Checkmk ist ein Tool für das Monitoring von Netzwerken, das sich auch für kleinere Unternehmen eignet. Die Einrichtung ist problemlos auch über Container auf einem Synology-NAS möglich. Der Beitrag zeigt die Möglichkeiten.
So gelingt Netzwerk-Monitoring mit Checkmk auf dem Synology-NAS: Einfache Einrichtung via Docker und Portainer – ideal für KMU und IT-Admins.
(Bild: Joos | Synology | Checkmk)
Wir haben uns bereits in verschiedenen Texten mit dem mächtigen Überwachungstool Checkmk auseinandergesetzt. Für den Betrieb der Lösung ist nicht unbedingt ein eigener Server notwendig. Es ist auch möglich, Checkmk über Docker-Container zu betreiben und dabei auf Synology-NAS-Systeme zu setzen. Das macht die Einrichtung einfach und Checkmk ist schnell einsatzbereit. Da Synology mit dem Container-Manager ein kostenloses Paket für den Betrieb von Containern bereitstellt, macht das die Einrichtung noch einfacher.
Container Manager und Portainer installieren
Um Checkmk und später unter Umständen auch andere Container auf dem NAS bereitzustellen, wird über den Paket-Manager zunächst der Container-Manager installiert. Da es sich dabei um ein Standardpaket von Synology handelt, ist die Installation in kurzer Zeit abgeschlossen. Im Rahmen der Installation des Container-Managers von Synology wird auch der Ordner „docker“ auf dem NAS angelegt. Dieser steht auch über das Tool „File Station“ direkt in der Weboberfläche zur Verfügung.
Für den Einsatz von Checkmk als Container auf einem Synology-NAS kommt außerdem die Container-Verwaltungslösung Portainer zum Einsatz. Diese erleichtert die Verwaltung von Docker auf dem Synology-NAS deutlich. Sie läuft ebenfalls als Container und lässt sich daher direkt in den Container-Manager einbinden. Dazu ist es sinnvoll im Ordner „docker“ auf dem NAS einen neuen Ordner „portainer“ anzulegen. In diesen kommen als nächstes die Systemdaten von Portainer. Die Installation von Portainer sollte in der aktuellen Version erfolgen. Dazu kommt ein Skript zum Einsatz, das über den Task-Planer auf dem NAS bei „Systemsteuerung -> Aufgabenplanung -> Erstellen -> Geplante Aufgabe -> Benutzerdefiniertes Skript“ hinterlegt wird. Zuvor sollte aber über „Einstellungen“ des Aufgabenplaners die Option „Ausgabeergebnisse speichern“ gesetzt sein. Als Verzeichnis ist es an dieser Stelle zum Beispiel sinnvoll, unterhalb von „docker“ ein Verzeichnis „reports“ zu verwenden.
Bei Aufgabe kann zum Beispiel „Portainer-Install“ eingetragen werden. Der Haken bei „Aktiviert“ wird entfernt und als Benutzer kommt „root“ zum Einsatz. Auf dem Menüpunkt Zeitplan“ erfolgt die Aktivierung von „Am folgenden Datum ausführen“ und „Nicht Wiederholen“. Bei „Benachrichtigung“ ist es möglich, mit „Ausführungsdetails per E-Mail senden“ eine Status-Info zu versenden. Nach der Eingabe einer E-Mail-Adresse verschickt das NAS eine E-Mail mit den Infos zur Installation an die gewünschte Adresse. Bei „Benutzerdefiniertes Skript“ trägt man schließlich das Skript zur Installation von Portainer als Docker-Container mit Container-Manager ein:
Wichtig ist an dieser Stelle, dass Volume und Verzeichnis richtig geschrieben sind. Der Pfad kann auch in den Eigenschaften des angelegten Ordners über das Tool „File Station“ in Erfahrung gebracht werden. Nach der Bestätigung der neuen Aufgabe, erscheint noch eine Warnung, die bestätigt werden muss. Danach erfolgt die Eingabe des Kennwortes für den angemeldeten Benutzer. Danach wählt man die Aufgabe aus und klickt auf „Ausführen“. Im Anschluss erfolgt die Installation. Ist diese abgeschlossen, verschickt das NAS die E-Mail an die angegebene Adresse. Über „Aktion -> Ergebnis anzeigen“ ist ebenfalls der Status der Installation zu sehen. Hier sollte kein Fehler angezeigt werden. Anschließend ist der Portainer-Container auch innerhalb des Container-Managers als gestartet zu erkennen. Sollte es Probleme mit Portainer geben, hilft es teilweise, den Container über den Container-Manager zu stoppen und neu zu starten.
