Documentation

1 Часто задаваемые вопросы / Решение проблем
1 Создание базы данных
2 Zabbix агент на Microsoft Windows
2 Восстановление набора символов и сопоставления базы данных Zabbix
1 MySQL encryption configuration
2 PostgreSQL encryption configuration
4 Настройка TimescaleDB setup
4 Экспорт событий, значений и динамики изменений в режиме реального времени
5 Установка Elasticsearch
7 Примечания по настройке Nginx для Zabbix на SLES дистрибутивах
8 Запуск агента из под root
10 Настройка SAML с Okta
11 Oracle database setup
12 Setting up scheduled reports
13 Additional frontend languages
1 Zabbix сервер
2 Zabbix прокси
3 Zabbix агент (UNIX)
4 Zabbix агент (Windows)
4 Zabbix агент 2 (UNIX)
5 Zabbix Java gateway
6 Zabbix агент 2 (Windows)
6 Специальные заметки о параметре "Include"
8 Zabbix web service
1 Протокол обмена данными сервер-прокси
2 Протокол Zabbix агента
3 Протокол Zabbix sender
4 Длина заголовка и данных
5 Протокол экспорта в режиме реального времени
1 Поддерживаемые элементы данных по платформам
2 Параметры vm.memory.size
3 Пассивные и активные проверки агента
4 Траппер элементы данных
5 Кодировка получаемых значений
5 Минимальный уровень прав для элементов данных Windows агента
6 Поддержка больших файлов
7 Сенсор
8 Заметки о параметре типпамяти в элементах данных proc.mem
9 Заметки по выбору процессов в элементах данных proc.mem и proc.num
10 Детали реализации net.tcp.service и net.udp.service проверок
12 Настройки недостижимости/недоступности хостов
13 Удаленный мониторинг статистики Zabbix
14 Настройка Kerberos с Zabbix
15 modbus.get parameters
1 Foreach functions
2 Bitwise functions
3 Date and time functions
4 History functions
5 Mathematical functions
6 Operator functions
7 Prediction functions
8 String functions
1 Макросы поддерживаемые по назначению
2 Пользовательские макросы поддерживаемые по назначению
8 Символы единиц измерения
9 Настройка периодов времени
10 Выполнение команд
11 Рецепты мониторинга
12 Оптимизация производительности
13 Совместимость версий
14 Обработка ошибок базы данных
15 Динамическая библиотека Zabbix для Windows
16 Проблемы с SELinux
17 Остальные проблемы
18 Отличия между Zabbix агентом и Zabbix агентом 2
1 Структура руководства
2 Что такое Zabbix
3 Возможности Zabbix
4 Обзор Zabbix
5 What's new in Zabbix 5.4.0
6 What's new in Zabbix 5.4.1
7 What's new in Zabbix 5.4.2
8 What's new in Zabbix 5.4.3
9 What's new in Zabbix 5.4.4
10 What's new in Zabbix 5.4.5
11 What's new in Zabbix 5.4.6
12 What's new in Zabbix 5.4.7
13 What's new in Zabbix 5.4.8
14 What's new in Zabbix 5.4.9
15 What's new in Zabbix 5.4.10
16 What's new in Zabbix 5.4.11
17 What's new in Zabbix 5.4.12
2. Определения
1 Сервер
2 Агент
3 Агент 2
3 Прокси
1 Setup from sources
2 Setup from RHEL/CentOS packages
3 Setup from Debian/Ubuntu packages
5 Sender
6 Get
8 JS
9 Web service
1 Получение Zabbix
Наилучшие практики для безопасной установки Zabbix
Сборка Zabbix агент 2 на Windows
Сборка Zabbix агента на macOS
Сборка Zabbix агента на Windows
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
3 SUSE Linux Enterprise Server
4 Windows agent installation from MSI
5 Установка Mac OS агента с PKG
5 Установка из контейнеров
Debian/Ubuntu frontend installation
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
Обновление из исходных кодов
7 Известные проблемы
8 Изменения в шаблонах
10 Upgrade notes for 5.4.0
11 Upgrade notes for 5.4.1
12 Upgrade notes for 5.4.2
13 Upgrade notes for 5.4.3
14 Upgrade notes for 5.4.4
15 Upgrade notes for 5.4.5
16 Upgrade notes for 5.4.6
17 Upgrade notes for 5.4.7
18 Upgrade notes for 5.4.8
19 Upgrade notes for 5.4.9
20 Upgrade notes for 5.4.10
21 Upgrade notes for 5.4.11
1 Вход и настройка пользователя
2 Новый узел сети
3 Новый элемент данных
4 Новый триггер
5 Получение оповещения о проблеме
6 Новый шаблон
6. Готовое решение Zabbix
1 Настройка узла сети
2 Инвентарные данные
3 Массовое обновление
1 Формат ключа элемента данных
