Zabbix provides two options for protecting sensitive information in user macro values:
Note that while the value of a secret macro is hidden, the value can be revealed through the use in items. For example, in an external script an 'echo' statement referencing a secret macro may be used to reveal the macro value to the frontend because Zabbix server has access to the real macro value.
Secret macros cannot be used in trigger expressions.
Waarden van geheime tekstmacro's worden verborgen door asterisken.
Om de waarde van een macro 'geheim' te maken, klik je op de knop aan het einde van het waardeveld en selecteer je de optie Geheim tekstmateriaal.
Zodra de configuratie is opgeslagen, is het niet langer mogelijk om de waarde te bekijken.
De waarde van de macro wordt weergegeven als asterisken.
Om een nieuwe waarde in te voeren, zweef je over het waardeveld en klik je op de knop Nieuwe waarde instellen (verschijnt bij het zweven).
Als je het type macro-waarde wijzigt of op Nieuwe waarde instellen drukt, wordt de huidige waarde gewist. Om de oorspronkelijke waarde te herstellen, gebruik je de pijl naar links aan het einde van het Waarde-veld (alleen beschikbaar voordat de nieuwe configuratie wordt opgeslagen). Het herstellen van de waarde zal deze niet onthullen.
URL's die een geheime macro bevatten, werken niet omdat de macro erin wordt opgelost als "******".
Met Vault-geheime macro's wordt de daadwerkelijke waarde van de macro opgeslagen in externe software voor geheimbeheer (vault).
Om een Vault-geheime macro te configureren, klik je op de knop aan het einde van het Waarde-veld en selecteer je de optie Vault-geheim.
De waarde van de macro moet verwijzen naar een vault-geheim. Het invoerformaat hangt af van de vault-provider. Voor provider-specifieke configuratievoorbeelden, zie:
Vault-geheime waarden worden door de Zabbix-server opgehaald bij elke vernieuwing van de configuratiegegevens en vervolgens opgeslagen in de configuratiecache.
Om handmatig een vernieuwing van de geheime waarden uit een vault te activeren, gebruik je de 'secrets_reload' command-line optie.
Zabbix-proxy ontvangt waarden van vault-geheime macro's van de Zabbix-server bij elke synchronisatie van de configuratie en slaat ze op in zijn eigen configuratiecache. De proxy haalt macro-waarden nooit rechtstreeks uit de vault op. Dat betekent dat een Zabbix-proxy geen gegevensverzameling kan starten na een herstart totdat het voor de eerste keer de configuratiegegevensupdate van de Zabbix-server ontvangt.
Versleuteling moet zijn ingeschakeld tussen Zabbix-server en proxy; anders wordt er een waarschuwingsbericht van de server gelogd.
Als een macro-waarde niet succesvol kan worden opgehaald, wordt het bijbehorende item dat de waarde gebruikt, niet ondersteund.