Documentation

This is the documentation page for an unsupported version of Zabbix.
Is this not what you were looking for? Switch to the current version or choose one from the drop-down menu.
1 Foire aux questions / Dépannage
1 Création de la base de données
2 Agent Zabbix sur Microsoft Windows
2 Repairing Zabbix database character set and collation
3 Configuration Elasticsearch
4 Export en temps réel des événements, des valeurs, des tendances
5 Running Agent as root
7 Additional frontend languages
1 Serveur Zabbix
2 Proxy Zabbix
3 Agent Zabbix (UNIX)
4 Agent Zabbix (Windows)
5 Passerelle Java Zabbix
6 Remarques spéciales sur le paramètre "Include"
1 Protocole d'échange de données Serveur-Proxy
2 Protocole de l'agent Zabbix
3 Protocole du sender Zabbix
4 En-tête
5 Protocole d'export en temps réel
1 Éléments supportés par plateforme
2 Paramètre vm.memory.size
3 Vérifications actives et passives des agents
4 Éléments Trapper
5 Niveau d'autorisation minimum pour les éléments d'agent Windows
6 Encodage des valeurs renvoyées
7 Prise en charge des fichiers volumineux
8 Capteur
9 Remarques sur le paramètre memtype dans les éléments proc.mem
10 Remarques sur la sélection des processus dans les éléments proc.mem et proc.num
11 Détails d'implémentation des vérifications net.tcp.service et net.udp.service
12 Détails du prétraitement de la valeur de l'élément
13 Paramètres d'hôtes inaccessibles/indisponibles
13 Supported JSONPath functionality
15 Surveillance à distance des statistiques Zabbix
1 Fonctions de déclencheur supportées
1 Macros supportées
2 Macros utilisateurs supportées par emplacement
8 Symboles d'unités
9 Réglage des périodes de temps
10 Exécution de commande
13 Compatibilité de version
14 Gestion des erreurs de base de données
15 Librairie de liens dynamiques Zabbix sender pour Windows
16 Problèmes avec SELinux
17 Other issues
1 Structure du manuel
2 Qu'est-ce que Zabbix ?
3 Fonctionnalités Zabbix
4 Aperçu de Zabbix
5 Nouveautés dans Zabbix 4.0.0
6 Nouveautés dans Zabbix 4.0.1
7 Nouveautés dans Zabbix 4.0.2
8 Nouveautés dans Zabbix 4.0.3
9 Nouveautés dans Zabbix 4.0.4
10 Nouveautés dans Zabbix 4.0.5
11 Nouveautés dans Zabbix 4.0.6
12 Nouveautés dans Zabbix 4.0.7
13 Nouveautés dans Zabbix 4.0.8
14 Nouveautés Zabbix 4.0.9
15 What's new in Zabbix 4.0.10
16 What's new in Zabbix 4.0.11
17 What's new in Zabbix 4.0.12
18 What's new in Zabbix 4.0.13
19 What's new in Zabbix 4.0.14
20 What's new in Zabbix 4.0.15
21 What's new in Zabbix 4.0.16
22 What's new in Zabbix 4.0.17
23 What's new in Zabbix 4.0.18
24 What's new in Zabbix 4.0.19
25 What's new in Zabbix 4.0.20
26 What's new in Zabbix 4.0.21
27 What's new in Zabbix 4.0.22
28 What's new in Zabbix 4.0.23
29 What's new in Zabbix 4.0.24
30 What's new in Zabbix 4.0.25
31 What's new in Zabbix 4.0.26
32 What's new in Zabbix 4.0.27
33 What's new in Zabbix 4.0.28
34 What's new in Zabbix 4.0.29
35 What's new in Zabbix 4.0.30
36 What's new in Zabbix 4.0.31
37 What's new in Zabbix 4.0.32
38 What's new in Zabbix 4.0.33
39 What's new in Zabbix 4.0.34
40 What's new in Zabbix 4.0.35
41 What's new in Zabbix 4.0.36
42 What's new in Zabbix 4.0.37
43 What's new in Zabbix 4.0.38
44 What's new in Zabbix 4.0.39
2. Définitions
1 Serveur
2 Agent
3 Proxy
1 Configuration à partir des sources
2 Configuration à partir des packages RHEL/CentOS
3 Configuration depuis les packages Debian/Ubuntu
5 Sender
6 Get
1 Obtenir Zabbix
Bonnes pratiques pour la configuration sécurisée de Zabbix
Construction des binaires d'agent Windows avec/sans TLS
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu/​Raspbian
3 Installation de l'agent Windows depuis MSI
4 Installation de l'agent Mac OS à partir de PKG
5 Installation depuis les containers
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
Mise à jour depuis les sources
7 Problèmes connus
8 Modifications des modèles
9 Notes de mise à jour pour la version 4.0.0
10 Notes de mise à jour pour 4.0.1
11 Notes de mise à jour pour 4.0.2
12 Notes de mise à jour pour 4.0.3
14 Notes de mise à jour pour la version 4.0.5
