https サービス監視 について
いつもお世話になります。
これまで、ZABBIX2.0.10で httpsサービスをシンプルチェックで監視していました。
以下の条件式で監視しています。
{host名:net.tcp.service[https].sum(#5)}=0
ところがここ最近、WEBサーバ側でメンテナンスをして以降、サービス監視でエラーが出るようになってしまいました。
サービスは正常に稼動しているにもかかわらず、ZABBIX側では、サービス停止となってしまいます。
ほかのWEBサーバに対しても同じ条件式でhttps監視をしていますが、正常に監視できています。
メンテナンスをしたWEBサーバは他のベンダーでメンテナンス内容は不明です。
どのあたりを調整すればよいか、お知恵をいただけないでしょうか?
よろしくお願いいたします。
fripper - 投稿数: 495
ZABBIX サーバのバージョンが 2.0.x ということから推測させて頂きましたが
以下の不具合に該当するのではないでしょうか?
https://support.zabbix.com/browse/ZBX-9879
ZABBIX が内部で https 接続する際に利用しているライブラリ cURL 周りで
暗号化接続の方式(SSLv2/SSLv3/TLSv1.0/TLSv1.1/TLSv1.2) の一部にしか対応できていないようです
Web サーバ側のメンテナンスにより、
「古い方式はセキュリティ上の問題があるので拒絶・利用しない」
というような設定に変更されてしまい、ZABBIX からの接続がうまく成立しなくなったのだと思います
sat - 投稿数: 74
お返事ありがとうございます。
確かに、zabbix_server.log にも 以下のログが出ていて 気になっていました。
"error doing curl_easy_perform: SSL connect error"
いろいろ情報を探っていると、Apache の "SSL_Version" を NSSから OpenSSLに変更するといった情報があったのですが、
影響範囲がわからなかったので、実行できないでいます。
現状、このままでは、監視ができない状態ですので、何らかの回避策を考えないといけないのですが、
何かヒントをいただけないでしょうか?
fripper - 投稿数: 495
ZABBIXサーバモジュールのバージョンは2.0.10とお伺いしておりますが
・インストール方法:ZABBIX社提供のパッケージ利用か、ソースコードからのビルドか
・利用しているOS
等も含め、提示をお願いします
RHEL6/CentOS6 等と、ZABBIX社提供のrpmパッケージの組み合わせですと、
先に示したとおり、内部で利用される cURL のライブラリが古く、
シンプルチェックを利用した監視では、「新しい暗号化通信方式」が利用できないため
対応できません
シンプルチェックが内部で実行している https 接続の処理と同じようなことを
独自のスクリプト等を実装して、そちらで接続チェックを行うようにしたうえで、
ZABBIX 側では、その独自スクリプトの実行・チェック結果を監視する‥という方法が
考えられます
>Apache の "SSL_Version" を NSSから OpenSSLに変更するといった情報があったのですが
他ベンダー様管理とおっしゃっていた、監視対象側の Web サーバでの設定変更で
「古い暗号化方式による接続を、拒絶せず、許容する」というような、設定の変更を意味しているのだと
思います
sat - 投稿数: 74
お世話になっております。
構築時のインストール方法は、仰るとおりZABBIX社提供のrpmパッケージを使用しております。
独自のスクリプトを使用するよりは、ZABBIX自体のバージョンアップを実施したいと考えております。
Ver2.0 から Ver2.4 へのバージョンアップは、rpmパッケージのアップグレードインストールで問題ないでしょうか?
DB等のバックアップは事前に取得するとして、基本的にDBの再構築等なくそのままバージョンアップ可能と考えてよろしいですか?
Ver2.0 から Ver3.0 へのバージョンアップについては、どのようなものになりますでしょうか?
よろしくお願いいたします。
fripper - 投稿数: 495
まず、OS 等周辺環境の提示をお願いします
現在2.0.xご利用とのことですが、本問題について、OS・ライブラリとの関連性も一因ですので
古いOSのままで、Zabbixのみ版を更新しても解決しない‥や
古いOSのままだと、Zabbix3.0では「機能限定対応」「非対応」等がありますので
Zabbixのバージョンアップだけを実施すれば解決する、という問題ではありません
sat - 投稿数: 74
とりあえず OSバージョンと ZABBIXのインストールパッケージの情報をお伝えします。
このほか必要な情報がありましたら、確認いたします。
-----------------------------------------------------------------------------------------------------
# more /etc/redhat-release
CentOS release 6.5 (Final)
# uname -r
2.6.32-431.3.1.el6.x86_64
# rpm -qa | grep zabbix
zabbix20-server-2.0.10-2.el6.x86_64
zabbix20-web-mysql-2.0.10-2.el6.noarch
zabbix20-web-2.0.10-2.el6.noarch
zabbix20-agent-2.0.10-2.el6.x86_64
zabbix20-2.0.10-2.el6.x86_64
zabbix20-server-mysql-2.0.10-2.el6.x86_64
fripper - 投稿数: 495
提示されたパッケージは、どうやら ZABBIX 社提供の rpm ではなく、
ZABBIX 社提供 2.0.x 系パッケージ (RHEL6/Cent6 用) http://repo.zabbix.com/zabbix/2.0/rhel/6/x86_64/
FedoraProject (EPEL) にて提供されている epel6 版の zabbix20-xxxx 系 rpm のようですね‥
FedoraProject(EPEL6) https://dl.fedoraproject.org/pub/epel/6/x86_64/
EPEL版からの公式版への移行等、私には経験ないためコメントできません。申し訳ありません
----
最終的に 3.0 までバージョンアップされたいご様子ですが、
RHEL6 / CentOS6 向けに配布されている zabbix-server パッケージでは、
暗号化通信周りの機能制限があるなど、一部動作・機能に制限があるようです
sat - 投稿数: 74
ZABBIXの再インストールを、OSのバージョンアップも含めて検討をしたいと思います。
ありがとうございました。