Zabbix 提供了两种保护用户宏值中敏感信息的选项:
尽管密文宏的值是隐藏的,但通过在 监控项 中使用可以将其显示出来。 例如,在外部脚本中,可以使用引用密文宏的 echo
语句将宏值显示给前端,因为 Zabbix server 可以访问真实的宏值。 请参阅密文宏值被显示的位置。
密文宏不能在触发器表达式中使用。
使用密文宏时,宏的值会以星号形式进行掩码。
要将宏值设为密文,可在值字段末尾点击按钮,并选择密文选项:
配置保存后,将无法再查看该值。
如需更改宏值,请将鼠标悬停在值字段上,并点击设置新值按钮(悬停时显示):
点击设置新值按钮(或更改宏值类型)后,当前值将被清除。 您可以通过点击值字段末尾的 箭头恢复原始值(仅在保存新配置之前可用)。 请注意,恢复原始值不会将其暴露出来。
包含密文宏的URL将无法正常工作,因为其中的宏会被解析为"******"。
使用Vault密钥宏时,宏的值将存储在外部密钥管理软件(Vault)中。
要配置Vault密钥宏,请点击值(Value)字段末尾的按钮,并选择Vault密钥(Vault secret)选项:
宏的值必须指向一个Vault密钥。
输入格式取决于Vault提供商。有关特定提供商的配置示例,请参见:
Vault密钥宏值会在每次刷新配置数据时由Zabbix server从Vault中检索,然后存储在configuration cache中。
Zabbix proxy在每次配置同步时从Zabbix server接收Vault密钥宏值,并将其存储在其自身的configuration cache中。 proxy从不直接从Vault检索宏值。 这意味着在重启后,Zabbix proxy无法开始数据采集,直到它从Zabbix server接收到配置update。
要手动刷新来自Vault的密钥值,请使用secrets_reload
运行时控制选项。
必须在Zabbix server和proxy之间启用加密;否则将记录服务器警告信息。
如果无法成功检索宏值,则使用该值的相应监控项将变为不支持状态。
此列表提供了参数的位置,在这些位置中,密钥宏值会被显示。
自 Zabbix 7.0.13 起,如果间接引用,密钥宏值在以下位置将保持被屏蔽状态。 例如,{ITEM.KEY}、{监控项.KEY<1-9>}、{LLDRULE.KEY} 监控项 在媒介类型(脚本或 Webhook 参数)中使用时,将解析为包含被屏蔽密钥宏的 监控项 键,例如 net.tcp.port[******,******]
而不是 net.tcp.port[192.0.2.0,80]
。
上下文 | 参数 | |
---|---|---|
监控项, 监控项原型, LLD 规则 | ||
监控项 | Item key parameters | |
监控项 原型 | Item prototype key parameters | |
低级别自动发现规则 | Discovery item key parameters | |
SNMP agent | SNMP community | |
Context name (SNMPv3) | ||
Security name (SNMPv3) | ||
Authentication passphrase (SNMPv3) | ||
Privacy passphrase (SNMPv3) | ||
HTTP agent | URL | |
Query fields | ||
Post | ||
Headers | ||
User name | ||
Password | ||
SSL key password | ||
脚本 | Parameters | |
Script | ||
浏览器 | Parameters | |
Script | ||
数据库监控 | SQL query | |
TELNET agent | Script | |
User name | ||
Password | ||
SSH agent | Script | |
User name | ||
Password | ||
简单检查 | User name | |
Password | ||
JMX agent | User name | |
Password | ||
监控项 值预处理 | ||
JavaScript 预处理步骤 | Script | |
Web 场景 | ||
Web 场景 | Variable value | |
Header value | ||
URL | ||
Query field value | ||
Post field value | ||
Raw post | ||
Web 场景认证 | User | |
Password | ||
SSL key password | ||
连接器 | ||
连接器 | URL | |
Username | ||
Password | ||
Token | ||
HTTP proxy | ||
SSL certificate file | ||
SSL key file | ||
SSL key password | ||
网络发现 | ||
SNMP | SNMP community | |
Context name (SNMPv3) | ||
Security name (SNMPv3) | ||
Authentication passphrase (SNMPv3) | ||
Privacy passphrase (SNMPv3) | ||
全局脚本 | ||
Webhook | JavaScript script | |
JavaScript script parameter value | ||
Telnet | Username | |
Password | ||
SSH | Username | |
Password | ||
脚本 | Script | |
媒介类型 | ||
脚本 | Script parameters | |
Webhook | Parameters | |
IPMI 管理 | ||
主机 | Username | |
Password |