15 Notes de mise à jour pour 4.0.6
16 Notes de mise à jour pour 4.0.7
17 Notes de mise à jour pour 4.0.8
18 Upgrade notes for 4.0.9
19 Upgrade notes for 4.0.10
20 Upgrade notes for 4.0.11
21 Upgrade notes for 4.0.12
22 Upgrade notes for 4.0.13
23 Upgrade notes for 4.0.14
24 Upgrade notes for 4.0.15
25 Upgrade notes for 4.0.16
26 Upgrade notes for 4.0.17
27 Upgrade notes for 4.0.18
28 Upgrade notes for 4.0.19
29 Upgrade notes for 4.0.20
30 Upgrade notes for 4.0.21
31 Upgrade notes for 4.0.22
32 Upgrade notes for 4.0.23
33 Upgrade notes for 4.0.24
34 Upgrade notes for 4.0.25
35 Upgrade notes for 4.0.26
36 Upgrade notes for 4.0.27
37 Upgrade notes for 4.0.28
38 Upgrade notes for 4.0.29
39 Upgrade notes for 4.0.30
40 Upgrade notes for 4.0.31
41 Upgrade notes for 4.0.32
42 Upgrade notes for 4.0.33
43 Upgrade notes for 4.0.34
44 Upgrade notes for 4.0.35
45 Upgrade notes for 4.0.36
46 Upgrade notes for 4.0.37
47 Upgrade notes for 4.0.38
48 Upgrade notes for 4.0.39
1 Identification et configuration des utilisateurs
2 Nouvel hôte
3 Nouvel élément
4 Nouveau déclencheur
5 Notifications de problèmes
6 Nouveau modèle
6. Appliance Zabbix
1 Configuration d’un hôte
2 Inventaire
3 Modification collective
1 Format de clé d’élément
2 Intervalles personnalisés
Clés d'éléments spécifique à Windows
1 Index dynamiques
2 OID spéciaux
3 Fichiers MIB
3 Traps SNMP
4 Vérifications IPMI
1 VMware monitoring item keys
6 Supervision des fichiers journaux
7 Eléments calculés
8 Vérifications Internes
9 Vérifications SSH
10 Vérifications Telnet
11 Vérifications externes
12 Vérifications agrégées
13 Elément trapper
14 Supervision JMX
1 Paramètres UnixODBC recommandés pour MySQL
2 Paramètres UnixODBC recommandés pour PostgreSQL
3 Paramètres recommandés pour UnixODBC sur Oracle
4 Paramètres UnixODBC recommandés pour MSSQL
16 Éléments dépendants
17 Agent HTTP
3 Historique et tendances
1 Extension des agents Zabbix
5 Modules chargeables
6 Compteurs de performance Windows
7 Modification collective
8 Correspondance de valeurs
9 Applications
10 File d'attente
11 Cache de valeur
12 Vérifier maintenant
1 Configuration d'un déclencheur
2 Expression de déclencheur
3 Dépendance des déclencheurs
4 Sévérité des déclencheurs
5 Personnalisation des sévérités des déclencheurs
6 Modification collective
7 Fonctions prédictives de déclenchement
1 Génération d'événement déclencheur
2 Autres sources d'événements
3 Fermeture manuelle des problèmes
Tags d'événement
2 Corrélation globale des événements
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
1 Screen elements
4 Slide shows
5 Host screens
1 Configuration d'un modèle
2 Lier/Délier
3 Imbrication
1 Modèles standardisés pour les périphériques réseau
1 E-mail
2 SMS
3 Jabber
4 Ez Texting
5 Scripts d'alertes personnalisés
1 Conditions
1 Envoi d'un message
2 Commandes à distance
3 Opérations supplémentaires
4 Utilisation des macros dans les messages
3 Opérations de récupération
4 Update operations
5 Escalade
3 Réception de notification pour des éléments non supportés
1 Fonctions de macro
2 Macros utilisateur
3 Macros de découverte de bas niveau
1 Configuration d'un utilisateur
2 Autorisations
3 Groupes d'utilisateurs
8. Supervision de service
1 Éléments de supervision Web
2 Scénario concret
1 Champs clé pour la découverte de machine virtuelle
11. Maintenance
12. Expressions régulières
13. Acquittement des problèmes
1 Groupes d'hôtes
2 Modèles
3 Hôtes
4 Cartes de réseau
5 Écran
1 Configuration d'une règle de découverte du réseau
2 Enregistrement automatique d'agent actif
1 Discovery of mounted filesystems
1 Découverte des interfaces réseau
2 Découverte des processeurs et des cœurs de processeurs
3 Découverte des OID SNMP
4 Découverte d'objets JMX
5 Découverte à l'aide de requêtes SQL ODBC
6 Découverte des services Windows
7 Découverte des interfaces d'hôtes dans Zabbix
Notes sur la découverte de bas niveau
1 Proxys
1 Par certificat
2 Par clés pré-partagées (PSK)
1 Problèmes de type de connexion ou d'autorisation
2 Problèmes de certificat