2 Пользовательские интервалы
1 Примеры использования
2 Детали предобработки значений элементов данных
Дополнительные Javascript объекты
Экранирование спецсимволов из значений LLD макросов в JSONPath
5 Предобработка CSV в JSON
Zabbix агент 2
Специфичные ключи элементов данных для Windows
1 Динамические индексы
2 Специальные OID'ы
3 MIB файлы
3 SNMP трапы
4 Проверки IPMI
1 Ключи элементов данных для мониторинга VMware
6 Мониторинг файлов журналов
Aggregate calculations
8 Внутренние проверки
9 Проверки через SSH
10 Проверки через Telnet
11 Внешние проверки
13 Траппер элементы данных
14 JMX мониторинг
1 Рекомендуемые настройки UnixODBC для MySQL
2 Рекомендуемые настройки UnixODBC для PostgreSQL
3 Рекомендуемые настройки UnixODBC для Oracle
4 Рекомендуемые настройки UnixODBC для MSSQL
16 Зависимые элементы данных
17 HTTP агент
18 Script items
18 Проверки Prometheus
3 История и динамика изменений
1 Расширение Zabbix агентов
5 Подгружаемые модули
6 Счетчики производительности Windows
7 Массовое обновление
8 Преобразование значений
10 Очередь
11 Кэш значений
12 Проверить сейчас
14 Плагины
15 Ограничение проверок агента
1 Настройка триггера
2 Выражение триггера
3 Зависимости триггеров
4 Важность триггеров
5 Пользовательские важности триггеров
6 Массовое обновление
7 Прогнозирующие функции триггеров
1 Генерация событий на триггеры
2 Другие источники событий
3 Закрытие проблем вручную
1 Корреляция событий на основе триггеров
2 Глобальная корреляция событий
6 Tagging
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
4 Aggregation in graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
3 Dashboards
4 Host dashboards
1 Настройка шаблона
2 Присоединение/отсоединение
3 Наследование
4 Массовое обновление
1 Стандартизованные шаблоны для сетевых устройств
JMX template operation
Настройка шаблонов HTTP
Настройка шаблонов IPMI
Настройка шаблонов ODBC
Настройка шаблонов Zabbix агента 2
Настройка шаблонов для Zabbix агента
1 E-mail
2 SMS
Webhook script examples
5 Пользовательские скрипты оповещений
1 Условия
1 Отправка сообщений
2 Удаленные команды
3 Дополнительные операции
4 Использование макросов в сообщениях
3 Операции восстановления
4 Update operations
5 Эскалации
3 Получение оповещений о неподдерживаемых элементах данных
1 Функции макросов
2 User macros
3 Макросы низкоуровневых обнаружений
3 Пользовательские макросы с контекстом
1 Настройка пользователя
2 Права доступа
3 Группы пользователей
13 Storage of secrets
14 Scheduled reports
8. Мониторинг услуг
1 Элементы данных веб-мониторинга
2 Сценарий из реальной жизни
1 Поля ключей обнаружения виртуальных машин
11. Обслуживание
12. Регулярные выражения
13. Подтверждение проблем
1 Группы узлов сети
2 Шаблоны
3 Узлы сети
4 Карты сети
5 Media types
1 Настройка правила сетевого обнаружения
2 Авторегистрация активных агентов
Заметки по низкоуровневому обнаружению
1 Item prototypes
2 Trigger prototypes
3 Graph prototypes
1 Discovery of mounted filesystems
2 Discovery of network interfaces
3 Discovery of CPUs and CPU cores
4 Discovery of SNMP OIDs
5 Discovery of JMX objects
6 Discovery of IPMI sensors
7 Discovery of systemd services
8 Discovery of Windows services
9 Discovery of Windows performance counter instances
10 Discovery using WMI queries
11 Discovery using ODBC SQL queries
12 Discovery using Prometheus data
13 Discovery of block devices
14 Discovery of host interfaces in Zabbix
1 Прокси
1 Использование сертификатов
2 Использование pre-shared ключей
1 Проблемы с типом подключения или правами
2 Проблемы с сертификатами
3 Проблемы с PSK
1 Меню
1 Виджеты ПАНЕЛИ
2 Проблемы
3 Обзор
1 Графики
2 Веб-сценарии
5 Последние данные
8 Карты сети
9 Обнаружение
10 Услуги
1 Обзор
2 Узлы сети
1 Информация о систсеме
2 Scheduled reports
2 Отчет о доступности
3 100 наиболее активных триггеров
4 Аудит
5 Журнал действий
6 Оповещения
1 Группы узлов сети
1 Items
2 Triggers
3 Graphs
4 Discovery rules
5 Web scenarios
2 Элементы данных
3 Триггеры
