Zabbix provides two options for protecting sensitive information in user macro values:
Note that while the value of a secret macro is hidden, the value can be revealed through the use in items. For example, in an external script an 'echo' statement referencing a secret macro may be used to reveal the macro value to the frontend because Zabbix server has access to the real macro value.
Secret macros cannot be used in trigger expressions.
Los valores de las macros de texto secreto están enmascarados por asteriscos.
Para hacer que el valor de la macro sea 'secreto', haga clic en el botón al final del campo de valor y seleccione la opción Texto secreto.
Una vez guardada la configuración, ya no será posible ver el valor.
El valor de la macro se mostrará como asteriscos.
Para ingresar un nuevo valor, coloque el cursor sobre el campo de valor y presione el botón Establecer nuevo valor (aparece al pasar el cursor).
Si cambia el tipo de valor de macro o presiona Establecer nuevo valor, se borrará el valor actual. Para revertir el valor original, use la flecha hacia atrás en el extremo derecho del campo Valor (solo disponible antes de guardar la nueva configuración). Revertir el valor no lo expondrá.
Las URL que contienen una macro secreta no funcionarán ya que la macro en ellas se resolverá como "******".
Con las macros secretas de Vault, el valor real de la macro se almacena en un software de gestión de secretos externo (bóveda).
Para configurar una macro secreta de Vault, haga clic en el botón al final del campo Valor y seleccione la opción Secreto de Vault.
El valor de la macro debe apuntar a un secreto de bóveda. El formato de entrada depende del proveedor de la bóveda. Para ver ejemplos de configuración específicos del proveedor, consulte:
El servidor Zabbix recupera los valores secretos de la bóveda en cada actualización de los datos de configuración y luego los almacena en la caché de configuración.
Para activar manualmente la actualización de los valores secretos desde una bóveda, utilice la opción de línea de comandos 'secrets_reload'.
El proxy Zabbix recibe valores de las macros secretas de la bóveda del servidor Zabbix en cada sincronización de configuración y los almacena en su propia caché de configuración. El proxy nunca recupera valores de macro directamente del almacén. Eso significa que un proxy Zabbix no puede iniciar la recopilación de datos después de un reinicio hasta que reciba la actualización de los datos de configuración del servidor Zabbix por primera vez.
El cifrado debe estar habilitado entre el servidor Zabbix y el proxy; de lo contrario, se registra un mensaje de advertencia del servidor.
Si un valor de macro no se puede recuperar correctamente, la métrica correspondiente que utilice el valor dejará de ser compatible.
This list provides locations of parameters where secret macro values are unmasked.
Context | Parameter | |
---|---|---|
Items | ||
Item | Item key parameters | |
SNMP agent | SNMP community | |
Context name (SNMPv3) | ||
Security name (SNMPv3) | ||
Authentication passphrase (SNMPv3) | ||
Privacy passphrase (SNMPv3) | ||
HTTP agent | URL | |
Query fields | ||
Post | ||
Headers | ||
Username | ||
Password | ||
SSL key password | ||
Script | Parameters | |
Script | ||
Database monitor | SQL query | |
Telnet | Script | |
Username, password | ||
SSH | Script | |
Username, password | ||
Simple check | Username, password | |
JMX | Username, password | |
Web scenarios | ||
Web scenario | Variable value | |
Header value | ||
URL | ||
Query field value | ||
Post field value | ||
Raw post | ||
Web scenario authentication |
User | |
Password | ||
SSL key password | ||
Connectors | ||
Connector | URL | |
Username | ||
Password | ||
Token | ||
HTTP proxy | ||
SSL certificate file | ||
SSL key file | ||
SSL key password | ||
Network discovery | ||
SNMP | ||
SNMP community | ||
Context name (SNMPv3) | ||
Security name (SNMPv3) | ||
Authentication passphrase (SNMPv3) | ||
Privacy passphrase (SNMPv3) | ||
Global scripts | ||
Webhook | JavaScript script | |
JavaScript script parameter value | ||
Telnet | ||
Username, password | ||
SSH | ||
Username, password | ||
Script | Script | |
Media types | ||
Script | Script parameters | |
Webhook | Parameters | |
IPMI | ||
Username | ||
Password |