3 Problèmes PSK
1 Widget de tableau de bord
2 Problèmes
3 Aperçu
4 Web
5 Dernières données
6 Graphiques
7 Écrans
8 Cartes
9 Découverte
10 Services
1 Aperçu
2 Hôtes
1 Informations système
2 Rapport de disponibilité
3 Top 100 des déclencheurs
4 Audit
5 Journal des actions
6 Notifications
1 Groupes d'hôtes
2 Modèles
1 Applications
2 Éléments
3 Déclencheurs
4 Graphiques
5 Règle de découverte
6 Scénarios Web
4 Maintenance
5 Actions
6 Corrélation d'événement
7 Découverte
8 Services
1 Général
2 Proxys
3 Authentification
4 Groupes d'utilisateurs
5 Utilisateurs
6 Types de média
7 Scripts
8 File d'attente
1 Notifications globales
2 Son dans les navigateurs
3 Recherche globale
4 Mode maintenance de l'interface Web
5 Paramètres de page
6 Définitions
7 Création de votre propre thème
8 Mode Debug
9 Cookies used by Zabbix
> Action object
action.create
action.delete
action.get
action.update
> Objet Alert
alert.get
apiinfo.version
> Objet Application
application.create
application.delete
application.get
application.massadd
application.update
> Objet carte
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
> Objet Correspondance d'icône
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objet Corrélation
correlation.create
correlation.delete
correlation.get
correlation.update
> Objet déclencheur
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Objet écran
screen.create
screen.delete
screen.get
screen.update
> Objet Ecran de modèle
templatescreen.copy
templatescreen.create
templatescreen.delete
templatescreen.get
templatescreen.update
> Objet Élément
item.create
item.delete
item.get
item.update
> Objet élément d'écran
screenitem.create
screenitem.delete
screenitem.get
screenitem.update
screenitem.updatebyposition
> Objet Élément d'écran de modèle
templatescreenitem.get
> Objet Élément de graphique
graphitem.get
> Objet Événement
event.acknowledge
event.get
> Objet Graphique
graph.create
graph.delete
graph.get
graph.update
> Objet Groupe d'Hôte
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Objet Groupe d'utilisateurs
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Objet Historique
history.get
> Objet Hôte
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Objet hôte découvert
dhost.get
> Objet Image
image.create
image.delete
image.get
image.update
> Objet Interface hôte
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Objet Macro utilisateur
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Objet maintenance
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Objet Modèle
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Object problème
problem.get
> Objet Prototype d'hôte
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Objet Prototype d'élément
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Objet prototype de déclencheur
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Objet Prototype de graphique
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Objet règle de découverte
drule.create
drule.delete
drule.get
drule.update
> LLD rule object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objet script
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Objet Scénario Web
httptest.create
httptest.delete
httptest.get
httptest.update
> Objet service
service.adddependencies
service.addtimes
service.create
service.delete
service.deletedependencies
service.deletetimes
service.get
service.getsla
service.update
> Objet service découvert
dservice.get
> Objet Dashboard
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Objet Table de correspondance
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Objet Tendance
trend.get
> Objet test de découverte
dcheck.get
> Objet type de média
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
task.create
> Objet Utilisateur
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.update
Annexe 1. Commentaire de référence
Annexe 2. Modifications depuis 3.4 vers 4.0
Modifications de l'API Zabbix en version 4.0
zabbix_agentd
zabbix_get
zabbix_proxy
zabbix_sender
zabbix_server