4 Графики
5 Правила обнаружения
6 Веб-сценарии
4 Обслуживание
5 Действия
6 Корреляция событий
6 Обнаружение
7 Услуги
1 Общие
2 Прокси
3 Аутентификация
4 Группы пользователей
5 Пользователи
5 Роли пользователя
6 Способы оповещений
7 Скрипты
8 Очередь
1 Глобальные оповещения
2 Звук в браузерах
3 Глобальный поиск
4 Режим обслуживания веб-интерфейса
5 Параметры страниц
6 Определения
7 Создание своей темы
8 Режим отладки
10 Файлы сookie используемые Zabbix
11 Time zones
12 Rebranding
> Audit log object
auditlog.get
> Authentication object
authentication.get
authentication.update
> Autoregistration object
autoregistration.get
autoregistration.update
> Housekeeping object
housekeeping.get
housekeeping.update
> Report object
report.create
report.delete
report.get
report.update
> Role object
role.create
role.delete
role.get
role.update
> Settings object
settings.get
settings.update
> Template dashboard object
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Token object
token.create
token.delete
token.generate
token.get
token.update
> Объект веб-сценария
httptest.create
httptest.delete
httptest.get
httptest.update
> Объект графика
graph.create
graph.delete
graph.get
graph.update
> Объект группы пользователей
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Объект группы узлов сети
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Объект действия
action.create
action.delete
action.get
action.update
> Объект динамики изменений
trend.get
> Task object
task.create
task.get
> Объект изображения
image.create
image.delete
image.get
image.update
> Объект интерфейса узла сети
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
apiinfo.version
> Объект истории
history.get
> Объект карты сети
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
configuration.importcompare
> Объект корреляции
correlation.create
correlation.delete
correlation.get
correlation.update
> Объект обнаруженного сервиса
dservice.get
> Объект обнаруженного узла сети
dhost.get
> Объект обслуживания
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Объект оповещения
alert.get
> Объект панели
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Объект пользователя
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.update
> Объект пользовательского макроса
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Объект правила LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Объект правила обнаружения
drule.create
drule.delete
drule.get
drule.update
> Объект преобразования значений
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Объект проблемы
problem.get
> Объект проверки обнаружения
dcheck.get
> Объект прокси
proxy.create
proxy.delete
proxy.get
proxy.update
> Объект прототипов графиков
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Объект прототипа триггеров
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Объект прототипа узлов сети
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Объект прототипа элементов данных
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Объект скрипта
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Объект события
event.acknowledge
event.get
> Объект соответствия иконок
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Объект способа оповещения
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Объект триггера
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Объект узла сети
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Объект услуги
service.adddependencies
service.addtimes
service.create
service.delete
service.deletedependencies
service.deletetimes
service.get
service.getsla
service.update
> Объект шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Объект элемента графика
graphitem.get
> Объект элемента данных
item.create
item.delete
item.get
item.update
Appendix 2. Changes from 5.2 to 5.4
Zabbix API changes in 5.4
Приложение 1. Справочные комментарии
20. Модули
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

