia con verbali

    1

    Installa Xitogent sul tuo host WireGuard

    Installa il leggero agente di monitoraggio Xitogent sull'host che esegue WireGuard.

    curl -s https://xitoring.com/install.sh | sudo bash -s -- --key=YOUR_API_KEY
    2

    Avvia l'interfaccia WireGuard

    Attiva il tunnel (es. `wg-quick up wg0`) e conferma che `wg show` restituisca lo stato dei peer. Xitogent gira come root, quindi può leggere i dettagli runtime di WireGuard direttamente — non serve alcuna configurazione di gruppo aggiuntiva.

    sudo xitogent integrate
    3

    Abilita l'integrazione WireGuard

    Usa la dashboard di Xitoring o la CLI per abilitare l'integrazione WireGuard. Xitogent rileva automaticamente ogni interfaccia `wg` sull'host insieme ai suoi peer.

    4

    Configura le soglie di allerta (opzionale)

    Imposta soglie personalizzate per Handshake obsoleti, Peer Down o anomalie nella transfer rate in modo che i tunnel inattivi compaiano negli allarmi prima che gli utenti si lamentino.

    5

    Verifica che funzioni

    Esegui questo comando sul server per confermare che Xitogent ha rilevato l'integrazione. In circa 30 secondi nuove metriche cominceranno a comparire sulla tua dashboard.

    sudo xitogent status
    Confronta

    Stai valutando alternative?

    Scopri come Xitoring si confronta con le alternative per il monitoraggio di WireGuard — prezzi fissi, integrazioni più approfondite e un unico agente che copre l'intero stack.

    Vedi tutti i confronti

    Spesso domande poste

    Kernel o spazio utente?
    Sono supportati sia WireGuard a livello di kernel che a livello di spazio utente.
    Più interfacce?
    Sì, tutte le interfacce wg sono monitorate.
    Come rilevo le disconnessioni dei peer WireGuard?
    WireGuard non ha un evento di `disconnect` (UDP stateless). Il rilevamento è: peer configurato + nessun handshake recente = disconnesso. Tracci il `latest_handshake` di ciascun peer nel tempo — quando smette di avanzare, il peer è offline. Per scenari di traversal NAT in cui i peer perdono connettività alla scadenza del mapping NAT, configuri `PersistentKeepalive = 25` per mantenere fluenti gli handshake.
    Come controllo i byte trasferiti per peer in WireGuard?
    `wg show all dump` include `transfer_rx_bytes` e `transfer_tx_bytes` per peer (cumulativi dall'attivazione dell'interfaccia). Calcoli il tasso al minuto da campioni sequenziali. Utile per il rilevamento di abusi di banda e l'analisi del traffico asimmetrico. Xitogent espone sia i totali sia i tassi per peer.
    Come monitoro WireGuard con Prometheus / Grafana?
    (MindFlavor) è l'exporter Prometheus canonico per WireGuard — esegue `wg show` ed espone metriche per peer su `/metrics`. Si abbina a dashboard Grafana prebuilt. Xitogent legge `wg show` direttamente senza exporter — scelga ciò che si adatta al suo stack.
    WireGuard vs OpenVPN nel monitoraggio — cosa cambia?
    OpenVPN è stateful in stile TCP — eventi espliciti di connect/disconnect, banda + durata per sessione, facile da tracciare. WireGuard è UDP stateless — nessun evento di "connect", nessun concetto di sessione; "il peer è vivo" si deduce dall'età dell'handshake. OpenVPN ha PKI + RADIUS ricchi per utente per l'enterprise; WireGuard usa coppie PublicKey/PrivateKey più semplici senza catene RADIUS. Entrambi sono validi nel 2026 — usi la giusta integrazione per il giusto protocollo.
    Quale MTU dovrei usare con WireGuard?
    WireGuard aggiunge 80 byte di overhead a ogni pacchetto. Su un link Ethernet standard da 1500 byte, imposti la MTU WireGuard a 1420 (1500 - 80). Su VXLAN, GRE o un altro link incapsulato, sottragga l'overhead aggiuntivo. Una MTU sbagliata fa frammentare o droppare i pacchetti grandi — visibile come errori RX sull'interfaccia e segnalazioni di "a volte la mia SSH si blocca".
    Funziona con Tailscale, NetBird o Cilium WireGuard?
    Sì — tutti usano la stessa interfaccia `wg*` sottostante, quindi `wg show` funziona allo stesso modo. Per Tailscale, monitori sia `tailscale status` (per il piano di coordinamento: ACL, MagicDNS, stato di auth) SIA l'interfaccia `wg0` sottostante (per i tunnel cifrati effettivi). Lo stesso per Headscale, NetBird, Netmaker. La modalità WireGuard di Cilium espone i peer per nodo — monitori sull'intero cluster.
    Xitogent supporta WireGuard userspace?
    Sì. Sono supportati sia WireGuard del kernel (Linux 5.6+ in-tree) sia `wireguard-go` userspace — entrambi espongono la stessa interfaccia `wg show`. Userspace è più lento (~15% di penalità di throughput) ma funziona su piattaforme senza modulo kernel (kernel Linux precedenti, BSD, macOS, Windows). Per Windows, l'app WireGuard for Windows usa un driver in modalità kernel — l'agente Windows di Xitogent legge tramite la superficie IOCTL equivalente.

    Inizia a monitorare WireGuard oggi

    Configurazione in meno di 60 secondi. Non è richiesta alcuna carta di credito. Statistiche complete fin dal primo giorno.

    Inizia la prova gratuita

    Continua a esplorare

    Correlati Integrazioni