4 加密用户宏
概述
Zabbix 提供了两种用于保护用户宏值中敏感信息的选项:
- 密文
- Vault 密钥
虽然密钥宏的值是隐藏的,但仍可通过在监控项中使用而被显示出来。
例如,在外部脚本中,可使用引用密钥宏的 echo 语句将宏值显示到前端,因为 Zabbix 服务器可以访问宏的真实值。
请参见密钥宏值会被取消掩码的位置。
密钥宏不能用于触发器表达式。
密文
对于密文宏,宏值会以星号掩码显示。
要将宏值设为密文,请点击 Value 字段末尾的按钮并选择 Secret text 选项:
一旦配置保存,就将无法再查看该值。
要更改宏值,请将鼠标悬停在 Value 字段上,然后点击 Set new value 按钮(悬停时显示):
当您点击 Set new value 按钮(或更改宏值类型)时,当前值将被清除。
您可以通过点击 Value 字段末尾的 
箭头来恢复原始值(仅在保存新配置之前可用)。
请注意,恢复原始值不会暴露其内容。
包含密文宏的 URL 将无法使用,因为其中的宏会被解析为 "******"。
Vault secret
使用 Vault secret 宏时,宏值会存储在外部密钥管理软件(vault)中。
要配置 Vault secret 宏,请单击 Value 字段末尾的按钮,然后选择 Vault secret 选项:
宏值必须指向一个 vault secret。 输入格式取决于 vault 提供程序。有关特定提供程序的配置示例,请参见:
Vault 密钥宏值由 Zabbix 服务器(以及 Zabbix proxy,如果 Resolve secret vault macros by 设置为 Zabbix server and proxy)在每次刷新配置数据时从 vault 中获取,然后存储在配置缓存中。
Zabbix 服务器和 Zabbix proxy 可以使用不同的 vault。
如果 Resolve secret vault macros by 设置为 Zabbix server,则 vault 密钥仅由服务器获取,而 Zabbix proxy 会在每次配置同步时从 Zabbix 服务器接收 Vault 密钥宏的值,并将其存储在自己的配置缓存中。
这意味着,Zabbix proxy 在重启后必须先收到来自 Zabbix 服务器的配置更新,才能开始采集数据。
要手动从 vault 刷新密钥值,请使用 secrets_reload 运行时控制 选项(仅服务器)。
必须在 Zabbix 服务器与 proxy 之间启用加密;否则会记录一条服务器警告消息。
如果某个宏值无法成功获取,使用该值的相应监控项将变为不支持。
未脱敏的位置
此列表提供了参数位置,在这些位置中,密钥宏值不会被脱敏。
如果通过间接方式引用,下面位置中的密钥宏值仍将保持脱敏。
例如,在媒体类型(Script 或 webhook 参数)中使用的 {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} 内置宏 将解析为包含已脱敏密钥宏的监控项键,例如 net.tcp.port[******,******],而不是 net.tcp.port[192.0.2.1,80]。
| Context | Parameter | |
|---|---|---|
| 监控项、监控项原型、LLD 规则 | ||
| 监控项 | 监控项键参数 | |
| 监控项原型 | 监控项原型键参数 | |
| 低级别发现规则 | 发现监控项键参数 | |
| SNMP agent | SNMP community | |
| Context name (SNMPv3) | ||
| Security name (SNMPv3) | ||
| Authentication passphrase (SNMPv3) | ||
| Privacy passphrase (SNMPv3) | ||
| HTTP agent | URL | |
| Query fields | ||
| Request body | ||
| Headers | ||
| User name | ||
| Password | ||
| SSL key password | ||
| Script | Parameters | |
| Script | ||
| Browser | Parameters | |
| Script | ||
| Database monitor | SQL query | |
| TELNET agent | Script | |
| User name | ||
| Password | ||
| SSH agent | Script | |
| User name | ||
| Password | ||
| Simple check | User name | |
| Password | ||
| JMX agent | User name | |
| Password | ||
| 监控项值预处理 | ||
| JavaScript 预处理步骤 | Script | |
| Web 场景 | ||
| Web 场景 | Variable value | |
| Header value | ||
| URL | ||
| Query field value | ||
| Post field value | ||
| Raw post | ||
| Web 场景认证 | User | |
| Password | ||
| SSL key password | ||
| 连接器 | ||
| 连接器 | URL | |
| Username | ||
| Password | ||
| Token | ||
| HTTP proxy | ||
| SSL certificate file | ||
| SSL key file | ||
| SSL key password | ||
| 网络发现 | ||
| SNMP | SNMP community | |
| Context name (SNMPv3) | ||
| Security name (SNMPv3) | ||
| Authentication passphrase (SNMPv3) | ||
| Privacy passphrase (SNMPv3) | ||
| 全局脚本 | ||
| Webhook | JavaScript script | |
| JavaScript script parameter value | ||
| Telnet | Username | |
| Password | ||
| SSH | Username | |
| Password | ||
| Script | Script | |
| 媒体类型 | ||
| Script | Script parameters | |
| Webhook | Parameters | |
| IPMI 管理 | ||
| 主机 | Username | |
| Password | ||