Portainer einrichten
Nach der erfolgreichen Installation steht Portainer über die IP-Adresse des NAS und den Port 9000 zur Verfügung. Beim ersten Aufruf erfolgt das Festlegen des Benutzernamens zur Verwaltung von Portainer. Im ersten Schritt sollte überprüft werden, ob es eine neue Version von Portainer gib. Das geht direkt in der Weboberfläche der Container-Verwaltungslösung.
Nach der Anmeldung ist über die Kachel „Get Started“ die lokale Docker-Instanz des Synology-NAS zu sehen. Durch einen Klick auf das Stift-Icon auf der rechten Seite der Instanz sind die Einstellungen zu finden. Bei „Public IP“ erfolgt die Eingabe der lokalen IP-Adresse des Synology-NAS. Nach einem Klick auf „Update Environment“ erfolgt jetzt eine Aktualisierung. Damit steht Portainer auf dem NAS parallel zum Container-Manager zur Verfügung. Portainer ist dabei aber nur ein weiterer Container innerhalb des Container-Managers, und lässt sich dadurch schnell und einfach wieder entfernen. Das NAS selbst wird dadurch nicht beeinträchtigt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Container-Registrierungen hinzufügen
Damit über Portainer und den Container-Manager weitere Container zur Verfügung gestellt werden können, zum Beispiel Checkmk, ist das Hinzufügen von Container-Registries notwendig. Das erfolgt in der Portainer-Oberfläche über den Menüpunkt „Registry ->Add registry“. Nach der Auswahl von „Custom registry“ gibt man bei „Name“ den Wert „GHCR“ und bei „Registry URL“ die Adresse „ghcr.io“ ein. Mit einem Klick auf „add registry“ wird diese hinzugefügt. Über diese Registry lässt sich später Portainer selbst aktualisieren.
Für die Installation von Checkmk ist noch die Registry „codeberg.org“ nötig, die auf dem gleichen Weg hinzugefügt wird. Als Name kann hier zum Beispiel „CODEBERG“ verwendet werden. Als dritte Registry ist noch „Quay.io“ notwendig.
Checkmk als Container mit Portainer und Synology Container-Manager installieren
Um Checkmk ebenfalls als Container zu betreiben, erfolgt zunächst das Anlegen des neuen Ordners „checkmk“ im Docker-Ordner, genauso wie bei der Installation von Portainer. In diesen Ordner kommen später die Systemdateien von Checkmk. Die weitere Einrichtung erfolgt jetzt in der Portainer-Oberfläche über „Stacks -> Add stack“. Dazu muss die lokale Docker-Instanz auf dem NAS ausgewählt werden. Als Name wird zum Beispiel „checkmk“ verwendet und bei „Web editor“ erfolgt das Eintragen des folgenden Skriptes:
Nach der Eingabe von „Deploy the stack“ erfolgt der Download und die Integration von Checkmk über Portainer auf dem Synology-NAS. Es kann einige Minuten dauern, bis alle Daten von Checkmk heruntergeladen sind. Danach wird der Stack in der Portainer-Oberfläche angezeigt. Bei „containers“ sollte jetzt der Checkmk-Container mit dem Status „Healthy“ angezeigt werden.
