9 Monitorare i certificati dei siti web con Zabbix agent 2 (passivo)

Introduzione

Questa guida fornisce una panoramica completa su come configurare e monitorare i certificati SSL/TLS utilizzando la chiave web.certificate.get in Zabbix agent 2. È progettata per semplificare il monitoraggio dei certificati per uno o più siti web, garantendo agli amministratori di poter identificare rapidamente potenziali problemi come certificati scaduti o non validi.

A chi è rivolta questa guida

Questa guida è pensata per i nuovi utenti di Zabbix e contiene il set minimo di passaggi necessari per abilitare il monitoraggio di base dei certificati dei siti web. Se stai cercando opzioni di personalizzazione approfondite o hai bisogno di una configurazione più avanzata, consulta la sezione Configuration del manuale di Zabbix.

Prerequisiti

Prima di procedere con questa guida, è necessario scaricare e installare Zabbix server, Zabbix frontend e Zabbix agent 2 secondo le istruzioni per il proprio sistema operativo. Questo tutorial presuppone che sia Zabbix server sia agent siano installati sulla stessa macchina; pertanto, nella configurazione viene utilizzato 127.0.0.1.

Configurare Zabbix agent 2

1. Aprire il file di configurazione di Zabbix agent (percorso predefinito: /etc/zabbix/zabbix_agent2.conf):

sudo vi /etc/zabbix/zabbix_agent2.conf

2. Impostare il parametro Server su 127.0.0.1, poiché agent e server sono in esecuzione sulla stessa macchina:

Server=127.0.0.1

3. Salvare il file e riavviare il servizio Zabbix agent 2:

sudo systemctl restart zabbix-agent2

4. Dopo l'installazione e la configurazione di Zabbix agent 2, verificarne la disponibilità con:

zabbix_get -s 127.0.0.1 -k web.certificate.get[<website_DNS_name>]

Zabbix agent 2 include il plugin WebCertificate per impostazione predefinita, quindi non è richiesta alcuna installazione o configurazione separata.

Configurare il frontend di Zabbix

1. Accedi al frontend di Zabbix.

2. Vai a Monitoring > Hosts.

3. Fai clic su un host esistente in cui vuoi monitorare i certificati dei siti web, oppure crea un host se necessario:

  • Nel campo Host name, inserisci un nome host (ad esempio, "Certificate Monitoring").
  • Nel campo Templates, digita o seleziona il template "Website certificate by Zabbix agent 2" che verrà collegato all'host.
  • Nel campo Host groups, digita o seleziona un gruppo host (ad esempio, "SSL/TLS Monitoring").
  • Nel campo Interfaces, aggiungi un'interfaccia di tipo "Agent" e specifica un indirizzo IP. Per questo esempio viene utilizzato "127.0.0.1".

  • Nella scheda Macros, passa a Inherited and host macros, cerca le seguenti macro e fai clic su Change accanto al valore della macro per aggiornarlo:
    • {$CERT.WEBSITE.HOSTNAME} - inserisci come valore il nome DNS del sito web desiderato.

4. Fai clic su Add per aggiungere l'host.

Per monitorare più siti web, puoi specificare un elenco di nomi host separati da virgole nella macro {$CERT.WEBSITE.HOSTNAME}. Facoltativamente, puoi anche fornire un elenco di porte separato da virgole nella macro {$CERT.WEBSITE.PORT}, in cui ogni porta corrisponde al rispettivo nome host nello stesso ordine. Ad esempio, per monitorare example.com ed example.org sulla porta 8443:

  • {$CERT.WEBSITE.HOSTNAME}: example.com,example.org
  • {$CERT.WEBSITE.PORT}: 443,8443

Per ogni sito web specificato nella macro {$CERT.WEBSITE.HOSTNAME}, Zabbix creerà un insieme corrispondente di item e trigger. Ciò consente il monitoraggio e l'invio di avvisi individuali per il certificato SSL di ciascun sito web.

Visualizzare le metriche raccolte

Congratulazioni! A questo punto, Zabbix sta già monitorando il certificato web desiderato.

Per visualizzare le metriche raccolte, andare alla sezione di menu Monitoring > Hosts e fare clic su Latest data accanto all'host per visualizzare in un elenco tutte le metriche raccolte più recenti, come la data di scadenza, l'emittente e il soggetto.

Configurare gli avvisi di problema

Zabbix può notificarti i problemi dell'infrastruttura. Questa guida fornisce i passaggi di configurazione di base per l'invio di avvisi email.

1. Vai a Impostazioni utente > Profilo, passa alla scheda Supporti e aggiungi il tuo indirizzo email.

2. Segui la guida per Ricevere una notifica di problema.

La prossima volta che Zabbix rileverà un problema, dovresti ricevere un avviso via email.

Testa la tua configurazione

Per testare la tua configurazione, possiamo simulare un problema reale aggiornando la configurazione del host nel frontend di Zabbix.

1. Apri la configurazione del tuo host "Certificate Monitoring" in Zabbix.

2. Passa alla scheda Macros e seleziona Inherited and host macros.

3. Fai clic su Change accanto al valore della macro {$CERT.EXPIRY.WARN} configurata in precedenza e imposta un numero di giorni molto alto (maggiore di 365 giorni dovrebbe essere sufficiente) per ricevere un avviso prima della scadenza del certificato.

4. Fai clic su Update per aggiornare la configurazione del host.

5. Tra qualche istante, Zabbix rileverà il problema "SSL certificate expires soon", con il numero di giorni rimanenti alla scadenza. Il problema apparirà in Monitoring > Problems.

Se gli avvisi sono configurati, riceverai anche la notifica del problema.

6. Riporta il valore della macro al valore precedente per risolvere il problema e continuare a monitorare i valori del certificato.

Vedi anche