9 Мониторинг сертификатов веб-сайтов с помощью Zabbix agent 2 (пассивный)

Введение

Это руководство предоставляет исчерпывающий обзор того, как настроить и отслеживать SSL/TLS-сертификаты с использованием ключа web.certificate.get в агенте Zabbix 2. Оно предназначено для упрощения мониторинга сертификатов для одного или нескольких веб-сайтов, позволяя администраторам быстро выявлять потенциальные проблемы, такие как просроченные или недействительные сертификаты.

Для кого предназначено это руководство

Это руководство предназначено для новых пользователей Zabbix и содержит минимальный набор шагов, необходимых для включения базового мониторинга сертификатов веб-сайтов. Если вам нужны возможности глубокой настройки или более расширенная конфигурация, см. раздел Configuration руководства Zabbix.

Предварительные требования

Перед тем как продолжить работу с этим руководством, вам необходимо загрузить и установить сервер Zabbix, веб-интерфейс Zabbix и агент Zabbix 2 в соответствии с инструкциями для вашей ОС. В этом руководстве предполагается, что сервер Zabbix и агент установлены на одном и том же компьютере; поэтому в конфигурации используется 127.0.0.1.

Configure Zabbix agent 2

1. Open the Zabbix agent configuration file (default path: /etc/zabbix/zabbix_agent2.conf):

sudo vi /etc/zabbix/zabbix_agent2.conf

2. Set the Server parameter to 127.0.0.1, since the agent and server are running on the same machine:

Server=127.0.0.1

3. Save the file and restart the Zabbix agent 2 service:

sudo systemctl restart zabbix-agent2

4. After setup and configuring Zabbix agent 2, test its availability with:

zabbix_get -s 127.0.0.1 -k web.certificate.get[<website_DNS_name>]

Zabbix agent 2 includes the WebCertificate plugin by default, so no separate installation or configuration is required.

Настройка веб-интерфейса Zabbix

1. Войдите в веб-интерфейс Zabbix.

2. Перейдите в Monitoring > Hosts.

3. Нажмите на существующий узел сети, для которого вы хотите отслеживать сертификаты веб-сайтов, или создайте узел сети, если это необходимо:

  • В поле Host name введите имя узла сети (например, "Certificate Monitoring").
  • В поле Templates введите или выберите шаблон "Website certificate by Zabbix agent 2", который будет привязан к узлу сети.
  • В поле Host groups введите или выберите группу узлов сети (например, "SSL/TLS Monitoring").
  • В поле Interfaces добавьте интерфейс типа "Agent" и укажите IP-адрес. В этом примере используется "127.0.0.1".

  • На вкладке Macros переключитесь на Inherited and host macros, найдите следующие макросы и нажмите Change рядом со значением макроса, чтобы обновить его:
    • {$CERT.WEBSITE.HOSTNAME} - в качестве значения укажите нужное DNS-имя веб-сайта.

4. Нажмите Add, чтобы добавить узел сети.

Чтобы отслеживать несколько веб-сайтов, вы можете указать в макросе {$CERT.WEBSITE.HOSTNAME} список их имен узлов, разделенных запятыми. При необходимости вы также можете указать в макросе {$CERT.WEBSITE.PORT} список портов, разделенных запятыми, где каждый порт соответствует соответствующему имени узла в том же порядке. Например, чтобы отслеживать example.com и example.org на порту 8443:

  • {$CERT.WEBSITE.HOSTNAME}: example.com,example.org
  • {$CERT.WEBSITE.PORT}: 443,8443

Для каждого веб-сайта, указанного в макросе {$CERT.WEBSITE.HOSTNAME}, Zabbix создаст соответствующий набор элементов данных и триггеров. Это позволяет выполнять отдельный мониторинг и оповещение для SSL-сертификата каждого веб-сайта.

Просмотр собранных метрик

Поздравляем! На этом этапе Zabbix уже отслеживает нужный веб-сертификат.

Чтобы просмотреть собранные метрики, перейдите в раздел меню Monitoring > Hosts и нажмите Latest data рядом с узлом сети, чтобы просмотреть все последние собранные метрики в виде списка, например дату истечения срока действия, издателя и субъект.

Настройка оповещений о проблемах

Zabbix может уведомлять вас о проблемах в инфраструктуре. Это руководство содержит основные шаги настройки для отправки оповещений по электронной почте.

1. Перейдите в Настройки пользователя > Профиль, откройте вкладку Media и добавьте свой адрес электронной почты.

2. Следуйте руководству по получению уведомления о проблеме.

В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.

Проверьте вашу конфигурацию

Чтобы проверить вашу конфигурацию, мы можем смоделировать реальную проблему, изменив конфигурацию узла сети в веб-интерфейсе Zabbix.

1. Откройте конфигурацию узла сети "Certificate Monitoring" в Zabbix.

2. Перейдите на вкладку Macros и выберите Inherited and host macros.

3. Нажмите Change рядом с ранее настроенным значением макроса {$CERT.EXPIRY.WARN} и задайте очень большое число дней (достаточно значения больше 365 дней), чтобы получать предупреждение до истечения срока действия сертификата.

4. Нажмите Update, чтобы обновить конфигурацию узла сети.

5. Через несколько мгновений Zabbix обнаружит проблему "SSL certificate expires soon" с указанием количества дней до истечения срока действия. Проблема появится в Monitoring > Problems.

Если настроены оповещения, вы также получите уведомление о проблеме.

6. Верните значение макроса к предыдущему значению, чтобы устранить проблему и продолжить мониторинг значений сертификата.

См. также