Wenn ein Host ausfällt oder ein Service auf CRIT kippt, hilft die beste Überwachung nichts, wenn die Nachrichten bei den richtigen Personen zu spät ankommen. Viele Admins hängen noch an E-Mail-Notifications – funktionieren zwar, gehen aber im Posteingang unter. Microsoft Teams ist dagegen oft ohnehin „das“ Arbeitsfenster im Alltag.
In diesem Beitrag zeige ich Ihnen eine praxistaugliche Konfiguration, mit der Sie Checkmk Fehlermeldungen zuverlässig als Teams-Nachrichten aus dem Monitoring versenden. Der Fokus liegt auf einer einfachen, wartbaren Lösung, die auch bei Security- und Compliance-Fragen sauber bleibt.
Was Sie für Teams-Benachrichtigungen aus Checkmk brauchen
Technisch gibt es mehrere Wege, um Checkmk an Teams anzubinden. Am verbreitetsten sind:
- Incoming Webhook in Teams (klassischer „Webhook in einen Kanal“)
- Microsoft Power Automate Flow (als Zwischenstation, oft besser steuerbar)
Für Admins ist der direkte Incoming Webhook meistens am schnellsten umgesetzt. Allerdings hat Microsoft den Connector „Incoming Webhook“ in den letzten Jahren mehrfach verändert und für einige Tenants eingeschränkt. Ob und wie er bei Ihnen verfügbar ist, hängt von Tenant-Policies und dem jeweiligen Teams-Stand ab.
Da ich die aktuellen Einschränkungen und den Status nicht verlässlich ohne Live-Recherche bestätigen kann, formuliere ich es bewusst neutral: Prüfen Sie in Ihrem Teams-Tenant, ob „Incoming Webhooks“ für den gewünschten Kanal erlaubt sind. Wenn nicht, ist Power Automate in vielen Umgebungen der praktikablere Weg.
Unabhängig vom Transportweg brauchen Sie in Checkmk:
- Zugriff auf die Checkmk-Weboberfläche (WATO/Setup)
- Berechtigung, Notification-Regeln zu erstellen
- Eine Stelle, an der Sie den Webhook/Endpoint sicher hinterlegen können
Wenn Sie noch gar nicht wissen, was Checkmk ist bzw. ob es die richtige Software für Sie ist, hilft zum Einstieg unser Grundlagenartikel: Was ist Checkmk?
Teams: Webhook oder Flow – welche Variante passt?
Variante A: Incoming Webhook in einen Teams-Kanal
Vorteile:
- Schnell eingerichtet
- Keine zusätzliche Plattform nötig
Typische Stolpersteine:
- Tenant-/Connector-Policies können es blockieren
- Ein Webhook ist im Prinzip ein „Schlüssel“: Wer ihn kennt, kann posten. Das ist eine Sicherheit-Frage.
Variante B: Power Automate als „Puffer“
Vorteile:
- Bessere Steuerung (Filter, Genehmigungen, Routing)
- Häufig besser in M365-Governance integrierbar
Nachteile:
- Mehr Setup
- Zusätzliche Abhängigkeit
Für kleine Teams Umgebungen reicht oft Variante A. In strengeren Umgebungen (Compliance, viele Empfänger, getrennte Zuständigkeiten) lohnt sich Variante B.
Schritt 1: Teams-Ziel vorbereiten (Kanal + Endpoint)
Incoming Webhook (wenn verfügbar)
- Öffnen Sie in Teams den gewünschten Kanal.
- Suchen Sie die Kanal-Optionen und fügen Sie einen Webhook/Connector hinzu (Bezeichnung kann je nach Tenant variieren).
- Teams erzeugt eine Webhook-URL. Diese URL ist Ihr „Ziel“.
Falls Sie sich nicht sicher sind, wie das geht, hier eine kurze Beschreibung.
Öffnen Sie ihr Teams. Auf der linken Seite sehen Sie eine Liste Ihrer Chats und Kanäle. Suchen Sie sich den Kanal aus, für den Sie den Webhook erstellen möchten und klicken dort auf die drei Punkte, neben dem Kanal (Diese tauchen auf, wenn Sie mit der Maus über den Kanal fahren).
Dort klicken Sie dann auf den Knopf ‚Kanal verwalten‘
Ganz unten sollten Sie den Punkt ‚Connectors‘ sehen. Dort klicken Sie auf Bearbeiten.
