net.tcp.serviceの動作について
いつもお世話になっております。
表記の件、質問をさせてください。
シンプルチェック「net.tcp.service」を使用し、httpsを監視しております。
昨日、何かしらのメンテナンスがあり、この監視がDOWN判定となっております。
上記のため調査を行い、対象サーバは443ポートで正常待ち受けていること、
監視サーバからtelnetで443へ接続できることは確認しました。
何が原因か分からず、zabbix_getを使用してテストを行ったところ以下のような結果になりました。
①# ./zabbix_get -s対象サーバIP -p10050 -k"net.tcp.service[https]" →結果はDOWN(0)
②# ./zabbix_get -s対象サーバIP -p10050 -k"net.tcp.service[https,,443]" →結果はDOWN(0)
③# ./zabbix_get -s対象サーバIP -p10050 -k"net.tcp.service[tcp,,443]" →結果はUP(1)
Zabbix仕様書や、参考にさせて頂いた下記サイトを見る限り、
①②③とも全て同じことをしていると思われるのですが、
なぜ③だけ結果がUP(1)になるのかわかりませんでした。
http://qiita.com/usiusi360/items/f8e3f673110add507d1d
上記仕様について何か情報がありましたらご教授頂きたく。
zabbixVerは2.2.8となります。
TNK - 投稿数: 4769
恐らくですが、httpsのサーバーが、SSL 3.0対応をやめてTLS 1.0
以降とかに移行したのではないでしょうか?
そうであるならば、net.tcp.service[tcp,,443]ならTCP/IPレベル
での接続までの確認であるのに対して、net.tcp.service[https]
で、HTTPSでのハンドシェイクまでしようとして、対応しているプ
ロトコルではないと判定されてしまった可能性が考えられます。
ログには何か出力されてませんか?
この問題であれば、先日どこかで話題になっていたと思うのですが、
以下のURLにもあるものと同様に、設定だけでは回避できないかも
しれません。
ZBX-9879
https monitoring breaks when TLS V1.0 protocol disallowed
https://support.zabbix.com/browse/ZBX-9879
kaeru - 投稿数: 264
>>TNK様
ご回答ありがとうございます。
>SSL 3.0対応をやめてTLS 1.0以降とかに移行したのではないでしょうか?
SSL周りの知識が絶望的にないため、作業元へ確認中します。
→opensslを使用しており、何かオプションを付ければ設定を確認出来そうな気もしますので
並行して確認もします。
>ログには何か出力されてませんか?
zabbix_server.log(DebugLevelは3)には何も出力されておりません。
非監視側のApacheログを確認しようと思いましたが、
Apacheを使用したアプリが挟まっているため確認が難航しています。
(そもそも、net.tcp.service[https]にて監視を行った場合、
Apacheにログが残るのかも不明なため一旦確認します)
駄目そうなのであれば、net.tcp.service[tcp,,443]へ差し替えようと思います。
kaeru - 投稿数: 264
SSL廃止自体は前々から廃止されていましたが、
モジュール差し替えの際に回答を頂いた記事内の"再構築"と同様の現象が起きたようです。
Zabbixserverを入れ替えれば動作すると思いますが現行稼働中のシステムで困難なため、
net.tcp.service[tcp,,443]にて監視設定を差し替えます。
ご回答、誠にありがとうございました。