[comment]: # translation:outdated [comment]: # ({9a839c05-f9e8f670}) # 4 Geheime Benutzermakros [comment]: # ({/9a839c05-f9e8f670}) [comment]: # ({1ec59739-8b3f0169}) #### Übersicht Zabbix bietet zwei Optionen zum Schutz sensibler Informationen in Benutzer-Makrowerten: - Geheimer Text - Vault-Geheimnis ::: noteclassic Obwohl der Wert eines geheimen Makros ausgeblendet ist, kann er durch die Verwendung in Datenpunkten offengelegt werden. Beispielsweise kann in einem externen Skript eine `echo`-Anweisung, die auf ein geheimes Makro verweist, verwendet werden, um den Makrowert im Frontend offenzulegen, da der Zabbix Server Zugriff auf den tatsächlichen Makrowert hat. Siehe [Orte](#unmasked-locations), an denen geheime Makrowerte eingeblendet werden. ::: Geheime Makros können nicht in Auslöser-Ausdrücken verwendet werden. [comment]: # ({/1ec59739-8b3f0169}) [comment]: # ({cc2edd9c-740aad18}) #### Geheimer Text Bei Makros vom Typ „Geheimer Text“ wird der Makrowert mit Sternchen maskiert. Um einen Makrowert geheim zu machen, klicken Sie auf die Schaltfläche am Ende des Feldes *Wert* und wählen Sie die Option *Geheimer Text* aus: ![](../../../../assets/en/manual/config/macros/macro_value_type.png) Sobald die Konfiguration gespeichert ist, kann der Wert nicht mehr angezeigt werden. Um den Makrowert zu ändern, bewegen Sie den Mauszeiger über das Feld *Wert* und klicken Sie auf die Schaltfläche *Neuen Wert festlegen* (erscheint beim Darüberfahren): ![](../../../../assets/en/manual/config/macros/macro_type_secret2.png) Wenn Sie auf die Schaltfläche *Neuen Wert festlegen* klicken (oder den Typ des Makrowerts ändern), wird der aktuelle Wert gelöscht. Sie können den ursprünglichen Wert wiederherstellen, indem Sie auf den Pfeil ![](../../../../assets/en/manual/config/macros/macro_type_secret3.png) am Ende des Feldes *Wert* klicken (nur verfügbar, bevor die neue Konfiguration gespeichert wird). Beachten Sie, dass durch das Wiederherstellen des ursprünglichen Werts dieser nicht offengelegt wird. ::: noteclassic URLs, die ein geheimes Makro enthalten, funktionieren nicht, da das Makro darin als "\*\*\*\*\*\*" aufgelöst wird. ::: [comment]: # ({/cc2edd9c-740aad18}) [comment]: # ({5897e6d9-480b89ed}) #### Vault-Geheimnis Bei Vault-Geheimnismakros wird der Makrowert in einer externen Software zur Verwaltung von Geheimnissen (Vault) gespeichert. Um ein Vault-Geheimnismakro zu konfigurieren, klicken Sie auf die Schaltfläche am Ende des Feldes *Wert* und wählen Sie die Option *Vault-Geheimnis* aus: ![](../../../../assets/en/manual/config/macros/macro_value_type1.png) Der Makrowert muss auf ein Vault-Geheimnis verweisen. Das Eingabeformat hängt vom Vault-Anbieter ab. Anbieterspezifische Konfigurationsbeispiele finden Sie unter: - [HashiCorp](/manual/config/secrets/hashicorp#retrieving-user-macro-values) - [CyberArk](/manual/config/secrets/cyberark#user-macro-values) [comment]: # ({/5897e6d9-480b89ed}) [comment]: # ({54bb4ce1-94cba921}) Werte von Vault-Geheimmakros werden vom Zabbix Server (und vom Zabbix Proxy, wenn *Resolve secret vault macros by* [gesetzt ist auf](/manual/web_interface/frontend_sections/administration/general#other) *Zabbix server and proxy*) bei jeder Aktualisierung der Konfigurationsdaten aus dem Vault abgerufen und anschließend im Konfigurations-Cache gespeichert. Zabbix Server und Zabbix Proxy können unterschiedliche Vaults verwenden. Wenn *Resolve secret vault macros by* [gesetzt ist auf](/manual/web_interface/frontend_sections/administration/general#other) *Zabbix server*, dann werden Vault-Geheimnisse nur