9 Мониторинг сертификатов веб-сайтов с помощью Zabbix агент 2 (пассивный)

Введение

Это руководство содержит исчерпывающий обзор того, как настроить мониторинг SSL/TLS-сертификатов с помощью ключа web.certificate.get в Zabbix агент 2. Оно предназначено для упрощения мониторинга сертификатов для одного или нескольких веб-сайтов, чтобы администраторы могли быстро выявлять потенциальные проблемы, такие как истекшие или недействительные сертификаты.

Для кого предназначено это руководство

Это руководство предназначено для новых пользователей Zabbix и содержит минимальный набор шагов, необходимых для включения базового мониторинга сертификатов веб-сайта. Если вам нужны возможности глубокой настройки или более расширенная конфигурация, см. раздел Configuration руководства Zabbix.

Предварительные требования

Прежде чем продолжить работу с этим руководством, необходимо загрузить и установить Zabbix сервер, веб-интерфейс Zabbix и агент Zabbix 2 в соответствии с инструкциями для вашей ОС. В этом руководстве предполагается, что и сервер Zabbix, и агент установлены на одной и той же машине; поэтому в конфигурации используется 127.0.0.1.

Настройка Zabbix агент 2

1. Откройте файл конфигурации Zabbix агента (путь по умолчанию: /etc/zabbix/zabbix_agent2.conf):

sudo vi /etc/zabbix/zabbix_agent2.conf

2. Установите параметр Server в значение 127.0.0.1, так как агент и сервер запущены на одной и той же машине:

Server=127.0.0.1

3. Сохраните файл и перезапустите службу Zabbix агент 2:

sudo systemctl restart zabbix-agent2

4. После установки и настройки Zabbix агент 2 проверьте его доступность с помощью:

zabbix_get -s 127.0.0.1 -k web.certificate.get[<website_DNS_name>]

Zabbix агент 2 по умолчанию включает плагин WebCertificate, поэтому отдельная установка или настройка не требуется.

Настройка веб-интерфейса Zabbix

1. Войдите в веб-интерфейс Zabbix.

2. Перейдите в Мониторинг > Узлы сети.

3. Нажмите на существующий узел сети, для которого вы хотите отслеживать сертификаты веб-сайтов, или создайте узел сети, если это необходимо:

  • В поле Имя узла сети введите имя узла сети (например, "Certificate Monitoring").
  • В поле Шаблоны введите или выберите шаблон "Website certificate by Zabbix agent 2", который будет привязан к узлу сети.
  • В поле Группы узлов сети введите или выберите группу узлов сети (например, "SSL/TLS Monitoring").
  • В поле Интерфейсы добавьте интерфейс типа "Agent" и укажите IP-адрес. В этом примере используется "127.0.0.1".

  • На вкладке Макросы переключитесь на Унаследованные и макросы узла сети, найдите следующие макросы и нажмите Изменить рядом со значением макроса, чтобы обновить его:
    • {$CERT.WEBSITE.HOSTNAME} - укажите в качестве значения нужное DNS-имя веб-сайта.

4. Нажмите Добавить, чтобы добавить узел сети.

Чтобы отслеживать несколько веб-сайтов, можно указать в макросе {$CERT.WEBSITE.HOSTNAME} список их имен узлов, разделенных запятыми. При необходимости можно также указать в макросе {$CERT.WEBSITE.PORT} список портов, разделенных запятыми, где каждый порт соответствует соответствующему имени узла в том же порядке. Например, чтобы отслеживать example.com и example.org на порту 8443:

  • {$CERT.WEBSITE.HOSTNAME}: example.com,example.org
  • {$CERT.WEBSITE.PORT}: 443,8443

Для каждого веб-сайта, указанного в макросе {$CERT.WEBSITE.HOSTNAME}, Zabbix создаст соответствующий набор элементов данных и триггеров. Это позволяет выполнять отдельный мониторинг и получать оповещения для SSL-сертификата каждого веб-сайта.

Просмотр собранных метрик

Поздравляем! На этом этапе Zabbix уже отслеживает нужный веб-сертификат.

Чтобы просмотреть собранные метрики, перейдите в раздел меню Monitoring > Hosts и нажмите Latest data рядом с узлом сети, чтобы просмотреть все последние собранные метрики в виде списка, например дату истечения срока действия, издателя и субъект.

Настройка оповещений о проблемах

Zabbix может уведомлять вас о проблемах в инфраструктуре. В этом руководстве приведены основные шаги по настройке отправки оповещений по электронной почте.

1. Перейдите в Настройки пользователя > Профиль, откройте вкладку Способы оповещения и добавьте свой адрес электронной почты.

2. Следуйте руководству Получение уведомления о проблеме.

В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.

Проверьте вашу конфигурацию

Чтобы проверить вашу конфигурацию, мы можем смоделировать реальную проблему, обновив конфигурацию узла сети в веб-интерфейсе Zabbix.

1. Откройте конфигурацию узла сети "Certificate Monitoring" в Zabbix.

2. Перейдите на вкладку Macros и выберите Inherited and host macros.

3. Нажмите Change рядом с ранее настроенным значением макроса {$CERT.EXPIRY.WARN} и задайте очень большое число дней (достаточно значения больше 365 дней), чтобы получать предупреждение до истечения срока действия сертификата.

4. Нажмите Update, чтобы обновить конфигурацию узла сети.

5. Через несколько мгновений Zabbix обнаружит проблему "SSL certificate expires soon" с указанием количества дней до истечения срока действия. Проблема появится в Monitoring > Problems.

Если оповещения настроены, вы также получите уведомление о проблеме.

6. Измените значение макроса обратно на прежнее, чтобы устранить проблему и продолжить мониторинг значений сертификата.

См. также