Durch einen Klick auf das kleine Icon zur Anzeige des Protokolls von Checkmk zeigt die Umgebung die Anmeldedaten für die Weboberfläche von Checkmk an. Die URL für den Zugriff auf die Checkmk-Installation ist die IP-Adresse des NAS und der Port 8722. Danach lässt sich Checkmk im Netzwerk genauso nutzen, wie bei einer herkömmlichen Installation.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f8/4f/f84f6d7e58d390cfb9ccd24604f29680/0128949614v2.jpeg "Vom 3. bis 10. Februar 2026 haben Schülerinnen und Schüler die Möglichkeit, an der Hacking Challenge der TH Augsburg teilzunehmen, bei der sie eine bösartige KI aufhalten müssen, indem sie in einem Capture-the-Flag-Wettbewerb Sicherheitsprobleme lösen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/50/035093fa21967192ed89ad7d199a89cf/0128925549v1.jpeg "Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6ffa4ee2503e5ba4c23eaae095d7d4/0125105677v1.jpeg "Mit check_cert lassen sich SSL/TLS-Zertifikate bis ins Detail prüfen – von Laufzeiten über Signaturverfahren bis hin zu Aussteller-Details. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/f1/58/f15806f70c97abf54bdc583a063b3f3f/0128109853v1.jpeg "Das Cloud Cost Insight Dashboard bietet Einblicke in die Nutzung von Azure Virtual Desktop. Dies kann bei der Optimierung der Cloud-Ausgaben helfen. (Bild: Parallels)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/c9/5f/c95faad60f9986ffe53188af081f71aa/0124821392v1.jpeg "Die Container-Verwaltungs-Lösung Portainer hilft auf dem Synology-NAS bei der Einrichtung von Checkmk. (Bild: Joos | Synology | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/8d/7b/8d7bec02050de3b4f951e4abdd69ce67/0124821391v1.jpeg "Bestätigung der Installation von Portainer.(Bild: Joos | Synology | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/04/92/04925978e0feead167f2bb887f272a69/0124821390v1.jpeg "Durch die Aktivierung der Protokollierung ist der Status der Installation von Portainer schnell zu erkennen. (Bild: Joos | Synology | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/6b/98/6b989fbf21a8c32ac9e1b60514b3fc28/0124821394v1.jpeg "Erfolgreiche Portainer-Installation auf einem Synology-NAS.(Bild: Joos | Synology | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/40/3f/403fcf82c91173414bcd130843dc26da/0123420903v2.jpeg "Ein NAS dient als Backup, Virtualisierungsplattform und Cloud-Schnittstelle und ist über ein LAN mit dem Unternehmen verbunden. (Bild: photostockatinat - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/3d/eb3d4dc6049e76b29368d27c14c9e54f/0124914364v2.jpeg "Ist auf einem Synology-NAS-System das Paket „VPN Server“ installiert, können sich Anwender remote und vor allem sicher auf das NAS verbinden – sogar mit Smartphone und Tablet. (Bild: © WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/4c/8d4c5d6a3bb1b27b78db3774e509ec6f/0125605639v2.jpeg "Unternehmen können auf einem Synology NAS direkt einen AD-Domänencontroller betreiben, oder es ganz einfach in eine bestehende AD-Umgebung integrieren. (Bild: © Scanrail - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/f9/f8f9fbcde05a6a73b3b5a50ad53ffb3b/0126746489v2.jpeg "Ein Synology-NAS lässt sich als zentraler Authentifizierungsdienst nutzen. Wahlweise mit dem integrierten OAuth-Paket oder per Keycloak im Docker-Container. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/32/0e32a0e30c3da33d8eb961471a2e6485/0124774697v1.jpeg "QuickConnect ist ein schneller, einfacher und trotzdem sicherer Weg für den mobilen Fernzugriff auf die Daten eines Synology-NAS und zwar ganz ohne den zusätzlichen Aufwand eines VPNs. (Bild: © idambeer - stock.adobe.com)")