Bonnes pratiques pour la configuration sécurisée de Zabbix

Aperçu

Cette section contient les bonnes pratiques à suivre pour configurer Zabbix de manière sécurisée.

Les pratiques expliquées ici ne sont pas obligatoires pour faire fonctionner Zabbix. Elles sont recommandées pour une meilleure sécurité du système.

Access control

Principle of least privilege

The principle of least privilege should be used at all times for Zabbix. This principle means that user accounts (in Zabbix frontend) or process user (for Zabbix server/proxy or agent) have only those privileges that are essential to perform intended functions. In other words, user accounts at all times should run with as few privileges as possible.

Giving extra permissions to 'zabbix' user will allow it to access configuration files and execute operations that can compromise the overall security of the infrastructure.

When implementing the least privilege principle for user accounts, Zabbix frontend user types should be taken into account. It is important to understand that while a "Admin" user type has less privileges than "Super Admin" user type, it has administrative permissions that allow managing configuration and execute custom scripts.

Some information is available even for non-privileged users. For example, while AdministrationScripts is not available for non-Super Admins, scripts themselves are available for retrieval by using Zabbix API. Limiting script permissions and not adding sensitive information (like access credentials, etc) should be used to avoid exposure of sensitive information available in global scripts.

Utilisateur sécurisé pour l'agent Zabbix

Dans la configuration par défaut, les processus du serveur et de l'agent Zabbix partage le même utilisateur 'zabbix'. Si vous voulez être sûr que l'agent ne puisse pas accéder à certains détails sensibles de la configuration du serveur (ex : informations de connexion à la base de données), l’agent devrait s’exécuter avec un utilisateur différent :

  1. Créer un utilisateur sécurisé
  2. Indiquer cet utilisateur dans le fichier de configuration de l'agent (paramètre : ’User’).
  3. Redémarrer l'agent avec des droits administrateurs. Les droits seront transférés à l'utilisateur indiqué.

Encodage UTF-8

UTF-8 est le seul encodage supporté par Zabbix. Il est connu pour fonctionner sans aucun défaut de sécurité. Les utilisateurs doivent être conscients qu'il existe des problèmes de sécurité connus s'ils utilisent certains des autres encodages.

Zabbix Security Advisories and CVE database

See Zabbix Security Advisories and CVE database.

Mettre en place le SSL pour l'interface Web

Sur RHEL/Centos, installez le package mod_ssl :

yum install mod_ssl

Créez un répertoire pour les clés SSL :

mkdir -p /etc/httpd/ssl/private
       chmod 700 /etc/httpd/ssl/private

Créez le certificat SSL :

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/private/apache-selfsigned.key -out /etc/httpd/ssl/​apache-selfsigned.crt

Remplissez les invites de manière appropriée. La ligne la plus importante est celle qui demande le nom commun. Vous devez entrer le nom de domaine que vous souhaitez associer à votre serveur. Vous pouvez plutôt entrer l'adresse IP publique si vous n'avez pas de nom de domaine. Nous allons utiliser example.com ci dessous.

Country Name (2 letter code) [XX]:
       State or Province Name (full name) []:
       Locality Name (eg, city) [Default City]:
       Organization Name (eg, company) [Default Company Ltd]:
       Organizational Unit Name (eg, section) []:
       Common Name (eg, your name or your server's hostname) []:example.com
       Email Address []:

Éditez la configuration SSL Apache :

/etc/httpd/conf.d/ssl.conf
       
       DocumentRoot "/usr/share/zabbix"
       ServerName example.com:443
       SSLCertificateFile /etc/httpd/ssl/apache-selfsigned.crt
       SSLCertificateKeyFile /etc/httpd/ssl/private/apache-selfsigned.key

Redémarrez le service Apache pour appliquer les changements :

systemctl restart httpd.service

Web server hardening

Activation de Zabbix dans le répertoire racine de l'URL

Ajoutez un hôte virtuel à la configuration Apache et définissez une redirection permanente pour le document racine vers l'URL sécurisée de Zabbix. N'oubliez pas de remplacer example.com par le nom réel du serveur.

/etc/httpd/conf/httpd.conf
       
       #Add lines
       
       <VirtualHost *:*>
           ServerName example.com
           Redirect permanent / http://example.com
       </VirtualHost>

Redémarrez le service Apache pour appliquer les changements :

systemctl restart httpd.service

Enabling HTTP Strict Transport Security (HSTS) on the web server

HSTS is enforced by Zabbix frontend in versions 4.0.0 - 4.0.2.

Starting with 4.0.3 to protect Zabbix frontend against protocol downgrade attacks, we recommend to enable HSTS policy on the web server.

