[comment]: # ({9a839c05-f9e8f670}) # 4 Geheime Benutzermakros [comment]: # ({/9a839c05-f9e8f670}) [comment]: # ({1ec59739-8b3f0169}) #### Übersicht Zabbix bietet zwei Optionen zum Schutz sensibler Informationen in Benutzer-Makrowerten: - Geheimer Text - Vault-Geheimnis ::: noteclassic Obwohl der Wert eines geheimen Makros ausgeblendet ist, kann er durch die Verwendung in Datenpunkten offengelegt werden. Beispielsweise kann in einem externen Skript eine `echo`-Anweisung, die auf ein geheimes Makro verweist, verwendet werden, um den Makrowert im Frontend offenzulegen, da der Zabbix Server Zugriff auf den tatsächlichen Makrowert hat. Siehe [Orte](#unmasked-locations), an denen geheime Makrowerte eingeblendet werden. ::: Geheime Makros können nicht in Auslöser-Ausdrücken verwendet werden. [comment]: # ({/1ec59739-8b3f0169}) [comment]: # ({cc2edd9c-740aad18}) #### Geheimtext Bei Makros vom Typ *Secret text* wird der Makrowert mit Sternchen maskiert. Um einen Makrowert als geheim festzulegen, klicken Sie auf die Schaltfläche am Ende des Felds *Value* und wählen Sie die Option *Secret text* aus: ![](../../../../assets/en/manual/config/macros/macro_value_type.png) Nachdem die Konfiguration gespeichert wurde, ist es nicht mehr möglich, den Wert anzuzeigen. Um den Makrowert zu ändern, bewegen Sie den Mauszeiger über das Feld *Value* und klicken Sie auf die Schaltfläche *Set new value* (wird beim Darüberfahren angezeigt): ![](../../../../assets/en/manual/config/macros/macro_type_secret2.png) Wenn Sie auf die Schaltfläche *Set new value* klicken (oder den Makrowerttyp ändern), wird der aktuelle Wert gelöscht. Sie können den ursprünglichen Wert wiederherstellen, indem Sie auf den Pfeil ![](../../../../assets/en/manual/config/macros/macro_type_secret3.png) am Ende des Felds *Value* klicken (nur vor dem Speichern der neuen Konfiguration verfügbar). Beachten Sie, dass das Wiederherstellen des ursprünglichen Werts diesen nicht sichtbar macht. ::: noteclassic URLs, die ein geheimes Makro enthalten, funktionieren nicht, da das Makro darin als "\*\*\*\*\*\*" aufgelöst wird. ::: [comment]: # ({/cc2edd9c-740aad18}) [comment]: # ({5897e6d9-480b89ed}) #### Vault secret Mit Vault secret-Makros wird der Makrowert in einer externen Secret-Management-Software (Vault) gespeichert. Um ein Vault secret-Makro zu konfigurieren, klicken Sie auf die Schaltfläche am Ende des Felds *Value* und wählen Sie die Option *Vault secret* aus: ![](../../../../assets/en/manual/config/macros/macro_value_type1.png) Der Makrowert muss auf ein Vault-Secret verweisen. Das Eingabeformat hängt vom Vault-Anbieter ab. Beispiele für anbieterspezifische Konfigurationen finden Sie unter: - [HashiCorp](/manual/config/secrets/hashicorp#retrieving-user-macro-values) - [CyberArk](/manual/config/secrets/cyberark#user-macro-values) [comment]: # ({/5897e6d9-480b89ed}) [comment]: # ({a790a49e-94cba921}) Vault-Geheimnis-Makrowerte werden vom Server bei jeder Aktualisierung der Konfigurationsdaten aus dem Vault abgerufen und anschließend im Konfigurationscache gespeichert. Der Proxy empfängt die Werte der Vault-Geheimnis-Makros bei jeder Konfigurationssynchronisierung vom Server und speichert sie in seinem eigenen Konfigurationscache. Der Proxy ruft Makrowerte niemals direkt aus dem Vault ab. Das bedeutet, dass ein Zabbix-Proxy nach einem