vom Server abgerufen, und der Zabbix Proxy erhält die Werte der Vault-Geheimmakros bei jeder Konfigurationssynchronisierung vom Zabbix Server und speichert sie in seinem eigenen Konfigurations-Cache. Das bedeutet, dass ein Zabbix Proxy nach einem Neustart die Datenerfassung erst starten kann, nachdem er die Konfigurationsaktualisierung vom Zabbix Server erhalten hat. Um Geheimniswerte manuell aus dem Vault zu aktualisieren, verwenden Sie die Option `secrets_reload` der [Laufzeitsteuerung](/manual/concepts/server#runtime-control) (nur Server). Die Verschlüsselung zwischen Zabbix Server und Proxy muss aktiviert sein; andernfalls wird eine Server-Warnmeldung protokolliert. ::: notewarning Wenn ein Makrowert nicht erfolgreich abgerufen werden kann, wird der entsprechende Datenpunkt, der diesen Wert verwendet, nicht unterstützt. ::: [comment]: # ({/54bb4ce1-94cba921}) [comment]: # ({a7053bda-03aa95bd}) #### Unmaskierte Orte Diese Liste enthält Orte von Parametern, an denen geheime Makrowerte nicht maskiert sind. ::: noteclassic Geheime Makrowerte bleiben an den unten aufgeführten Orten maskiert, wenn sie indirekt referenziert werden. Beispielsweise werden {ITEM.KEY}, {ITEM.KEY<1-9>}, {LLDRULE.KEY} [integrierte Makros](/manual/appendix/macros/supported_by_location#items), die in Medientypen (Script- oder webhook-Parameter) verwendet werden, zu Item-Schlüsseln aufgelöst, die maskierte geheime Makros enthalten, z. B. `net.tcp.port[******,******]` statt `net.tcp.port[192.0.2.1,80]`. ::: |Kontext|<|Parameter| |-|----------|------------------------------| |**Items, Item-Prototypen, LLD-Regeln**|<|<| | |Item|*Item-Schlüsselparameter*| |^|Item-Prototyp|*Item-Prototyp-Schlüsselparameter*| |^|Low-Level-Discovery-Regel|*Discovery-Item-Schlüsselparameter*| |^|SNMP Agent|*SNMP community*| |^|^|*Kontextname* (SNMPv3)| |^|^|*Sicherheitsname* (SNMPv3)| |^|^|*Authentifizierungs-Passphrase* (SNMPv3)| |^|^|*Privatsphären-Passphrase* (SNMPv3)| |^|HTTP Agent|*URL*| |^|^|*Abfragefelder*| |^|^|*Anforderungstext*| |^|^|*Header*| |^|^|*Benutzername*| |^|^|*Passwort*| |^|^|*SSL-Schlüsselpasswort*| |^|Script|*Parameter*| |^|^|*Script*| |^|Browser|*Parameter*| |^|^|*Script*| |^|Datenbanküberwachung|*SQL-Abfrage*| |^|TELNET Agent|*Script*| |^|^|*Benutzername*| |^|^|*Passwort*| |^|SSH Agent|*Script*| |^|^|*Benutzername*| |^|^|*Passwort*| |^|Einfache Prüfung|*Benutzername*| |^|^|*Passwort*| |^|JMX Agent|*Benutzername*| |^|^|*Passwort*| |**Vorverarbeitung von Item-Werten**|<|<| | |JavaScript-Vorverarbeitungsschritt|*Script*| |**Webszenarien**|<|<| | |Webszenario|*Variablenwert*| |^|^|*Headerwert*| |^|^|*URL*| |^|^|*Wert des Abfragefelds*| |^|^|*Wert des Post-Felds*| |^|^|*Roh-Post*| |^|Webszenario-Authentifizierung|*Benutzer*| |^|^|*Passwort*| |^|^|*SSL-Schlüsselpasswort*| |**Connectoren**|<|<| | |Connector|*URL*| |^|^|*Benutzername*| |^|^|*Passwort*| |^|^|*Token*| |^|^|*HTTP-Proxy*| |^|^|*SSL-Zertifikatsdatei*| |^|^|*SSL-Schlüsseldatei*| |^|^|*SSL-Schlüsselpasswort*| |**Netzwerkerkennung**|<|<| | |SNMP|*SNMP community*| |^|^|*Kontextname* (SNMPv3)| |^|^|*Sicherheitsname* (SNMPv3)| |^|^|*Authentifizierungs-Passphrase* (SNMPv3)| |^|^|*Privatsphären-Passphrase* (SNMPv3)| |**Globale Scripts**|<|<| | |Webhook|*JavaScript-Script*| |^|^|*Wert des JavaScript-Script-Parameters*| |^|Telnet|*Benutzername*| |^|^|*Passwort*| |^|SSH|*Benutzername*| |^|^|*Passwort*| |^|Script|*Script*| |**Medientypen**|<|<| | |Script|*Script-Parameter*| |^|Webhook|*Parameter*| |**IPMI-Verwaltung**|<|<| | |Host|*Benutzername*| |^|^|*Passwort*| [comment]: # ({/a7053bda-03aa95bd})