CheckMK Update 2.1 - TLS Aktivierung etc

Hallo zusammen,

ich habe meine CheckMK Instanz (CFE) von 2.0.0p25 auf 2.1.0 aktualisiert. Die Instanz läuft bei mir zu Hause auf einem Ubuntu 20.04 und alle anderen Linux Systeme haben derzeit auch noch Ubuntu 20.04. Ich plane demnächst die Systeme mit Ubuntu 22.04 neu aufzusetzen und die Daten (auch von CheckMK) zu übertragen da ich kein Fan von InPlace Upgrade bin.

Nun zu meinen Problemen mit der neuen CheckMK Version.

  1. TLS Aktivierung ist nicht aktiv (Warning) und bekomme ich auch nicht wirklich gelöst.
  2. Der Service „Systemd Service Summary“ ist Rot und es wird die Meldung
    „Total: 148, Disabled: 2, Failed: 1, 1 static service failed (fwupd-refresh)“ angezeigt.

Zu 1.
Ich habe immer bisher zu Hause und in der Firma wie folgt den Agent eingerichtet.
Als erstes das Generic Paket installiert und dann am CheckMK Server den Host angelegt.
Danach erfolgte die Registrierung und der Update Befehl.

cmk-update-agent register -v -H COMPUTERNAME -U register -S xxxxxxxxxxxxxxxxx
cmk-update-agent –v

Nun wird der Service „CheckMK Agent“ – Service mit Warning angezeigt und es liegt wohl daran.
„TLS is not activated on monitored host (see details)“

Wie muss ich jetzt vorgehen damit TLS aktiviert wird denn meine bisherigen Befehle schlugen fehl?
Mir wird aus der Doku auch nicht klar wie bei neuen Hosts der Ablauf ist und vor allem wie bspw. in einer Firma mit über 1000 Hosts (Linux, Windows 2008 R2 und höher) die Agents später umgestellt werden können ohne dass es zu Problemen kommt.

Zu 2.
Seit der Aktualisierung wird der Service „Systemd Service Summary“ als Critical angezeigt mit der Meldung „Total: 148, Disabled: 2, Failed: 1, 1 static service failed (fwupd-refresh)“.
Für Windows hatte ich bereits unter CheckMK 2.0 den Service „Service Summary“ deaktiviert und kann es sein das dieser Service nun auf Linux neu ist?

MfG Paul

Das ist für Linux und hat nichts mit Windows oder einer Regel für Windows zu tun. Es handelt sich hier um reine systemd-units und eine der units auf deinem Linux-Server ist ausgefallen.

Den Service “Service Summary” hatte ich ja bereits schon für Windows ausgeblendet (also deaktiviert) da ich das Privat nicht brauche. Für Linux ist jetzt aber wohl ein neuer Service aufgetaucht “Systemd Service Summary” und den habe ich nun ebenfalls ausgeblendet.
In der Firma legen wir manuell per Regel fest welche Dienste überwacht werden sollen.

Die Seite habe ich auch schon gefunden aber wie gesagt so richtig verstanden bzw. hinbekommen habe ich es nicht. Die Registrierung klappt einfach nicht (die Hosts sind aber auch schon aus der 2.0 Zeiten registriert)

Registrierung über den Servernamen “checkmk” meines CheckMK Servers und der Instanz “lexx

root@mediaserver:~# cmk-agent-ctl register --hostname mediaserver --server checkmk --site lexx --user register --password xxxxxxxxxxxxxxxxx
ERROR [cmk_agent_ctl] Failed to discover agent receiver port from Checkmk REST API, both with http and https.

Error with http:
Failed to discover agent receiver port from http://checkmk/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke
error sending request for url (http://checkmk/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke): error trying to connect: dns error: failed to lookup address information: Try again
error trying to connect: dns error: failed to lookup address information: Try again
dns error: failed to lookup address information: Try again
failed to lookup address information: Try again

Error with https:
Failed to discover agent receiver port from https://checkmk/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke
error sending request for url (https://checkmk/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke): error trying to connect: dns error: failed to lookup address information: Try again
error trying to connect: dns error: failed to lookup address information: Try again
dns error: failed to lookup address information: Try again
failed to lookup address information: Try again

Registrierung über die IP-Adresse meines CheckMK Servers und der Instanz “lexx

root@mediaserver:~# cmk-agent-ctl register --hostname mediaserver --server 10.10.1.206 --site lexx --user register --password xxxxxxxxxxxxxxxxx
ERROR [cmk_agent_ctl] Failed to discover agent receiver port from Checkmk REST API, both with http and https.

Error with http:
Failed to discover agent receiver port from http://10.10.1.206/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke
error sending request for url (http://10.10.1.206/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke): error trying to connect: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:ssl/statem/statem_clnt.c:1914: (unable to get local issuer certificate)
error trying to connect: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:ssl/statem/statem_clnt.c:1914: (unable to get local issuer certificate)
error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:ssl/statem/statem_clnt.c:1914: (unable to get local issuer certificate)
error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:ssl/statem/statem_clnt.c:1914:

Error with https:
Failed to discover agent receiver port from https://10.10.1.206/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke
error sending request for url (https://10.10.1.206/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke): error trying to connect: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:ssl/statem/statem_clnt.c:1914: (unable to get local issuer certificate)
error trying to connect: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:ssl/statem/statem_clnt.c:1914: (unable to get local issuer certificate)
error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:ssl/statem/statem_clnt.c:1914: (unable to get local issuer certificate)
error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:ssl/statem/statem_clnt.c:1914:

Rufe ich die Seite https://10.10.1.206/lexx/check_mk/api/1.0/domain-types/internal/actions/discover-receiver/invoke auf so erhalte ich im Browser die Ausgabe “8000”.



root@mediaserver:~# cmk-agent-ctl status
Version: 2.1.0
Agent socket: operational
IP allowlist: 127.0.0.1 10.10.1.206
Legacy mode: enabled
No connections

Nicht ganz frisch der Thread, dennoch die Nachfrage, ob du eine Lösung bzw. Ursache hast?
Ich stehe vor selbigem Problem, dass weder die API noch die TLS Registrierung funktionieren, wenn Multisite ausgeschaltet ist (ich möchte gern nur mit HTTP Basic Auth arbeiten) - und da kommst du mit der Registrierung weiter, wenn du hinter den Servernamen explizit den Port :8000 setzt, es scheitert aber am Ende wieder mit einem 401. Scheinbar ist TLS Registrierung nicht mit abgeschaltetem Multisite kompatibel.