Наилучшие практики для безопасной установки Zabbix

Обзор

В этом разделе содержатся рекомендации, которые следует соблюдать для того, чтобы настроить Zabbix безопасным образом.

Практики, описанные здесь, не требуются для работы Zabbix. Они рекомендуются для повышения безопасности системы.

Защищённый пользователь для Zabbix агента

В конфигурации по умолчанию процессы Zabbix сервера и Zabbix агента делят одного 'zabbix' пользователя. Если вы хотите убедиться, что агент не сможет получить доступ к конфиденциальной информации из конфигурации сервера (например, данные подключения в базе данных), агента необходимо запускать из под другого пользователя:

  1. Создайте защищённого пользователя
  2. Укажите этого пользователя в файле конфигурации агента (параметр 'User')
  3. Перезапустите агента с правами администратора. Привилегии администратора сбросятся на указанного пользователя.

Настройка SSL для Zabbix веб-интерфейса

На RHEL/Centos, установите пакет mod_ssl:

yum install mod_ssl

Создайте папку для SSL ключей:

mkdir -p /etc/httpd/ssl/private
       chmod 700 /etc/httpd/ssl/private

Создайте SSL сертификат:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/private/apache-selfsigned.key -out /etc/httpd/ssl/apache-selfsigned.crt

Заполните подсказки соответствующим образом. Самая важная строка здесь, которая запрашивает Common Name. Вам необходимо указать имя домена, которое вы хотите связать с вашим сервером. Вместо него вы можете указать публичный IP адрес, если у вас отсутствует имя домена. В этой статье мы будем использовать example.com.

Country Name (2 letter code) [XX]:
       State or Province Name (full name) []:
       Locality Name (eg, city) [Default City]:
       Organization Name (eg, company) [Default Company Ltd]:
       Organizational Unit Name (eg, section) []:
       Common Name (eg, your name or your server's hostname) []:example.com
       Email Address []:

Измените конфигурацию Apache SSL:

/etc/httpd/conf.d/ssl.conf
       
       DocumentRoot "/usr/share/zabbix"
       ServerName example.com:443
       SSLCertificateFile /etc/httpd/ssl/apache-selfsigned.crt
       SSLCertificateKeyFile /etc/httpd/ssl/private/apache-selfsigned.key

Перезапустите сервис Apache, чтобы применить изменения:

systemctl restart httpd.service

Включение Zabbix в корневом каталоге URL

Добавьте виртуальный хост в конфигурацию Apache и задайте постоянную переадресацию для корневого каналога на Zabbix SSL URL. Не забудьте заменить example.com на актуальное имя сервера.

/etc/httpd/conf/httpd.conf
       
       #Добавьте строки
       
       <VirtualHost *:*>
           ServerName example.com
           Redirect permanent / http://example.com
       </VirtualHost>

Перезапустите сервис Apache, чтобы применить изменения:

systemctl restart httpd.service

Отключение отображения информации о веб-сервере

Рекомендуется отключить все подписи веб-сервера, как часть процесса по улучшению защищенности веб-сервера. По умолчанию веб-сервер раскрывает подпись программного обеспечения:

Эту подпись можно отключить, добавив две строки в файл конфигурации Apache (используется как пример):

ServerSignature Off
       ServerTokens Prod

Подпись PHP (Заголовок X-Powered-By HTTP) можно отключить, изменив файл конфигурации php.ini (подпись отключена по умолчанию):

expose_php = Off

Чтобы изменения файлов конфигурации вступили в силу, необходимо перезапустить веб-сервер.

Дополнительный уровень безопасности можно достичь, используя mod_security (пакет libapache2-mod-security2) с Apache. mod_security позволяет совсем удалить подпись сервера вместо удаления лишь версии из подписи сервера. Подпись можно изменить на любое значение, исправив "SecServerSignature" на любое желаемое значение, после установки mod_security.