Hier finden Sie nun verschiedene „Connector/Webhook Arten“. Wir wollen den ‚Incoming Webhook‘, bei diesem klicken Sie auf Bearbeiten/Configure.
Diesen Connector/Webhook benennen Sie, wie Sie möchten (Ich nenne ihn cmk, so weiß ich, dass der für Checkmk ist) und gehen dann ganz unten auf ‚create‘.
Nun bekommen Sie diese Webhook-URL, von der wir gesprochen haben, diese können Sie dann über den Knopf links neben der URL kopieren.
Diese brauchen wir gleich, bevor wir aber weiter machen erst noch einige wichtige Informationen zu dem Webhook/Connector. Bitte beachten Sie diese.
Behandeln Sie diese URL wie ein Passwort:
- Nicht in Tickets oder Chats posten
- Nicht in öffentliche Repos schreiben
- Bei Verdacht, dass es abgegriffen wurde sofort ersetzen
Power Automate (Alternative)
Erstellen Sie einen Flow, der z. B. per HTTP-Request oder per Teams-Connector Nachrichten in einen Kanal schreibt. Auch hier entstehen Secrets/URLs, die Sie wie Zugangsdaten behandeln.
Hier den Vorgang der Einrichtung zu beschreiben würde natürlich den Rahmen sprängen aber dazu gibt es viele Dokus und erklärvideos im Internet.
Wenn die Informationen im Internet nicht reichen und Sie Unterstützung bei der Einrichtung dieser Checkmk Notifications brauchen, kontaktieren Sie uns. Wir helfen Ihnen gerne.
Schritt 2: Nachrichtentext festlegen (was soll in Teams stehen?)
Bei Monitoring-Nachrichten zählt vor allem: schnell erfassbar, eindeutig, klickbar.
Bewährt hat sich dieser Aufbau:
- Status (OK/WARN/CRIT/UNKNOWN)
- Hostname + Service
- Kurze Ausgabe (Plugin Output)
- Zeitpunkt
- Link zum Checkmk-Event/Host/Service
Ein Beispiel (als Klartext, weil das fast überall gut lesbar ist):
[CRIT] Fileserver01 – Filesystem /data
Output: 98% used (980 GB of 1000 GB)
Zeit: $DATE$ $TIME$
Link: $LINK$Die genauen Makros variieren je nach Checkmk-Version/Edition und Notification-Plugin. Wenn Sie bereits E-Mail-Benachrichtigungen nutzen, können Sie viele Inhalte übernehmen. Passend dazu: Checkmk Basics: E‑Mail Benachrichtigungen versenden.
Schritt 3: Checkmk-Notification für Teams anlegen
Checkmk kann Notifications über unterschiedliche Wege absetzen. Für Teams nutzen Sie typischerweise „Call a custom script“ oder eine vorhandene Integration, sofern verfügbar.
Ein praxistauglicher Weg ist:
- Webhook-URL als Variable speichern (nicht hart im Script, wenn möglich)
- Shell/Python-Script als Notification-Command hinterlegen
- Notification Rule erstellen, die bei bestimmten Events greift
Beispiel: Simple Webhook-Notification per curl
Auf dem Checkmk-Server legen Sie ein Script an (Pfad hängt von Ihrer Installation ab). Da Pfade/Mechanik je nach Checkmk-Version und Site-Setup abweichen können, gebe ich bewusst ein generisches Beispiel.
Inhalt (Prinzip):
#!/bin/bash
WEBHOOK_URL="$1"
TITLE="$2"
TEXT="$3"
payload=$(cat <<EOF
{
"text": "${TITLE}\n${TEXT}"
}
EOF
)
curl -sS -H "Content-Type: application/json" -d "$payload" "$WEBHOOK_URL" >/dev/nullIn Checkmk übergeben Sie dann Variablen/Makros für Titel und Text. Ziel: Sie bauen eine Nachricht, die Ihre Kolleginnen und Kollegen sofort einordnen können.
Notification Rule sinnvoll eingrenzen
Senden Sie nicht alles in Teams. Sonst erzeugt das System „Alarmrauschen“, und niemand reagiert mehr.
Praktische Filter:
- Nur CRIT und ggf. DOWN/UNREACH
- Nur produktive Hosts (per Host-Tag)
- Nur bestimmte Services (z. B. Backup, Storage, VPN)
- Zeitfenster: außerhalb Geschäftszeiten an Rufbereitschaft, tagsüber ins Ops-Team
Wenn Sie das Thema „Fehlalarme“ kennen: Oft sind es schlechte Schwellwerte oder ungünstige Check-Intervalle. Dazu passt unser Beitrag über False Positives in Checkmk vermeiden.