For example, to enable HSTS policy for your Zabbix frontend in Apache configuration:

/etc/httpd/conf/httpd.conf

add the following directive to your virtual host's configuration:

<VirtualHost *:443>
          Header set Strict-Transport-Security "max-age=31536000"
       </VirtualHost>

Restart the Apache service to apply the changes:

systemctl restart httpd.service

Désactiver l'exposition des informations du serveur Web

Il est recommandé de désactiver toutes les signatures de serveur Web dans le cadre du processus de renforcement du serveur Web. Le serveur Web expose la signature logicielle par défaut :

La signature peut être désactivée en ajoutant deux lignes au fichier de configuration Apache (utilisé comme exemple) :

ServerSignature Off
       ServerTokens Prod

La signature PHP (X-Powered-By HTTP header) peut être désactivée en changeant le fichier de configuration php.ini (la signature est désactivée par défaut) :

expose_php = Off

Le redémarrage du serveur Web est obligatoire pour que les changements dans le fichier de configuration soient appliqués.

Un niveau de sécurité supplémentaire peut être atteint en utilisant le mod_security (package libapache2-mod-security2) avec Apache. mod_security permet de supprimer la signature du serveur au lieu de supprimer uniquement la version de la signature du serveur. La signature peut être modifiée en n'importe quelle valeur en changeant "SecServerSignature" après l'installation de mod_security.

Reportez-vous à la documentation de votre serveur Web pour obtenir de l'aide sur la suppression/modification des signatures logicielles.

Désactiver les pages d'erreurs par défaut du serveur web

Il est recommandé de désactiver les pages d'erreur par défaut pour éviter toute exposition d'informations. Le serveur Web utilise par défaut les pages d'erreur intégrées :

Les pages d'erreur par défaut doivent être remplacées/supprimées dans le cadre du processus de renforcement du serveur Web. La directive "ErrorDocument" peut être utilisée pour définir une page/texte d'erreur personnalisé pour le serveur web Apache (utilisé comme exemple).

Reportez-vous à la documentation de votre serveur Web pour obtenir de l'aide sur la façon de remplacer/supprimer les pages d'erreur par défaut.

Suppression de la page de test du serveur web

Il est recommandé de supprimer la page de test du serveur Web pour éviter toute exposition d'informations. Par défaut, le webroot du serveur web contient une page de test appelée index.html (Apache2 sur Ubuntu est utilisé comme exemple) :

La page de test doit être supprimée ou doit être rendue indisponible dans le cadre du processus de renforcement du serveur Web.

Set X-Frame-Options HTTP response header

By default, Zabbix is configured with X-Frame-Options HTTP response header set to SAMEORIGIN, meaning that content can only be loaded in a frame that has the same origin as the page itself.

Zabbix frontend elements that pull content from external URLs (namely, the URL dashboard widget) display retrieved content in a sandbox with all sandboxing restrictions enabled.

These settings enhance the security of the Zabbix frontend and provide protection against XSS and clickjacking attacks. Super Admins can modify iframe sandboxing and X-Frame-Options HTTP response header parameters as needed. Please carefully weigh the risks and benefits before changing default settings. Turning sandboxing or X-Frame-Options off completely is not recommended.

Hiding the file with list of common passwords

To increase the complexity of password brute force attacks, it is suggested to limit access to the file ui/data/top_passwords.txt by modifying web server configuration. This file contains a list of the most common and context-specific passwords, and is used to prevent users from setting such passwords if Avoid easy-to-guess passwords parameter is enabled in the password policy.

For example, on NGINX file access can be limited by using the location directive:

location = /data/top_passwords.txt {​​​​​​​
           deny all;
           return 404;
       }​​​​​​​

On Apache - by using .htacess file:

<Files "top_passwords.txt">  
         Order Allow,Deny
         Deny from all
       </Files>

Displaying URL content in the sandbox

Since version 4.0.22, some Zabbix frontend elements (for example, the URL widget) are preconfigured to sandbox content retrieved from the URL. It is recommended to keep all sandboxing restrictions enabled to ensure protection against XSS attacks.

Zabbix Windows agent with OpenSSL

Zabbix Windows agent compiled with OpenSSL will try to reach the SSL configuration file in c:\openssl-64bit. The "openssl-64bit" directory on disk C: can be created by non-privileged users.

So for security hardening, it is required to create this directory manually and revoke write access from non-admin users.

Please note that the directory names will be different on 32-bit and 64-bit versions of Windows.

Cryptography

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy