https サービス監視 について

いつもお世話になります。

これまで、ZABBIX2.0.10で httpsサービスをシンプルチェックで監視していました。

以下の条件式で監視しています。

{host名:net.tcp.service[https].sum(#5)}=0

ところがここ最近、WEBサーバ側でメンテナンスをして以降、サービス監視でエラーが出るようになってしまいました。
サービスは正常に稼動しているにもかかわらず、ZABBIX側では、サービス停止となってしまいます。

ほかのWEBサーバに対しても同じ条件式でhttps監視をしていますが、正常に監視できています。

メンテナンスをしたWEBサーバは他のベンダーでメンテナンス内容は不明です。

どのあたりを調整すればよいか、お知恵をいただけないでしょうか?

よろしくお願いいたします。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー fripper の写真

ZABBIX サーバのバージョンが 2.0.x ということから推測させて頂きましたが
以下の不具合に該当するのではないでしょうか?

https://support.zabbix.com/browse/ZBX-9879

ZABBIX が内部で https 接続する際に利用しているライブラリ cURL 周りで
暗号化接続の方式(SSLv2/SSLv3/TLSv1.0/TLSv1.1/TLSv1.2) の一部にしか対応できていないようです

Web サーバ側のメンテナンスにより、
「古い方式はセキュリティ上の問題があるので拒絶・利用しない」
というような設定に変更されてしまい、ZABBIX からの接続がうまく成立しなくなったのだと思います

ユーザー sat の写真

お返事ありがとうございます。

確かに、zabbix_server.log にも 以下のログが出ていて 気になっていました。

"error doing curl_easy_perform: SSL connect error"

いろいろ情報を探っていると、Apache の "SSL_Version" を NSSから OpenSSLに変更するといった情報があったのですが、

影響範囲がわからなかったので、実行できないでいます。

現状、このままでは、監視ができない状態ですので、何らかの回避策を考えないといけないのですが、
何かヒントをいただけないでしょうか?

ユーザー fripper の写真

ZABBIXサーバモジュールのバージョンは2.0.10とお伺いしておりますが
・インストール方法:ZABBIX社提供のパッケージ利用か、ソースコードからのビルドか
・利用しているOS
等も含め、提示をお願いします

RHEL6/CentOS6 等と、ZABBIX社提供のrpmパッケージの組み合わせですと、
先に示したとおり、内部で利用される cURL のライブラリが古く、
シンプルチェックを利用した監視では、「新しい暗号化通信方式」が利用できないため
対応できません

シンプルチェックが内部で実行している https 接続の処理と同じようなことを
独自のスクリプト等を実装して、そちらで接続チェックを行うようにしたうえで、
ZABBIX 側では、その独自スクリプトの実行・チェック結果を監視する‥という方法が
考えられます

>Apache の "SSL_Version" を NSSから OpenSSLに変更するといった情報があったのですが
他ベンダー様管理とおっしゃっていた、監視対象側の Web サーバでの設定変更で
「古い暗号化方式による接続を、拒絶せず、許容する」というような、設定の変更を意味しているのだと
思います

ユーザー sat の写真

お世話になっております。

構築時のインストール方法は、仰るとおりZABBIX社提供のrpmパッケージを使用しております。

独自のスクリプトを使用するよりは、ZABBIX自体のバージョンアップを実施したいと考えております。

Ver2.0 から Ver2.4 へのバージョンアップは、rpmパッケージのアップグレードインストールで問題ないでしょうか?
DB等のバックアップは事前に取得するとして、基本的にDBの再構築等なくそのままバージョンアップ可能と考えてよろしいですか?

Ver2.0 から Ver3.0 へのバージョンアップについては、どのようなものになりますでしょうか?

よろしくお願いいたします。

ユーザー fripper の写真

まず、OS 等周辺環境の提示をお願いします

現在2.0.xご利用とのことですが、本問題について、OS・ライブラリとの関連性も一因ですので
古いOSのままで、Zabbixのみ版を更新しても解決しない‥や
古いOSのままだと、Zabbix3.0では「機能限定対応」「非対応」等がありますので
Zabbixのバージョンアップだけを実施すれば解決する、という問題ではありません

ユーザー sat の写真

とりあえず OSバージョンと ZABBIXのインストールパッケージの情報をお伝えします。
このほか必要な情報がありましたら、確認いたします。

-----------------------------------------------------------------------------------------------------
# more /etc/redhat-release
CentOS release 6.5 (Final)

# uname -r
2.6.32-431.3.1.el6.x86_64

# rpm -qa | grep zabbix
zabbix20-server-2.0.10-2.el6.x86_64
zabbix20-web-mysql-2.0.10-2.el6.noarch
zabbix20-web-2.0.10-2.el6.noarch
zabbix20-agent-2.0.10-2.el6.x86_64
zabbix20-2.0.10-2.el6.x86_64
zabbix20-server-mysql-2.0.10-2.el6.x86_64

ユーザー fripper の写真

提示されたパッケージは、どうやら ZABBIX 社提供の rpm ではなく、
 ZABBIX 社提供 2.0.x 系パッケージ (RHEL6/Cent6 用) http://repo.zabbix.com/zabbix/2.0/rhel/6/x86_64/

FedoraProject (EPEL) にて提供されている epel6 版の zabbix20-xxxx 系 rpm のようですね‥
 FedoraProject(EPEL6) https://dl.fedoraproject.org/pub/epel/6/x86_64/

EPEL版からの公式版への移行等、私には経験ないためコメントできません。申し訳ありません

----
最終的に 3.0 までバージョンアップされたいご様子ですが、
RHEL6 / CentOS6 向けに配布されている zabbix-server パッケージでは、
暗号化通信周りの機能制限があるなど、一部動作・機能に制限があるようです

ユーザー sat の写真

ZABBIXの再インストールを、OSのバージョンアップも含めて検討をしたいと思います。
ありがとうございました。