9 Мониторинг сертификатов веб-сайтов с помощью Zabbix агент 2 (пассивный)

Введение

Это руководство содержит исчерпывающий обзор того, как настроить мониторинг SSL/TLS-сертификатов с помощью ключа web.certificate.get в Zabbix агент 2. Оно предназначено для упрощения мониторинга сертификатов для одного или нескольких веб-сайтов, чтобы администраторы могли быстро выявлять потенциальные проблемы, такие как истекшие или недействительные сертификаты.

Для кого предназначено это руководство

Это руководство предназначено для новых пользователей Zabbix и содержит минимальный набор шагов, необходимых для включения базового мониторинга сертификатов веб-сайта. Если вам нужны возможности глубокой настройки или более расширенная конфигурация, см. раздел Configuration руководства Zabbix.

Предварительные требования

Прежде чем продолжить работу с этим руководством, необходимо загрузить и установить Zabbix сервер, веб-интерфейс Zabbix и агент Zabbix 2 в соответствии с инструкциями для вашей ОС. В этом руководстве предполагается, что и сервер Zabbix, и агент установлены на одной и той же машине; поэтому в конфигурации используется 127.0.0.1.

Настройка Zabbix агент 2

1. Откройте файл конфигурации Zabbix агента (путь по умолчанию: /etc/zabbix/zabbix_agent2.conf):

sudo vi /etc/zabbix/zabbix_agent2.conf

2. Установите параметр Server в значение 127.0.0.1, так как агент и сервер запущены на одной и той же машине:

Server=127.0.0.1

3. Сохраните файл и перезапустите службу Zabbix агент 2:

sudo systemctl restart zabbix-agent2

4. После установки и настройки Zabbix агент 2 проверьте его доступность с помощью:

zabbix_get -s 127.0.0.1 -k web.certificate.get[<website_DNS_name>]

Zabbix агент 2 по умолчанию включает плагин WebCertificate, поэтому отдельная установка или настройка не требуется.

Настройка веб-интерфейса Zabbix

1. Войдите в веб-интерфейс Zabbix.

2. Перейдите в Monitoring > Hosts.

3. Нажмите на существующий узел сети, на котором вы хотите отслеживать сертификаты веб-сайтов, или создайте узел сети, если это необходимо:

  • В поле Host name введите имя узла сети (например, "Certificate Monitoring").
  • В поле Templates введите или выберите шаблон "Website certificate by Zabbix agent 2", который будет привязан к узлу сети.
  • В поле Host groups введите или выберите группу узлов сети (например, "SSL/TLS Monitoring").
  • В поле Interfaces добавьте интерфейс типа "Agent" и укажите IP-адрес. В этом примере используется "127.0.0.1".

  • На вкладке Macros переключитесь на Inherited and host macros, найдите следующие макросы и нажмите Change рядом со значением макроса, чтобы обновить его:
    • {$CERT.WEBSITE.HOSTNAME} — введите в качестве значения нужное DNS-имя веб-сайта.

4. Нажмите Add, чтобы добавить узел сети.

Чтобы отслеживать несколько веб-сайтов, вы можете указать список их имен узлов, разделенных запятыми, в макросе {$CERT.WEBSITE.HOSTNAME}. При необходимости вы также можете указать список портов, разделенных запятыми, в макросе {$CERT.WEBSITE.PORT}, где каждый порт соответствует имени узла в том же порядке. Например, чтобы отслеживать example.com и example.org на порту 8443:

  • {$CERT.WEBSITE.HOSTNAME}: example.com,example.org
  • {$CERT.WEBSITE.PORT}: 443,8443

Для каждого веб-сайта, указанного в макросе {$CERT.WEBSITE.HOSTNAME}, Zabbix создаст соответствующий набор элементов данных и триггеров. Это позволяет выполнять индивидуальный мониторинг и оповещение для SSL-сертификата каждого веб-сайта.

Просмотр собранных метрик

Поздравляем! На этом этапе Zabbix уже выполняет мониторинг нужного веб-сертификата.

Чтобы просмотреть собранные метрики, перейдите в раздел меню Мониторинг > Узлы сети и нажмите Последние данные рядом с узлом сети, чтобы увидеть все последние собранные метрики в виде списка, такие как дата истечения срока действия, издатель и субъект.

Настройка оповещений о проблемах

Zabbix может уведомлять вас о проблемах в инфраструктуре. В этом руководстве приведены основные шаги по настройке отправки оповещений по электронной почте.

1. Перейдите в Настройки пользователя > Профиль, откройте вкладку Способы оповещения и добавьте свой адрес электронной почты.

2. Следуйте руководству Получение уведомления о проблеме.

В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.

Проверьте вашу конфигурацию

Чтобы проверить вашу конфигурацию, мы можем смоделировать реальную проблему, обновив конфигурацию узла сети в веб-интерфейс Zabbix.

1. Откройте конфигурацию вашего узла сети "Certificate Monitoring" в Zabbix.

2. Перейдите на вкладку Macros и выберите Inherited and host macros.

3. Нажмите Change рядом с ранее настроенным значением макроса {$CERT.EXPIRY.WARN} и установите очень большое количество дней (более 365 дней должно быть достаточно), чтобы получить предупреждение до истечения срока действия сертификата.

4. Нажмите Update, чтобы обновить конфигурацию узла сети.

5. Через некоторое время Zabbix обнаружит проблему "SSL certificate expires soon" с указанием количества дней до истечения срока действия. Проблема появится в разделе Monitoring > Problems.

Если оповещения настроены, вы также получите уведомление о проблеме.

6. Измените значение макроса обратно на предыдущее, чтобы устранить проблему и продолжить мониторинг значений сертификата.

См. также