Пожалуйста, обратитесь к документации по вашему веб-серверу для того, чтобы узнать как удалять/изменять подписи к программному обеспечанию.

Отключение страниц ошибок по умолчанию веб-сервера

Рекомендуется отключить страницы ошибок по умолчанию, чтобы избежать раскрытия информации. По умолчанию веб-сервер использует встроенные страницы ошибок:

Страницы ошибок по умолчанию необходимо заменить/удалить, как часть процесса по улучшению защищенности веб-сервера. Можно использовать директиву "ErrorDocument", чтобы задать пользовательскую страницу/текст веб-серверу Apache (используется как пример).

Пожалуйста, обратитесь к документации по вашему веб-серверу для того, чтобы узнать как заменять/удалять страницы ошибок по умолчанию.

Удаление тестовой страницы с веб-сервера

Рекомендуется удалить тестовую страницу веб-сервера, чтобы избежать раскрытия информации. По умолчанию, корневой каталог веб-сервера содержит тестовую страницу с именем index.html (Apache2 на Ubuntu используется как пример):

Тестовую страницу необходимо удалить или сделать недоступной, как часть процесса по улучшению защищенности веб-сервера.

Disabling web server information exposure

It is recommended to disable all web server signatures as part of the web server hardening process. The web server is exposing software signature by default:

The signature can be disabled by adding two lines to the Apache (used as an example) configuration file:

ServerSignature Off
       ServerTokens Prod

PHP signature (X-Powered-By HTTP header) can be disabled by changing the php.ini configuration file (signature is disabled by default):

expose_php = Off

Web server restart is required for configuration file changes to be applied.

Additional security level can be achieved by using the mod_security (package libapache2-mod-security2) with Apache. mod_security allows to remove server signature instead of only removing version from server signature. Signature can be altered to any value by changing "SecServerSignature" to any desired value after installing mod_security.

Please refer to documentation of your web server to find help on how to remove/change software signatures.

Disabling default web server error pages

It is recommended to disable default error pages to avoid information exposure. Web server is using built-in error pages by default:

Default error pages should be replaced/removed as part of the web server hardening process. The "ErrorDocument" directive can be used to define a custom error page/text for Apache web server (used as an example).

Please refer to documentation of your web server to find help on how to replace/remove default error pages.

Removing web server test page

It is recommended to remove the web server test page to avoid information exposure. By default, web server webroot contains a test page called index.html (Apache2 on Ubuntu is used as an example):

The test page should be removed or should be made unavailable as part of the web server hardening process.

Zabbix settings

By default, Zabbix is configured with X-Frame-Options HTTP response header set to SAMEORIGIN, meaning that content can only be loaded in a frame that has the same origin as the page itself.

Zabbix frontend elements that pull content from external URLs (namely, the URL dashboard widget) display retrieved content in a sandbox with all sandboxing restrictions enabled.

These settings enhance the security of the Zabbix frontend and provide protection against XSS and clickjacking attacks. Super Admins can modify iframe sandboxing and X-Frame-Options HTTP response header parameters as needed. Please carefully weigh the risks and benefits before changing default settings. Turning sandboxing or X-Frame-Options off completely is not recommended.

Zabbix Windows agent with OpenSSL

Zabbix Windows agent compiled with OpenSSL will try to reach the SSL configuration file in c:\openssl-64bit. The "openssl-64bit" directory on disk C: can be created by non-privileged users.

So for security hardening, it is required to create this directory manually and revoke write access from non-admin users.

Please note that the directory names will be different on 32-bit and 64-bit versions of Windows.

Security vulnerabilities

CVE-2021-42550

In Zabbix Java gateway with logback version 1.2.7 and prior versions, an attacker with the required privileges to edit configuration files could craft a malicious configuration allowing to execute arbitrary code loaded from LDAP servers.

Vulnerability to CVE-2021-42550 has been fixed since Zabbix 5.4.9. However, as an additional security measure it is recommended to check permissions to the /etc/zabbix/zabbix_java_gateway_logback.xml file and set it read-only, if write permissions are available for the "zabbix" user.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy