Мониторинг сертификатов веб-сайтов с помощью агента Zabbix 2 (пассивный)

Введение

Это руководство предоставляет исчерпывающий обзор того, как настроить и отслеживать SSL/TLS-сертификаты с использованием ключа web.certificate.get в агенте Zabbix 2. Оно предназначено для упрощения мониторинга сертификатов для одного или нескольких веб-сайтов, позволяя администраторам быстро выявлять потенциальные проблемы, такие как просроченные или недействительные сертификаты.

Для кого предназначено это руководство

Это руководство предназначено для новых пользователей Zabbix и содержит минимальный набор шагов, необходимых для включения базового мониторинга сертификатов веб-сайтов. Если вам нужны возможности глубокой настройки или более расширенная конфигурация, см. раздел Configuration руководства Zabbix.

Предварительные требования

Перед тем как продолжить работу с этим руководством, вам необходимо загрузить и установить сервер Zabbix, веб-интерфейс Zabbix и агент Zabbix 2 в соответствии с инструкциями для вашей ОС. В этом руководстве предполагается, что сервер Zabbix и агент установлены на одном и том же компьютере; поэтому в конфигурации используется 127.0.0.1.

Настройка Zabbix agent 2

1. Откройте файл конфигурации агента Zabbix (путь по умолчанию: /etc/zabbix/zabbix_agent2.conf):

sudo vi /etc/zabbix/zabbix_agent2.conf

2. Установите параметр Server в значение 127.0.0.1, поскольку агент и сервер работают на одном и том же компьютере:

Server=127.0.0.1

3. Сохраните файл и перезапустите службу Zabbix agent 2:

sudo systemctl restart zabbix-agent2

4. После настройки и конфигурирования Zabbix agent 2 проверьте его доступность с помощью:

zabbix_get -s 127.0.0.1 -k web.certificate.get[<website_DNS_name>]

Zabbix agent 2 по умолчанию включает плагин WebCertificate, поэтому отдельная установка или настройка не требуется.

Настройка веб-интерфейса Zabbix

1. Войдите в веб-интерфейс Zabbix.

2. Перейдите в Мониторинг > Узлы сети.

3. Нажмите на существующий узел сети, для которого вы хотите отслеживать сертификаты веб-сайта, или создайте узел сети, если это необходимо:

  • В поле Имя узла сети введите имя узла сети (например, "Certificate Monitoring").
  • В поле Шаблоны введите или выберите шаблон "Website certificate by Zabbix agent 2", который будет привязан к узлу сети.
  • В поле Группы узлов сети введите или выберите группу узлов сети (например, "SSL/TLS Monitoring").
  • В поле Интерфейсы добавьте интерфейс типа "Agent" и укажите IP-адрес. В этом примере используется "127.0.0.1".

  • На вкладке Макросы переключитесь на Наследуемые и макросы узла сети, найдите следующие макросы и нажмите Изменить рядом со значением макроса, чтобы обновить его:
    • {$CERT.WEBSITE.HOSTNAME} - укажите в качестве значения нужное DNS-имя веб-сайта.

4. Нажмите Добавить, чтобы добавить узел сети.

Чтобы отслеживать несколько веб-сайтов, повторите описанные выше шаги, чтобы создать отдельные узлы сети для каждого веб-сайта. Для каждого узла сети следует использовать шаблон "Website certificate by Zabbix agent 2" и настроить соответствующие макросы. Чтобы упростить процесс, рассмотрите возможность клонирования существующих узлов сети. При клонировании обязательно обновите как Имя узла сети, так и макрос {$CERT.WEBSITE.HOSTNAME}, указав нужные значения.

Просмотр собранных метрик

Поздравляем! На этом этапе Zabbix уже отслеживает нужный веб-сертификат.

Чтобы просмотреть собранные метрики, перейдите в раздел меню Monitoring > Hosts и нажмите Latest data рядом с узлом сети, чтобы просмотреть все последние собранные метрики в виде списка, например дату истечения срока действия, издателя и субъект.

Настройка оповещений о проблемах

Zabbix может уведомлять вас о проблемах в инфраструктуре. В этом руководстве приведены основные шаги настройки отправки оповещений по электронной почте.

1. Перейдите в Настройки пользователя > Профиль, откройте вкладку Media и добавьте свой адрес электронной почты.

2. Следуйте инструкциям в разделе Получение уведомления о проблеме.

В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.

Проверьте вашу конфигурацию

Чтобы проверить вашу конфигурацию, мы можем смоделировать реальную проблему, изменив конфигурацию узла сети в веб-интерфейсе Zabbix.

1. Откройте конфигурацию узла сети "Certificate Monitoring" в Zabbix.

2. Перейдите на вкладку Macros и выберите Inherited and host macros.

3. Нажмите Change рядом с ранее настроенным значением макроса {$CERT.EXPIRY.WARN} и задайте очень большое число дней (достаточно значения больше 365 дней), чтобы получать предупреждение до истечения срока действия сертификата.

4. Нажмите Update, чтобы обновить конфигурацию узла сети.

5. Через несколько мгновений Zabbix обнаружит проблему "SSL certificate expires soon" с указанием количества дней до истечения срока действия. Проблема появится в Monitoring > Problems.

Если настроены оповещения, вы также получите уведомление о проблеме.

6. Верните значение макроса к предыдущему значению, чтобы устранить проблему и продолжить мониторинг значений сертификата.

См. также