Schritt 4: Teams-Nachrichten so gestalten, dass sie im Alltag funktionieren
Teams ist schnell – aber auch laut. Damit Nachrichten aus Checkmk nicht untergehen:
- Nutzen Sie einen eigenen Kanal wie „Monitoring“ oder „Ops-Alerts“.
- Verwenden Sie ein einheitliches Prefix wie
[CRIT]oder[WARN]. - Packen Sie den Link zur Checkmk-Ansicht dazu, damit man nicht suchen muss.
- Halten Sie den Text kurz. Die Details stehen im Monitoring.
Wenn Sie mehrere Systeme überwachen (z. B. Firewalls), lohnt sich eine saubere Trennung nach Zuständigkeiten. Für OPNsense-Umgebungen haben wir z. B. gezeigt, wie man Checks ergänzt: Checkmk-Plugin zur Überwachung von OPNsense installieren.
Schritt 5: Sicherheit und Betrieb: Webhooks sind Credentials
Bei Teams-Webhooks geht es nicht nur um „läuft“, sondern auch um Sicherheit.
Konkrete Maßnahmen, die sich im Admin-Alltag bewährt haben:
- Webhook geheim halten: Nicht in Wiki-Seiten ohne Zugriffskontrolle, nicht in Monitoring-Notizen.
- Rotation einplanen: Wenn ein Admin das Team verlässt oder Logs/Backups kompromittiert sind, tauschen Sie den Webhook.
- Egress einschränken: Wenn möglich, erlauben Sie aus der Monitoring-Zone nur ausgehenden HTTPS-Traffic zu den nötigen Microsoft-Endpunkten.
- Keine sensitiven Daten posten: Keine Passwörter, keine internen IP-Listen, keine Kundendaten. Für Teams reichen Status, Host/Service, kurzer Output.
Auch organisatorisch hilft es, Notifications nachvollziehbar zu halten: Wer bekommt wann welche Meldung? Wer hat reagiert? Wenn Sie Checkmk strukturiert betreiben wollen, lohnt es sich, Zuständigkeiten und Eskalationen direkt in der Konfiguration abzubilden.
Testen, ohne gleich das Team zu nerven
Bevor Sie live gehen:
- Legen Sie eine Test-Notification-Regel an, die nur auf einen Test-Host greift.
- Triggern Sie bewusst einen Statuswechsel (z. B. Test-Service stoppen).
- Prüfen Sie: Kommt die Nachricht an? Ist sie lesbar? Ist der Link korrekt?
Wenn Sie Checkmk insgesamt stabil halten wollen, gehört auch ein sauberer Umgang mit Änderungen dazu. Konfigurationsstände und Backups helfen, wenn man sich „verkonfiguriert“ hat. Passend dazu: automatische Konfigurationsbackups von Checkmk.
Typische Fehlerbilder (und schnelle Lösungen)
Keine Nachricht in Teams
- URL falsch oder rotiert
- Proxy/Firewall blockiert ausgehendes HTTPS
- Script läuft nicht unter dem erwarteten Benutzer (Rechte/Execution-Bit)
Nachricht kommt an, aber ohne Inhalt
- Makros/Variablen werden nicht übergeben
- Sonderzeichen brechen JSON (z. B. Anführungszeichen, Backslashes)
Zu viele Meldungen
- Regel greift zu breit
- Keine Zeitfenster/Eskalationen
- Unsaubere Schwellwerte (Wichtiges geht im Rauschen unter)
Wenn Sie beim Aufbau oder der Härtung Ihrer Checkmk-Umgebung Unterstützung möchten, finden Sie auf unserer Leistungsseite einen Überblick zu Checkmk bei ADMIN INTELLIGENCE.
Suchen Sie regelmäßig praxisnahe Admin-Themen rund um Monitoring, Überwachung und Sicherheit, werden Sie auf https://blog.admin-intelligence.de/ fündig. Wenn Sie möchten, schauen wir uns Ihre Teams- und Checkmk-Konfiguration gemeinsam an und helfen bei der Einrichtung Ihrer Checkmk Umgebung – eine kurze Nachricht über unser Kontaktformular reicht.