Neustart keine Datenerfassung starten kann, bis er das Konfigurationsupdate vom Server erhalten hat. Um Geheimniswerte manuell aus dem Vault zu aktualisieren, verwenden Sie die Option `secrets_reload` [runtime control](/manual/concepts/server#runtime_control). Zwischen Server und Proxy muss Verschlüsselung aktiviert sein; andernfalls wird eine Server-Warnmeldung protokolliert. ::: notewarning Wenn ein Makrowert nicht erfolgreich abgerufen werden kann, wird der entsprechende Datenpunkt, der den Wert verwendet, auf unsupported gesetzt. ::: [comment]: # ({/a790a49e-94cba921}) [comment]: # ({5bc4907b-03aa95bd}) #### Nicht maskierte Speicherorte Diese Liste enthält Speicherorte von Parametern, an denen geheime Makrowerte nicht maskiert sind. ::: noteclassic Seit Zabbix 7.0.13 bleiben geheime Makrowerte an den unten aufgeführten Speicherorten maskiert, wenn sie indirekt referenziert werden. Beispielsweise werden {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} [integrierte Makros](/manual/appendix/macros/supported_by_location#items), die in Medientypen (Script- oder webhook-Parameter) verwendet werden, zu Item-Schlüsseln aufgelöst, die maskierte geheime Makros enthalten, etwa `net.tcp.port[******,******]` statt `net.tcp.port[192.0.2.1,80]`. ::: |Kontext|<|Parameter| |-|----------|------------------------------| |**Items, Item-Prototypen, LLD-Regeln**|<|<| | |Item|*Item-Schlüsselparameter*| |^|Item-Prototyp|*Item-Prototyp-Schlüsselparameter*| |^|Low-Level-Discovery-Regel|*Erkennungs-Item-Schlüsselparameter*| |^|SNMP-Agent|*SNMP-Community*| |^|^|*Kontextname* (SNMPv3)| |^|^|*Sicherheitsname* (SNMPv3)| |^|^|*Authentifizierungs-Passphrase* (SNMPv3)| |^|^|*Privatsphären-Passphrase* (SNMPv3)| |^|HTTP-Agent|*URL*| |^|^|*Abfragefelder*| |^|^|*Anforderungstext*| |^|^|*Header*| |^|^|*Benutzername*| |^|^|*Passwort*| |^|^|*SSL-Schlüsselpasswort*| |^|Script|*Parameter*| |^|^|*Script*| |^|Browser|*Parameter*| |^|^|*Script*| |^|Datenbanküberwachung|*SQL-Abfrage*| |^|TELNET-Agent|*Script*| |^|^|*Benutzername*| |^|^|*Passwort*| |^|SSH-Agent|*Script*| |^|^|*Benutzername*| |^|^|*Passwort*| |^|Einfache Prüfung|*Benutzername*| |^|^|*Passwort*| |^|JMX-Agent|*Benutzername*| |^|^|*Passwort*| |**Vorverarbeitung von Item-Werten**|<|<| | |JavaScript-Vorverarbeitungsschritt|*Script*| |**Webszenarien**|<|<| | |Webszenario|*Variablenwert*| |^|^|*Headerwert*| |^|^|*URL*| |^|^|*Abfragefeldwert*| |^|^|*Postfeldwert*| |^|^|*Roh-Post*| |^|Webszenario-Authentifizierung|*Benutzer*| |^|^|*Passwort*| |^|^|*SSL-Schlüsselpasswort*| |**Connectoren**|<|<| | |Connector|*URL*| |^|^|*Benutzername*| |^|^|*Passwort*| |^|^|*Token*| |^|^|*HTTP-Proxy*| |^|^|*SSL-Zertifikatsdatei*| |^|^|*SSL-Schlüsseldatei*| |^|^|*SSL-Schlüsselpasswort*| |**Netzwerkerkennung**|<|<| | |SNMP|*SNMP-Community*| |^|^|*Kontextname* (SNMPv3)| |^|^|*Sicherheitsname* (SNMPv3)| |^|^|*Authentifizierungs-Passphrase* (SNMPv3)| |^|^|*Privatsphären-Passphrase* (SNMPv3)| |**Globale Scripts**|<|<| | |webhook|*JavaScript-Script*| |^|^|*Wert des JavaScript-Script-Parameters*| |^|Telnet|*Benutzername*| |^|^|*Passwort*| |^|SSH|*Benutzername*| |^|^|*Passwort*| |^|Script|*Script*| |**Medientypen**|<|<| | |Script|*Script-Parameter*| |^|Webhook|*Parameter*| |**IPMI-Verwaltung**|<|<| | |Host|*Benutzername*| |^|^|*Passwort*| [comment]: # ({/5bc4907b-03aa95bd})